Używanie flag UserAccountControl do manipulowania właściwościami konta użytkownika
W tym artykule opisano informacje dotyczące używania atrybutu UserAccountControl do manipulowania właściwościami konta użytkownika.
Oryginalny numer KB: 305144
Podsumowanie
Po otwarciu właściwości konta użytkownika kliknij kartę Konto , a następnie zaznacz lub wyczyść pola wyboru w oknie dialogowym Opcje konta, wartości liczbowe są przypisywane do atrybutu UserAccountControl . Wartość przypisana do atrybutu informuje system Windows, które opcje zostały włączone.
Aby wyświetlić konta użytkowników, kliknij przycisk Start, wskaż pozycję Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij przycisk Użytkownicy i komputery usługi Active Directory.
Lista flag właściwości
Te atrybuty można wyświetlać i edytować przy użyciu narzędzia Ldp.exe lub przystawki Adsiedit.msc.
W poniższej tabeli wymieniono możliwe flagi, które można przypisać. Nie można ustawić niektórych wartości w obiekcie użytkownika lub komputera, ponieważ te wartości można ustawić lub zresetować tylko przez usługę katalogową. Ldp.exe pokazuje wartości w szesnastkowym. Adsiedit.msc wyświetla wartości w przecinku. Flagi są skumulowane. Aby wyłączyć konto użytkownika, ustaw atrybut UserAccountControl na wartość 0x0202 (0x002 + 0x0200). Liczba dziesiętna to 514 (2 + 512).
Uwaga 16.
Usługę Active Directory można edytować bezpośrednio zarówno w Ldp.exe, jak i Adsiedit.msc. Tylko doświadczeni administratorzy powinni używać tych narzędzi do edytowania usługi Active Directory. Oba narzędzia są dostępne po zainstalowaniu narzędzi pomocy technicznej z oryginalnego nośnika instalacyjnego systemu Windows.
| Flaga właściwości | Wartość w szesnastkowym | Wartość w liczbach dziesiętnych |
|---|---|---|
| SKRYPT | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| BLOKADY | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE Nie można przypisać tego uprawnienia, modyfikując bezpośrednio atrybut UserAccountControl. Aby uzyskać informacje na temat programowego ustawiania uprawnień, zobacz sekcję Opisy flag właściwości. |
0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 |
Uwaga 16.
W domenie opartej na systemie Windows Server 2003 LOCK_OUT i PASSWORD_EXPIRED zostały zastąpione nowym atrybutem o nazwie ms-DS-User-Account-Control-Computed. Aby uzyskać więcej informacji na temat tego nowego atrybutu, zobacz atrybut ms-DS-User-Account-Control-Computed.
Opisy flag właściwości
SCRIPT — skrypt logowania zostanie uruchomiony.
ACCOUNTDISABLE — konto użytkownika jest wyłączone.
HOMEDIR_REQUIRED — wymagany jest folder główny.
PASSWD_NOTREQD — nie jest wymagane żadne hasło.
PASSWD_CANT_CHANGE — użytkownik nie może zmienić hasła. Jest to uprawnienie do obiektu użytkownika. Aby uzyskać informacje na temat programowego ustawiania tego uprawnienia, zobacz Modyfikowanie hasła nie można zmienić hasła (dostawcy LDAP).
ENCRYPTED_TEXT_PASSWORD_ALLOWED — użytkownik może wysłać zaszyfrowane hasło.
TEMP_DUPLICATE_ACCOUNT — jest to konto dla użytkowników, których konto podstawowe znajduje się w innej domenie. To konto zapewnia użytkownikowi dostęp do tej domeny, ale nie do żadnej domeny, która ufa tej domenie. Czasami jest to nazywane kontem użytkownika lokalnego.
NORMAL_ACCOUNT — jest to domyślny typ konta reprezentujący typowego użytkownika.
INTERDOMAIN_TRUST_ACCOUNT — jest to zezwolenie na zaufanie kontu dla domeny systemowej, która ufa innym domenom.
WORKSTATION_TRUST_ACCOUNT — jest to konto komputera z systemem Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional lub Windows 2000 Server i jest członkiem tej domeny.
SERVER_TRUST_ACCOUNT — jest to konto komputera dla kontrolera domeny, który jest członkiem tej domeny.
DONT_EXPIRE_PASSWD — reprezentuje hasło, które nigdy nie powinno wygasać na koncie.
MNS_LOGON_ACCOUNT — jest to konto logowania usługi MNS.
SMARTCARD_REQUIRED — po ustawieniu tej flagi użytkownik musi zalogować się przy użyciu karty inteligentnej.
TRUSTED_FOR_DELEGATION — po ustawieniu tej flagi konto usługi (konto użytkownika lub komputera), w ramach którego działa usługa, jest zaufane dla delegowania protokołu Kerberos. Każda taka usługa może personifikować klienta żądającego usługi. Aby włączyć usługę dla delegowania Protokołu Kerberos, należy ustawić tę flagę we właściwości userAccountControl konta usługi.
NOT_DELEGATED — po ustawieniu tej flagi kontekst zabezpieczeń użytkownika nie jest delegowany do usługi, nawet jeśli konto usługi jest ustawione jako zaufane dla delegowania Protokołu Kerberos.
USE_DES_KEY_ONLY — (Windows 2000/Windows Server 2003) Ogranicz tę jednostkę do używania tylko typów szyfrowania Data Encryption Standard (DES) dla kluczy.
DONT_REQUIRE_PREAUTH — (Windows 2000/Windows Server 2003) To konto nie wymaga wstępnego uwierzytelniania Kerberos na potrzeby logowania.
PASSWORD_EXPIRED — (Windows 2000/Windows Server 2003) Hasło użytkownika wygasło.
TRUSTED_TO_AUTH_FOR_DELEGATION — (Windows 2000/Windows Server 2003) Konto jest włączone dla delegowania. Jest to ustawienie wrażliwe na zabezpieczenia. Konta z włączoną tą opcją powinny być ściśle kontrolowane. To ustawienie umożliwia usłudze, która działa na koncie, zakłada tożsamość klienta i uwierzytelnia się jako ten użytkownik na innych serwerach zdalnych w sieci.
PARTIAL_SECRETS_ACCOUNT — (Windows Server 2008/Windows Server 2008 R2) Konto jest kontrolerem domeny tylko do odczytu (RODC). Jest to ustawienie wrażliwe na zabezpieczenia. Usunięcie tego ustawienia z kontrolera RODC powoduje naruszenie zabezpieczeń na tym serwerze.
Wartości UserAccountControl
Poniżej przedstawiono domyślne wartości UserAccountControl dla określonych obiektów:
- Typowy użytkownik: 0x200 (512)
- Kontroler domeny: 0x82000 (532480)
- Stacja robocza/serwer: 0x1000 (4096)
- Zaufanie: 0x820 (2080)
Uwaga 16.
Konto zaufania systemu Windows jest wykluczone z posiadania hasła za pośrednictwem PASSWD_NOTREQD wartość atrybutu UserAccountControl, ponieważ obiekty zaufania nie używają tradycyjnych zasad haseł i atrybutów haseł w taki sam sposób jak obiekty użytkownika i komputera.
Wpisy tajne zaufania są reprezentowane przez specjalne atrybuty na kontach zaufania międzydomenowych wskazujących kierunek zaufania. Wpisy tajne zaufania dla ruchu przychodzącego są przechowywane w atrybucie trustAuthIncoming po stronie "zaufanej" zaufania. Wpisy tajne zaufania dla ruchu wychodzącego są przechowywane w atrybucie trustAuthOutgoing na końcu zaufania.
- W przypadku dwukierunkowych relacji zaufania obiekt INTERDOMAIN_TRUST_ACCOUNT po każdej stronie zaufania będzie miał oba ustawione.
- Wpisy tajne zaufania są obsługiwane przez kontroler domeny, który jest podstawowym emulatorem kontrolera domeny (PDC) elastycznej pojedynczej operacji master (FSMO) w domenie zaufania.
- Z tego powodu atrybut UserAccountControl PASSWD_NOTREQD jest domyślnie ustawiony na kontach INTERDOMAIN_TRUST_ACCOUNT.