Использование флагов UserAccountControl для управления свойствами учетной записи пользователя
В этой статье описываются сведения об использовании атрибута UserAccountControl для управления свойствами учетной записи пользователя.
Исходный номер базы знаний: 305144
Итоги
При открытии свойств учетной записи пользователя щелкните вкладку "Учетная запись", а затем установите или снимите флажки в диалоговом окне "Параметры учетной записи", числовые значения назначаются атрибуту UserAccountControl . Значение, назначенное атрибуту, сообщает Windows, какие параметры были включены.
Чтобы просмотреть учетные записи пользователей, нажмите кнопку "Пуск", наведите указатель на программы, наведите указатель на администрирование и щелкните Пользователи и компьютеры Active Directory.
Список флагов свойств
Эти атрибуты можно просматривать и изменять с помощью средства Ldp.exe или оснастки Adsiedit.msc.
В следующей таблице перечислены возможные флаги, которые можно назначить. Нельзя задать некоторые значения в объекте пользователя или компьютера, так как эти значения можно задать или сбросить только службой каталогов. Ldp.exe отображает значения в шестнадцатеричном формате. Adsiedit.msc отображает значения в десятичном формате. Флаги являются накопительными. Чтобы отключить учетную запись пользователя, задайте для атрибута UserAccountControl значение 0x0202 (0x002 + 0x0200). В десятичном формате это 514 (2 + 512).
Примечание.
Вы можете напрямую редактировать Active Directory в Ldp.exe и Adsiedit.msc. Только опытные администраторы должны использовать эти средства для редактирования Active Directory. Оба средства доступны после установки средств поддержки из исходного установочного носителя Windows.
| Флаг свойства | Значение в шестнадцатеричном | Значение в десятичном разряде |
|---|---|---|
| СЦЕНАРИЙ | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| ЛОКАУТ | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE Вы не можете назначить это разрешение напрямую, изменив атрибут UserAccountControl. Сведения о том, как задать разрешение программным способом, см. в разделе "Описания флагов свойств". |
0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 |
Примечание.
В домене на основе Windows Server 2003 LOCK_OUT и PASSWORD_EXPIRED были заменены новым атрибутом ms-DS-User-Account-Control-Computed. Дополнительные сведения об этом новом атрибуте см. в атрибуте ms-DS-User-Account-Control-Computed.
Описания флагов свойств
SCRIPT — будет выполняться скрипт входа.
ACCOUNTDISABLE — учетная запись пользователя отключена.
HOMEDIR_REQUIRED — требуется домашняя папка.
PASSWD_NOTREQD — пароль не требуется.
PASSWD_CANT_CHANGE. Пользователь не может изменить пароль. Это разрешение на объект пользователя. Сведения о том, как программно задать это разрешение, см. в разделе "Изменение пользователя не удается изменить пароль ( поставщик LDAP)".
ENCRYPTED_TEXT_PASSWORD_ALLOWED — пользователь может отправить зашифрованный пароль.
TEMP_DUPLICATE_ACCOUNT — это учетная запись для пользователей, основная учетная запись которой находится в другом домене. Эта учетная запись предоставляет пользователю доступ к этому домену, но не к любому домену, который доверяет этому домену. Иногда она называется локальной учетной записью пользователя.
NORMAL_ACCOUNT — это тип учетной записи по умолчанию, представляющий типичного пользователя.
INTERDOMAIN_TRUST_ACCOUNT . Это разрешение доверять учетной записи для системного домена, который доверяет другим доменам.
WORKSTATION_TRUST_ACCOUNT — это учетная запись компьютера, на котором работает рабочая станция Microsoft Windows NT 4.0, Сервер Microsoft Windows NT 4.0, Microsoft Windows 2000 профессиональный или Windows 2000 Server и входит в этот домен.
SERVER_TRUST_ACCOUNT — это учетная запись компьютера для контроллера домена, являющегося членом этого домена.
DONT_EXPIRE_PASSWD — представляет пароль, срок действия которого не должен истекать в учетной записи.
MNS_LOGON_ACCOUNT — это учетная запись входа в систему MNS.
SMARTCARD_REQUIRED. При установке этого флага пользователь может войти с помощью смарт-карты.
TRUSTED_FOR_DELEGATION. При установке этого флага учетная запись службы (учетная запись пользователя или компьютера), в которой выполняется служба, является доверенным для делегирования Kerberos. Любая такая служба может олицетворить клиента, запрашивающего службу. Чтобы включить службу для делегирования Kerberos, необходимо задать этот флаг в свойстве userAccountControl учетной записи службы.
NOT_DELEGATED. Если этот флаг установлен, контекст безопасности пользователя не делегируется службе, даже если учетная запись службы является доверенной для делегирования Kerberos.
USE_DES_KEY_ONLY . (Windows 2000/Windows Server 2003) Ограничить этот субъект только типами шифрования данных (DES) для ключей.
DONT_REQUIRE_PREAUTH — (Windows 2000/Windows Server 2003) Эта учетная запись не требует предварительной проверки подлинности Kerberos для входа.
PASSWORD_EXPIRED — (Windows 2000/Windows Server 2003) срок действия пароля пользователя истек.
TRUSTED_TO_AUTH_FOR_DELEGATION — (Windows 2000/Windows Server 2003) Учетная запись включена для делегирования. Это параметр с учетом безопасности. Учетные записи с включенным параметром должны быть строго контролироваться. Этот параметр позволяет службе, которая выполняется под учетной записью, предполагать удостоверение клиента и проходить проверку подлинности от имени этого пользователя на других удаленных серверах в сети.
PARTIAL_SECRETS_ACCOUNT — (Windows Server 2008/Windows Server 2008 R2) — это контроллер домена только для чтения (RODC). Это параметр с учетом безопасности. Удаление этого параметра из rodC компрометирует безопасность на этом сервере.
Значения UserAccountControl
Ниже приведены значения UserAccountControl по умолчанию для определенных объектов:
- Типичный пользователь: 0x200 (512)
- Контроллер домена: 0x82000 (532480)
- Рабочая станция или сервер: 0x1000 (4096)
- Доверие: 0x820 (2080)
Примечание.
Учетная запись доверия Windows освобождается от использования пароля через значение атрибута UserAccountControl PASSWD_NOTREQD, так как объекты доверия не используют традиционные атрибуты политики паролей и паролей таким же образом, как объекты пользователя и компьютера.
Секреты доверия представлены специальными атрибутами для учетных записей доверия между доменами, указывающими направление доверия. Секреты доверия входящего трафика хранятся в атрибуте trustAuthIncoming на стороне доверия доверия. Секреты доверия исходящего трафика хранятся в атрибуте trustAuthOutgoing в конце доверия доверия.
- Для двустороннего доверия объект INTERDOMAIN_TRUST_ACCOUNT на каждой стороне доверия будет иметь оба набора.
- Секреты доверия поддерживаются контроллером домена, который является ролью основного эмулятора контроллера домена (PDC) гибкой одно главной операции (FSMO) в доверенном домене.
- По этой причине атрибут UserAccountControl PASSWD_NOTREQD устанавливается по умолчанию для учетных записей INTERDOMAIN_TRUST_ACCOUNT.