Поделиться через


Атрибут контроля учетных записей пользователей

Флаги, управляющие поведением учетной записи пользователя.

Ввод Значение
CN Контроль учетных записей пользователей
Отображаемое имя ldap userAccountControl
Размер 4 байта.
Обновление привилегий Это значение задается системой.
Частота обновления При каждом изменении политики учетной записи.
Attribute-Id 1.2.840.113556.1.4.8
System-Id-Guid bf967a68-0de6-11d0-a285-00aa003049e2
Синтаксис Перечисления

Варианты реализации решения

Windows 2000 Server

Ввод Значение
Идентификатор ссылки -
MAPI-Id -
System-Only Неверно
Однозначное значение True
Индексируется True
В глобальном каталоге True
Nt-Security-Descriptor O:BAG:BAD:S:
Range-Lower -
Range-Upper -
Search-Flags 0x00000019
System-Flags 0x00000012
Классы, используемые в Пользователь

Windows Server 2003

Ввод Значение
Идентификатор ссылки -
MAPI-Id -
System-Only Неверно
Однозначное значение True
Индексируется True
В глобальном каталоге True
Nt-Security-Descriptor O:BAG:BAD:S:
Range-Lower -
Range-Upper -
Search-Flags 0x00000019
System-Flags 0x00000012
Классы, используемые в Пользователь

Windows Server 2003 R2

Ввод Значение
Идентификатор ссылки -
MAPI-Id -
System-Only Неверно
Однозначное значение True
Индексируется True
В глобальном каталоге True
Nt-Security-Descriptor O:BAG:BAD:S:
Range-Lower -
Range-Upper -
Search-Flags 0x00000019
System-Flags 0x00000012
Классы, используемые в Пользователь

Windows Server 2008

Ввод Значение
Идентификатор ссылки -
MAPI-Id -
System-Only Неверно
Однозначный True
Индексируется True
В глобальном каталоге True
Nt-Security-Descriptor O:BAG:BAD:S:
Range-Lower -
Range-Upper -
Search-Flags 0x00000019
System-Flags 0x00000012
Классы, используемые в Пользователь

Windows Server 2008 R2

Ввод Значение
Идентификатор ссылки -
MAPI-Id -
System-Only Неверно
Однозначный True
Индексируется True
В глобальном каталоге True
Nt-Security-Descriptor O:BAG:BAD:S:
Range-Lower -
Range-Upper -
Search-Flags 0x00000019
System-Flags 0x00000012
Классы, используемые в Пользователь

Windows Server 2012

Ввод Значение
Идентификатор ссылки -
MAPI-Id -
System-Only Неверно
Однозначный True
Индексируется True
В глобальном каталоге True
Nt-Security-Descriptor O:BAG:BAD:S:
Range-Lower -
Range-Upper -
Search-Flags 0x00000019
System-Flags 0x00000012
Классы, используемые в Пользователь

Комментарии

Это значение атрибута может быть равно нулю или комбинации одного или нескольких из следующих значений.

Шестнадцатеричное значение Идентификатор (определяется в iads.h) Описание
0x00000001 ADS_UF_SCRIPT Выполняется сценарий входа.
0x00000002 ADS_UF_ACCOUNTDISABLE Учетная запись пользователя отключена.
0x00000008 ADS_UF_HOMEDIR_REQUIRED Требуется домашний каталог.
0x00000010 ADS_UF_LOCKOUT Учетная запись в настоящее время заблокирована.
0x00000020 ADS_UF_PASSWD_NOTREQD Пароль не требуется.
0x00000040 ADS_UF_PASSWD_CANT_CHANGE Пользователь не может изменить пароль. Примечание: Невозможно назначить параметры разрешений PASSWD_CANT_CHANGE, непосредственно изменив атрибут UserAccountControl. Дополнительные сведения и пример кода, в который показано, как запретить пользователю изменять пароль, см. в разделе Пользователь не может изменить пароль.
:
0x00000080 ADS_UF_ENCRYPTED_TEXT_PASSWORD_ALLOWED Пользователь может отправить зашифрованный пароль.
0x00000100 ADS_UF_TEMP_DUPLICATE_ACCOUNT Это учетная запись для пользователей, основная учетная запись которых находится в другом домене. Эта учетная запись предоставляет пользователям доступ к этому домену, но не к любому домену, который доверяет этому домену. Также называется локальной учетной записью пользователя.
0x00000200 ADS_UF_NORMAL_ACCOUNT Это тип учетной записи по умолчанию, представляющий типичного пользователя.
0x00000800 ADS_UF_INTERDOMAIN_TRUST_ACCOUNT Это разрешение на доверие учетной записи для системного домена, который доверяет другим доменам.
0x00001000 ADS_UF_WORKSTATION_TRUST_ACCOUNT Это учетная запись компьютера, являющегося членом этого домена.
0x00002000 ADS_UF_SERVER_TRUST_ACCOUNT Это учетная запись компьютера для системного контроллера домена резервного копирования, который является членом этого домена.
0x00004000 Н/Д Не используется.
0x00008000 Н/Д Не используется.
0x00010000 ADS_UF_DONT_EXPIRE_PASSWD Срок действия пароля для этой учетной записи никогда не истечет.
0x00020000 ADS_UF_MNS_LOGON_ACCOUNT Это учетная запись для входа в MNS.
0x00040000 ADS_UF_SMARTCARD_REQUIRED Пользователь должен войти в систему с помощью смарт-карта.
0x00080000 ADS_UF_TRUSTED_FOR_DELEGATION Учетная запись службы (учетная запись пользователя или компьютера), под которой выполняется служба, является доверенной для делегирования Kerberos. Любая такая служба может олицетворять клиента, запрашивающего службу.
0x00100000 ADS_UF_NOT_DELEGATED Контекст безопасности пользователя не будет делегирован службе, даже если учетная запись службы является доверенной для делегирования Kerberos.
0x00200000 ADS_UF_USE_DES_KEY_ONLY Ограничьте этот субъект, чтобы использовать только типы шифрования des для ключей.
0x00400000 ADS_UF_DONT_REQUIRE_PREAUTH Для входа в эту учетную запись не требуется предварительная проверка подлинности Kerberos.
0x00800000 ADS_UF_PASSWORD_EXPIRED Срок действия пароля пользователя истек. Этот флаг создается системой с использованием данных из атрибута Pwd-Last-Set и политики домена.
0x01000000 ADS_UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION Учетная запись включена для делегирования. Это параметр с учетом безопасности; Учетные записи с включенным параметром должны строго контролироваться. Этот параметр позволяет службе, работающей под учетной записью, принимать удостоверение клиента и проходить проверку подлинности от имени этого пользователя на других удаленных серверах в сети.