Använda UserAccountControl-flaggor för att ändra egenskaper för användarkonton
Den här artikeln beskriver information om hur du använder attributet UserAccountControl för att ändra egenskaperna för användarkontot.
Ursprungligt KB-nummer: 305144
Sammanfattning
När du öppnar egenskaperna för ett användarkonto klickar du på fliken Konto och markerar eller avmarkerar kryssrutorna i dialogrutan Kontoalternativ . Numeriska värden tilldelas attributet UserAccountControl . Värdet som tilldelas attributet anger för Windows vilka alternativ som har aktiverats.
Om du vill visa användarkonton klickar du på Start, pekar på Program, pekar på Administrationsverktyg och klickar sedan på Active Directory - användare och datorer.
Lista över egenskapsflaggor
Du kan visa och redigera dessa attribut med hjälp av antingen Ldp.exe-verktyget eller snapin-modulen Adsiedit.msc.
I följande tabell visas möjliga flaggor som du kan tilldela. Du kan inte ange några av värdena för ett användar- eller datorobjekt eftersom dessa värden endast kan anges eller återställas av katalogtjänsten. Ldp.exe visar värdena i hexadecimalt. Adsiedit.msc visar värdena i decimaltecken. Flaggorna är kumulativa. Om du vill inaktivera en användares konto anger du attributet UserAccountControl till 0x0202 (0x002 + 0x0200). I decimal är det 514 (2 + 512).
Kommentar
Du kan redigera Active Directory direkt i både Ldp.exe och Adsiedit.msc. Endast erfarna administratörer bör använda dessa verktyg för att redigera Active Directory. Båda verktygen är tillgängliga när du har installerat supportverktygen från ditt ursprungliga Windows-installationsmedium.
| Egenskapsflagga | Värde i hexadecimalt | Värde i decimal |
|---|---|---|
| MANUS | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| LOCKOUT | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE Du kan inte tilldela den här behörigheten genom att ändra attributet UserAccountControl direkt. Information om hur du anger behörigheten programmatiskt finns i avsnittet Beskrivningar av egenskapsflagga . |
0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 |
Kommentar
I en Windows Server 2003-baserad domän har LOCK_OUT och PASSWORD_EXPIRED ersatts med ett nytt attribut med namnet ms-DS-User-Account-Control-Computed. Mer information om det här nya attributet finns i attributet ms-DS-User-Account-Control-Computed.
Beskrivningar av egenskapsflagga
SCRIPT – Inloggningsskriptet kommer att köras.
ACCOUNTDISABLE – användarkontot är inaktiverat.
HOMEDIR_REQUIRED – Hemmappen krävs.
PASSWD_NOTREQD – Inget lösenord krävs.
PASSWD_CANT_CHANGE – Användaren kan inte ändra lösenordet. Det är en behörighet för användarens objekt. Information om hur du programmatiskt anger den här behörigheten finns i Ändra användare kan inte ändra lösenord (LDAP-provider).
ENCRYPTED_TEXT_PASSWORD_ALLOWED – Användaren kan skicka ett krypterat lösenord.
TEMP_DUPLICATE_ACCOUNT – Det är ett konto för användare vars primära konto finns i en annan domän. Det här kontot ger användaråtkomst till den här domänen, men inte till någon domän som litar på den här domänen. Det kallas ibland för ett lokalt användarkonto.
NORMAL_ACCOUNT – Det är en standardkontotyp som representerar en typisk användare.
INTERDOMAIN_TRUST_ACCOUNT – Det är ett tillstånd att lita på ett konto för en systemdomän som litar på andra domäner.
WORKSTATION_TRUST_ACCOUNT – Det är ett datorkonto för en dator som kör Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional eller Windows 2000 Server och är medlem i den här domänen.
SERVER_TRUST_ACCOUNT – Det är ett datorkonto för en domänkontrollant som är medlem i den här domänen.
DONT_EXPIRE_PASSWD – Representerar lösenordet, som aldrig ska upphöra att gälla för kontot.
MNS_LOGON_ACCOUNT – Det är ett MNS-inloggningskonto.
SMARTCARD_REQUIRED – När den här flaggan har angetts tvingar den användaren att logga in med hjälp av ett smartkort.
TRUSTED_FOR_DELEGATION – När den här flaggan har angetts är tjänstkontot (användaren eller datorkontot) under vilket en tjänst körs betrodd för Kerberos-delegering. Alla sådana tjänster kan personifiera en klient som begär tjänsten. Om du vill aktivera en tjänst för Kerberos-delegering måste du ange den här flaggan för egenskapen userAccountControl för tjänstkontot.
NOT_DELEGATED – När den här flaggan har angetts delegeras inte användarens säkerhetskontext till en tjänst även om tjänstkontot har angetts som betrott för Kerberos-delegering.
USE_DES_KEY_ONLY – (Windows 2000/Windows Server 2003) Begränsa det här huvudkontot till att endast använda krypteringstyperna Data Encryption Standard (DES) för nycklar.
DONT_REQUIRE_PREAUTH – (Windows 2000/Windows Server 2003) Det här kontot kräver inte Kerberos-förautentisering för inloggning.
PASSWORD_EXPIRED – (Windows 2000/Windows Server 2003) Användarens lösenord har upphört att gälla.
TRUSTED_TO_AUTH_FOR_DELEGATION – (Windows 2000/Windows Server 2003) Kontot är aktiverat för delegering. Det är en säkerhetskänslig inställning. Konton som har det här alternativet aktiverat bör kontrolleras noggrant. Med den här inställningen kan en tjänst som körs under kontot anta en klients identitet och autentiseras som den användaren till andra fjärrservrar i nätverket.
PARTIAL_SECRETS_ACCOUNT – (Windows Server 2008/Windows Server 2008 R2) Kontot är en skrivskyddad domänkontrollant (RODC). Det är en säkerhetskänslig inställning. Om du tar bort den här inställningen från en RODC äventyras säkerheten på servern.
UserAccountControl-värden
Här är standardvärdena för UserAccountControl för vissa objekt:
- Typisk användare: 0x200 (512)
- Domänkontrollant: 0x82000 (532480)
- Arbetsstation/server: 0x1000 (4096)
- Förtroende: 0x820 (2080)
Kommentar
Ett Windows-förtroendekonto undantas från att ha ett lösenord via PASSWD_NOTREQD UserAccountControl-attributvärde eftersom förtroendeobjekt inte använder den traditionella lösenordsprincipen och lösenordsattributen på samma sätt som användar- och datorobjekt.
Förtroendehemligheter representeras av särskilda attribut på kontona för interdomänförtroende, vilket anger förtroendets riktning. Inkommande förtroendehemligheter lagras i attributet trustAuthIncoming på den "betrodda" sidan av ett förtroende. Hemligheter för utgående förtroende lagras i attributet trustAuthOutgoing i slutet av ett förtroende.
- För dubbelriktade förtroenden har både INTERDOMAIN_TRUST_ACCOUNT-objektet på varje sida av förtroendet angetts.
- Förtroendehemligheter underhålls av domänkontrollanten som är den primära domänkontrollantens (PDC) roll för flexibel enkel huvudåtgärd (FSMO) i den betrodda domänen.
- Därför anges attributet PASSWD_NOTREQD UserAccountControl på INTERDOMAIN_TRUST_ACCOUNT konton som standard.