使用 UserAccountControl 旗標來操作用戶帳戶屬性
本文說明如何使用 UserAccountControl 屬性操作使用者帳戶屬性的相關信息。
原始 KB 編號: 305144
摘要
當您開啟使用者帳戶的屬性時,按兩下 [帳戶] 索引標籤,然後選取或清除 [帳戶選項] 對話框中的複選框,數值會指派給UserAccountControl 屬性。 指派給 屬性的值會告知 Windows 已啟用哪些選項。
若要檢視用戶帳戶,請按兩下 [開始],指向 [程式],指向 [系統管理工具],然後按兩下 [Active Directory 使用者和電腦]。
屬性旗標的清單
您可以使用 Ldp.exe 工具或 Adsiedit.msc 嵌入式管理單元來檢視和編輯這些屬性。
下表列出您可以指派的可能旗標。 您無法在使用者或計算機物件上設定某些值,因為這些值只能由目錄服務設定或重設。 Ldp.exe以十六進位顯示值。 Adsiedit.msc 會以十進位顯示值。 旗標是累計的。 若要停用用戶帳戶,請將 UserAccountControl 屬性設定為 0x0202 (0x002 + 0x0200)。 在十進制中,它是 514 (2 + 512)。
注意
您可以在 Ldp.exe 和 Adsiedit.msc 中直接編輯 Active Directory。 只有有經驗的系統管理員才應該使用這些工具來編輯 Active Directory。 從原始 Windows 安裝媒體安裝支援工具之後,即可使用這兩種工具。
| 屬性旗標 | 值 (十六進位格式) | 值 (十進位格式) |
|---|---|---|
| 指令碼 | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| 閉廠 | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE 您無法直接修改 UserAccountControl 屬性來指派此許可權。 如需如何以程式設計方式設定許可權的資訊,請參閱 屬性旗標描述 一節。 |
0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 |
注意
在 Windows Server 2003 型網域中,LOCK_OUT和PASSWORD_EXPIRED已取代為名為 ms-DS-User-Account-Control-Computed 的新屬性。 如需這個新屬性的詳細資訊,請參閱 ms-DS-User-Account-Control-Computed 屬性。
屬性旗標描述
SCRIPT - 將會執行登入腳本。
ACCOUNTDISABLE - 使用者帳戶已停用。
HOMEDIR_REQUIRED - 需要主資料夾。
PASSWD_NOTREQD - 不需要密碼。
PASSWD_CANT_CHANGE - 使用者無法變更密碼。 這是使用者對象的許可權。 如需如何以程式設計方式設定此權限的資訊,請參閱 修改使用者無法變更密碼 (LDAP 提供者) 。
ENCRYPTED_TEXT_PASSWORD_ALLOWED - 使用者可以傳送加密的密碼。
TEMP_DUPLICATE_ACCOUNT - 這是主要帳戶位於另一個網域的用戶帳戶。 此帳戶可讓使用者存取此網域,但無法存取信任此網域的任何網域。 有時稱為本機用戶帳戶。
NORMAL_ACCOUNT - 這是代表一般使用者的預設帳戶類型。
INTERDOMAIN_TRUST_ACCOUNT - 這是信任其他網域之系統網域帳戶的允許。
WORKSTATION_TRUST_ACCOUNT - 這是執行 Microsoft Windows NT 4.0 工作站、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 專業版或 Windows 2000 Server 的電腦帳戶,且是此網域的成員。
SERVER_TRUST_ACCOUNT - 這是屬於此網域成員之域控制器的計算機帳戶。
DONT_EXPIRE_PASSWD - 代表密碼,該密碼不應在帳戶上過期。
MNS_LOGON_ACCOUNT - 這是 MNS 登入帳戶。
SMARTCARD_REQUIRED - 設定此旗標時,會強制使用者使用智慧卡登入。
TRUSTED_FOR_DELEGATION - 設定此旗標時,服務帳戶(使用者或計算機帳戶)會針對 Kerberos 委派信任執行服務。 任何這類服務都可以模擬要求服務的用戶端。 若要啟用 Kerberos 委派的服務,您必須在服務帳戶的 userAccountControl 屬性上設定此旗標。
NOT_DELEGATED - 設定此旗標時,即使服務帳戶設定為 Kerberos 委派信任,使用者的安全性內容也不會委派給服務。
USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) 限制此主體只對密鑰使用數據加密標準 (DES) 加密類型。
DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 此帳戶不需要 Kerberos 預先驗證來登入。
PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) 使用者的密碼已過期。
TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 帳戶已啟用委派。 這是安全性敏感性設定。 啟用此選項的帳戶應該受到嚴格控制。 此設定可讓在帳戶下執行的服務假設用戶端的身分識別,並以該使用者身分向網路上的其他遠端伺服器進行驗證。
PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008/Windows Server 2008 R2) 帳戶是只讀域控制器 (RODC)。 這是安全性敏感性設定。 從 RODC 移除此設定會危害該伺服器上的安全性。
UserAccountControl 值
以下是特定物件的預設 UserAccountControl 值:
- 一般使用者:0x200 (512)
- 域控制器:0x82000 (532480)
- 工作站/伺服器:0x1000 (4096)
- 信任:0x820 (2080)
注意
Windows 信任帳戶無法透過 PASSWD_NOTREQD UserAccountControl 屬性值取得密碼,因為信任物件不會以與使用者和計算機物件相同的方式使用傳統密碼原則和密碼屬性。
信任秘密是由網域間信任帳戶上的特殊屬性表示,表示信任的方向。 輸入信任秘密會儲存在 trustAuthIncoming 屬性中,位於信任的「信任」端。 輸出信任秘密會儲存在 trustAuthOutgoing 屬性中,位於信任的「信任」端。
- 對於雙向信任,信任的每一端INTERDOMAIN_TRUST_ACCOUNT對象都會同時設定。
- 信任密碼是由域控制器維護,這是信任網域中主要域控制器 (PDC) 模擬器彈性單一主機作業 (FSMO) 角色。
- 因此,預設會在INTERDOMAIN_TRUST_ACCOUNT帳戶上設定 PASSWD_NOTREQD UserAccountControl 屬性。