使用者安全性屬性
除了為用戶物件命名屬性,例如 objectGUID、objectSid、cn、distinguishedName 等,還有其他安全性屬性用於登入、網路存取和訪問控制。 Windows 安全性系統會使用這些屬性,而且可由 Active Directory 使用者和電腦嵌入式管理單元來檢視及管理。
accountExpires
accountExpires 屬性會指定帳戶到期的時間。 此值會儲存為大型整數,代表自 1601 年 1 月 1 日 (UTC) 以來的 100 奈秒間隔數目。 TIMEQ_FOREVER值 (定義於 Lmaccess.h) 表示帳戶永遠不會過期。
altSecurityIdentities
altSecurityIdentities 屬性是多重值屬性,其中包含 X.509 憑證或外部 Kerberos 使用者帳戶的對應,以便進行驗證。 各種安全性套件,包括公鑰驗證套件和 Kerberos,在使用者呈現憑證、UNIX Kerberos 票證等替代形式的識別時,使用此數據來驗證使用者。 根據對應的用戶帳戶建置 Windows 2000 令牌,讓他們可以存取系統資源。
針對 X.509 憑證,這些值應該是 509v3 憑證中的簽發者和主體名稱,這些憑證是由外部公用證書頒發機構單位所簽發,對應至用來尋找驗證帳戶的用戶帳戶。 SSL (Schannel) 套件使用下列語法:X509:<somecertinfotype>somecertinfo。 例如,下列值會使用 DN “C=US,O=InternetCA,CN=APublicCertificateAuthority” 指定簽發者 DN< “I>”,並使用 DN “C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith” 來指定主體 DN “<S>”。
X509:<I>C=US,O=InternetCA,CN=APublicCertificateAuthority<S>C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith
請注意,支援 「<S>」 或 「<I>」 和 「<S>」。 僅支援 「<我>」。 應用程式不應該修改 「<I>」 或 「<S>」 內的值,因為不支援部分 DN 比對。
針對外部 Kerberos 帳戶,這些值應該是 Kerberos 帳戶名稱。 Kerberos 套件使用下列語法: Kerberos:MITaccountname。 例如,下列是 位於 Fabrikam.com的帳戶值:
Kerberos:Jeff.Smith@Fabrikam.com
badPasswordTime
未複寫。 badPasswordTime 屬性會指定使用者上次嘗試使用不正確密碼登入帳戶的時間。 此值會儲存為大型整數,代表自 1601 年 1 月 1 日 (UTC) 以來的 100 奈秒間隔數目。 此屬性會分別在網域中的每個域控制器上維護。 值為零表示最後一個不正確的密碼時間未知。 若要取得網域中使用者上次錯誤密碼時間的準確值,必須查詢網域中的每個域控制器,而且應該使用最大值。
badPwdCount
未複寫。 badPwdCount 屬性會指定用戶嘗試使用不正確密碼登入帳戶的次數。 此屬性會分別在網域中的每個域控制器上維護。 的值 0 表示值未知。 若要取得網域中用戶密碼嘗試總數的精確值,必須查詢網域中的每個域控制器,而且應該使用值的總和。
codePage
codePage 屬性會指定使用者所選語言的代碼頁。 Windows 不會使用此值。
countryCode
countryCode 屬性會指定用戶語言的國家/地區代碼。 Windows 不會使用此值。
homeDirectory
homeDirectory 屬性會指定使用者主目錄的路徑。 字串可以是 Null。
如果 homeDrive 已設定並指定驅動器號,homeDirectory 應該是 UNC 路徑。 路徑必須是格式為 \\server\share\directory 的網路 UNC 路徑。 這個值可以是 Null 字串。
如果未設定 homeDrive,homeDirectory 應該是本機路徑,例如 C:\mylocaldir。
homeDrive
homeDrive 屬性會指定要對應所指定 UNC 路徑的homeDirectory驅動器號。 驅動器號必須以下欄形式指定:
<drive letter>:
其中「<驅動器號>」是要對應之磁碟驅動器的字母。 例如:
Z:
如果未設定此屬性, homeDirectory 應該是本機路徑,例如 C:\mylocaldir。
lastLogoff
未複寫。 lastLogoff 屬性會指定上次註銷的時間。 此值會儲存為大型整數,代表自 1601 年 1 月 1 日 (UTC) 以來的 100 奈秒間隔數目。 這個大型整數的高部分會對應至 dwHighDateTime FILETIME 結構的成員,而低部分則對應至 dwLowDateTime 結構的成員FILETIME。 此屬性會分別在網域中的每個域控制器上維護。 值為零表示最後一次註銷時間未知。 若要取得使用者上次在網域中註銷的精確值,必須查詢網域中的每個域控制器,而且應該使用最大值。
lastLogon
未複寫。 lastLogon 屬性會指定上次登入的時間。 此值會儲存為大型整數,代表自 1601 年 1 月 1 日 (UTC) 以來的 100 奈秒間隔數目。 這個大型整數的高部分會對應至 dwHighDateTime FILETIME 結構的成員,而低部分則對應至 dwLowDateTime 結構的成員FILETIME。 此屬性會分別在網域中的每個域控制器上維護。 值為零表示最後一次登入時間未知。 若要取得使用者上次登入網域的準確值,必須查詢網域中的每個域控制器,並使用最大值。
lmPwdHistory
lmPwdHistory 屬性是 LAN Manager (LM) 單向格式 (OWF) 中使用者的密碼歷程記錄。 LM OWF 可用來與 LAN Manager 2.x 用戶端、Windows 95 和 Windows 98 相容。 這個屬性只供操作系統使用。 請注意,您無法從密碼的 OWF 格式衍生純文字密碼。
logonCount
未複寫。 logonCount 屬性會計算用戶嘗試登入此帳戶的成功次數。 此屬性會在網域中的每個域控制器上維護。 的值 0 表示值未知。 若要取得用戶網域中成功登入嘗試次數的準確值,必須查詢網域中的每個域控制器,而且應該使用值的總和。
郵件
郵件屬性是單一值屬性,其中包含使用者的 SMTP 位址,jeff@Fabrikam.com例如 。
max 儲存體
max 儲存體 屬性會指定使用者可以使用的硬碟空間上限。 使用 USER_MAXSTORAGE_UNLIMITED (定義於 Lmaccess.h) 值來使用所有可用的磁碟空間。
memberOf
memberOf 屬性是多重值屬性,其中包含使用者是直接成員的群組,但主要群組除外,主要群組是由 primaryGroupId 表示。 群組成員資格取決於從中擷取此屬性的域控制器 (DC):
- 在包含使用者的網域的DC中,該使用者的成員資格與該網域中的群組成員資格有關,而完成該使用者的成員資格;不過,
memberOf不包含使用者在其他網域中網域本機和全域群組中的成員資格。 - 在 GC 伺服器上, 用戶成員Of 會完成所有通用群組成員資格。
如果 DC 的這兩個條件都成立,這兩組數據都會包含在 memberOf 中。
請注意,此屬性會列出在其成員屬性中包含使用者的群組,但不包含巢狀前置專案的遞歸清單。 例如,如果使用者 O 是群組 C 的成員,而群組 B 和群組 B 是巢狀於群組 A 中, 則使用者 O 的 memberOf 屬性會列出群組 C 和群組 B,而不是群組 A。
這個屬性不會儲存,它是計算的後端鏈接屬性。
ntPwdHistory
ntPwdHistory 屬性是 Windows NT 單向格式 (OWF) 中使用者的密碼歷程記錄。 Windows 使用 Windows NT OWF。 這個屬性只供操作系統使用。 請注意,您無法從密碼的 OWF 格式衍生純文字密碼。
otherMailbox
otherMailbox 屬性是多重值屬性,其中包含表單中的其他其他郵件位址,例如 CCMAIL: JeffSmith。
PasswordExpirationDate
密碼到期日不是用戶物件上的屬性。 這是根據使用者網域之 pwdLastSet 和使用者網域 maxPwdAge 的總和計算值。 若要取得密碼到期日,請取得 IADsUser.PasswordExpirationDate 屬性。 您無法修改使用者的這個屬性;請改為設定 IADsDomain.MaxPasswordAge 屬性,以變更網域的設定。
primaryGroupId
primaryGroupId 屬性是單一值屬性,其中包含物件主要群組之群組的 primaryGroupToken。 物件的主要群組不包含在 memberOf 屬性中。 例如,根據預設,用戶物件的主要群組是 primaryGroupToken Domain Users 群組的 ,但 Domain Users 群組不是使用者物件屬性的 memberOf 一部分。
profilePath
profilePath 屬性會指定使用者配置檔的路徑。 這個值可以是 Null 字串、本機絕對路徑或 UNC 路徑。
pwdLastSet
pwdLastSet 屬性會指定上次變更密碼的時間。 此值會儲存為大型整數,代表自 1601 年 1 月 1 日 (UTC) 以來的 100 奈秒間隔數目。
系統會使用這個屬性的值,以及 包含用戶物件之網域的 maxPwdAge 屬性來計算密碼到期日。 也就是說,用戶和使用者網域的 pwdLastSet 總和maxPwdAge。
此屬性可控制使用者下次登入時,是否必須變更密碼。 如果 pwdLastSet 為零,則預設值為 ,用戶必須在下次登入時變更密碼。 值 -1 表示使用者不需要在下一次登入時變更密碼。 系統會在使用者設定密碼之後,將此值 -1 設定為 。
sAMAccountType
sAMAccountType 屬性會指定代表帳戶類型的整數。 這是由建立物件時由作業系統所設定。
scriptPath
scriptPath 屬性會指定使用者登入腳本、.cmd、.exe或.bat檔案的路徑。 字串可以是 Null。
tokenGroups
tokenGroups 屬性是多重值屬性,其中包含使用者是直接和間接成員之所有群組的 SID,包括主要群組的 SID。 只有當全域編錄 (GC) 伺服器存在以擷取可轉移的反向成員資格時,才能擷取這個屬性。
請注意,此屬性會列出在其成員屬性中包含使用者的群組,以及在其成員屬性中包含這些群組的群組,以遞歸方式列出這些群組。 例如,如果使用者 O 是群組 C 和群組 B 和群組 B 的成員,則使用者 O 的 tokenGroups 屬性會列出群組 C、群組 B 和群組 A。
tokenGroups 屬性是一個有用的屬性,用於取得兩個LDAP查詢中的群組成員資格清單:第一個從使用者的 tokenGroups 屬性取得群組 SID 清單,第二個使用該清單的 SID 來取得每個群組的名稱屬性。 它可避免進行多個搜尋,以展開 primaryGroupId 屬性,並以遞歸方式展開 memberOf 屬性。
unicodePwd
unicodePwd 屬性是用戶密碼。
若要設定用戶密碼,如果您的腳本或應用程式可讓用戶變更自己的密碼,或 IADsUser.SetPassword 方法,如果您的腳本或應用程式允許系統管理員重設密碼,請使用 IADsUser.ChangePassword 方法。
Windows NT 單向格式的用戶密碼(OWF)。 Windows 使用 Windows NT OWF。 這個屬性只能由操作系統使用。 請注意,您無法從密碼的 OWF 格式衍生純文字密碼。
userAccountControl
userAccountControl 屬性會指定旗標,以控制用戶的密碼、鎖定、停用/啟用、腳本和主目錄行為。 這個屬性也包含旗標,指出對象的帳戶類型。 用戶物件通常會設定UF_NORMAL_ACCOUNT。
下列旗標定義於 Lmaccess.h 中。
| 旗標 | 描述 |
|---|---|
| UF_SCRIPT | 執行的登入腳本。 必須針對 LAN Manager 2.0 或 Windows NT 設定此值。 |
| UF_ACCOUNTDISABLE | 用戶帳戶已停用。 |
| UF_HOMEDIR_REQUIRED | 需要主目錄。 Windows NT 和 Windows 2000 中會忽略此值。 |
| UF_PASSWD_NOTREQD | 不需要密碼。 |
| UF_PASSWD_CANT_CHANGE | 用戶無法變更密碼。 |
| UF_LOCKOUT | 帳戶目前已鎖定。 您可以清除此值以解除鎖定先前鎖定的帳戶。 這個值無法用來鎖定先前鎖定的帳戶。 |
| UF_DONT_EXPIRE_PASSWD | 表示密碼,該密碼不應在帳戶上過期。 |
下列旗標描述帳戶類型。 只能設定一個值。 您無法變更帳戶類型。
| 旗標 | 描述 |
|---|---|
| UF_NORMAL_ACCOUNT | 這是代表一般用戶的預設帳戶類型。 |
| UF_TEMP_DUPLICATE_ACCOUNT | 這是主要帳戶位於另一個網域的用戶帳戶。 此帳戶可讓使用者存取此網域,但無法存取信任此網域的任何網域。 使用者管理員會將此帳戶類型稱為本機用戶帳戶。 |
| UF_WORKSTATION_TRUST_ACCOUNT | 這是屬於此網域成員之 Windows NT 工作站/Windows 2000 專業版或 Windows NT Server/Windows 2000 Server 的電腦帳戶。 |
| UF_SERVER_TRUST_ACCOUNT | 這是屬於此網域成員之 Windows NT 備份域控制器的電腦帳戶。 |
| UF_INTERDOMAIN_TRUST_ACCOUNT | 這是信任其他網域之 Windows NT 網域之帳戶的允許。 |
userCertificate
userCertificate 屬性是多重值屬性,其中包含發給使用者的 DER 編碼 X509v3 憑證。 請注意,此屬性包含由 Microsoft 憑證服務發行給此使用者的公鑰憑證。
userSharedFolder
userSharedFolder 屬性會指定使用者共享資料夾的 UNC 路徑。 路徑必須是格式為 \\server\share\directory 的網路 UNC 路徑。 這個值可以是 Null 字串。
userWorkstations
userWorkstations 屬性是單一值屬性,其中包含使用者可以登入之工作站的 NetBIOS 名稱。 每個 NetBIOS 名稱都會以逗號分隔。
如果未設定任何值,這表示沒有任何限制。 若要停用從所有工作站登入此帳戶,請在userAccountControl屬性中設定 UF_ACCOUNTDISABLE 值 (定義於 Lmaccess.h 中)。