Verwenden der UserAccountControl-Flags zum Bearbeiten von Benutzerkontoeigenschaften

In diesem Artikel werden Informationen zur Verwendung des UserAccountControl-Attributs zum Bearbeiten von Benutzerkontoeigenschaften beschrieben.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 305144

Zusammenfassung

Wenn Sie die Eigenschaften für ein Benutzerkonto öffnen, klicken Sie auf die Registerkarte Konto, und dann aktivieren oder deaktivieren Sie die Kontrollkästchen im Dialogfeld Kontooptionen. Numerische Werte werden dem Attribut UserAccountControl zugewiesen. Der dem Attribut zugewiesene Wert teilt Windows mit, welche Optionen aktiviert wurden.

Um Benutzerkonten anzuzeigen, klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer.

Liste der Eigenschaftsflags

Sie können diese Attribute anzeigen und bearbeiten, indem Sie entweder das Tool „Ldp.exe“ oder das Snap-In „Adsiedit.msc“ verwenden.

In der folgenden Tabelle sind mögliche Flags aufgeführt, die Sie zuweisen können. Einige der Werte für ein Benutzer- oder Computerobjekt können Sie nicht festlegen, da diese Werte nur vom Verzeichnisdienst festgelegt oder zurückgesetzt werden können. „Ldp.exe“ zeigt die Werte hexadezimal an. „Adsiedit.msc“ zeigt die Werte als Dezimalwert an. Die Flags sind kumulativ. Um das Konto eines Benutzers zu deaktivieren, legen Sie das Attribut UserAccountControl auf 0x0202 (die Summe 0x002 + 0x0200) fest. Im Dezimalwert ist dies 514 (512 + 2).

Hinweis

Sie können Active Directory sowohl in „Ldp.exe“ als auch in „Adsiedit.msc“ direkt bearbeiten. Nur erfahrene Admins sollten diese Tools zum Bearbeiten von Active Directory verwenden. Beide Tools sind verfügbar, nachdem Sie die Supporttools von Ihren ursprünglichen Windows-Installationsmedien installiert haben.

Eigenschaftsflag Wert als Hexadezimalzahl Wert als Dezimalzahl
SCRIPT 0x0001 1
ACCOUNTDISABLE 0x0002 2
HOMEDIR_REQUIRED 0x0008 8
LOCKOUT 0x0010 16
PASSWD_NOTREQD 0x0020 32
PASSWD_CANT_CHANGE

Sie können diese Berechtigung nicht zuweisen, indem Sie das Attribut UserAccountControl direkt ändern. Informationen zum programmgesteuerten Festlegen der Berechtigung finden Sie im Abschnitt Beschreibungen der Eigenschaftsflags.
0x0040 64
ENCRYPTED_TEXT_PWD_ALLOWED 0x0080 128
TEMP_DUPLICATE_ACCOUNT 0x0100 256
NORMAL_ACCOUNT. 0x0200 512
INTERDOMAIN_TRUST_ACCOUNT 0x0800 2048
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
SERVER_TRUST_ACCOUNT 0x2000 8192
DONT_EXPIRE_PASSWORD 0x10000 65536
MNS_LOGON_ACCOUNT 0x20000 131072
SMARTCARD_REQUIRED 0x40000 262144
TRUSTED_FOR_DELEGATION 0x80000 524288
NOT_DELEGATED 0x100000 1048576
USE_DES_KEY_ONLY 0x200000 2097152
DONT_REQ_PREAUTH 0x400000 4194304
PASSWORD_EXPIRED 0x800000 8388608
TRUSTED_TO_AUTH_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0x04000000 67108864

Hinweis

In einer Windows Server 2003-basierten Domäne wurden LOCK_OUT und PASSWORD_EXPIRED durch ein neues Attribut namens „ms-DS-User-Account-Control-Computed“ ersetzt. Weitere Informationen zu diesem neuen Attribut finden Sie unter Attribut ms-DS-User-Account-Control-Computed.

Beschreibungen des Eigenschaftsflags

  • SCRIPT – Das Anmeldeskript wird ausgeführt.

  • ACCOUNTDISABLE – Das Benutzerkonto ist deaktiviert.

  • HOMEDIR_REQUIRED – Der Startordner ist erforderlich.

  • PASSWD_NOTREQD – Es ist kein Kennwort erforderlich.

  • PASSWD_CANT_CHANGE – Der Benutzer kann das Kennwort nicht ändern. Es handelt sich um eine Berechtigung für das Objekt des Benutzers. Informationen zum programmgesteuerten Festlegen dieser Berechtigung finden Sie unter Ändernder Benutzer kann Kennwort nicht ändern (LDAP-Anbieter).

  • ENCRYPTED_TEXT_PASSWORD_ALLOWED – Der Benutzer kann ein verschlüsseltes Kennwort senden.

  • TEMP_DUPLICATE_ACCOUNT – Es handelt sich um ein Konto für Benutzer, deren primäres Konto sich in einer anderen Domäne befindet. Dieses Konto bietet Benutzern Zugriff auf diese Domäne, aber nicht auf eine Domäne, die dieser Domäne vertraut. Es wird manchmal als lokales Benutzerkonto bezeichnet.

  • NORMAL_ACCOUNT – Es handelt sich um einen Standardkontotyp, der einen typischen Benutzer darstellt.

  • INTERDOMAIN_TRUST_ACCOUNT – Es ist eine Genehmigung, einem Konto für eine Systemdomäne zu vertrauen, die anderen Domänen vertraut.

  • WORKSTATION_TRUST_ACCOUNT – Es handelt sich um ein Computerkonto für einen Computer, auf dem Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional oder Windows 2000 Server ausgeführt wird, und der Mitglied dieser Domäne ist.

  • SERVER_TRUST_ACCOUNT – Es handelt sich um ein Computerkonto für einen Domänencontroller, der Mitglied dieser Domäne ist.

  • DONT_EXPIRE_PASSWD – Stellt das Kennwort dar, das für das Konto nie ablaufen sollte.

  • MNS_LOGON_ACCOUNT – Es handelt sich um ein MNS-Anmeldekonto.

  • SMARTCARD_REQUIRED – Wenn dieses Flag gesetzt ist, wird der Benutzer gezwungen, sich mit einer Smartcard anzumelden.

  • TRUSTED_FOR_DELEGATION – Wenn dieses Flag gesetzt ist, wird das Dienstkonto (das Benutzer- oder Computerkonto), unter dem ein Dienst ausgeführt wird, als vertrauenswürdig für die Kerberos-Delegierung eingestuft. Ein solcher Dienst kann die Identität eines Clients annehmen, der den Dienst anfordert. Um einen Dienst für die Kerberos-Delegierung zu aktivieren, müssen Sie dieses Flag auf die userAccountControl-Eigenschaft des Dienstkontos anwenden.

  • NOT_DELEGATED – Wenn dieses Flag gesetzt ist, wird der Sicherheitskontext des Benutzers nicht an einen Dienst delegiert, selbst wenn das Dienstkonto als vertrauenswürdig für die Kerberos-Delegierung festgelegt ist.

  • USE_DES_KEY_ONLY – (Windows 2000/Windows Server 2003) Beschränkt diesen Prinzipal so, dass nur DES-Verschlüsselungstypen (Data Encryption Standard) für Schlüssel verwendet werden.

  • DONT_REQUIRE_PREAUTH – (Windows 2000/Windows Server 2003) Für dieses Konto ist für die Anmeldung keine Kerberos-Vorauthentifizierung erforderlich.

  • PASSWORD_EXPIRED – (Windows 2000/Windows Server 2003) Das Kennwort des Benutzers ist abgelaufen.

  • TRUSTED_TO_AUTH_FOR_DELEGATION – (Windows 2000/Windows Server 2003) Das Konto ist für die Delegierung aktiviert. Dies ist eine sicherheitssensible Einstellung. Konten, für die diese Option aktiviert ist, sollten streng kontrolliert werden. Mit dieser Einstellung kann ein Dienst, der unter dem Konto ausgeführt wird, die Identität eines Clients annehmen und sich als dieser Benutzer bei anderen Remoteservern im Netzwerk authentifizieren.

  • PARTIAL_SECRETS_ACCOUNT – (Windows Server 2008/Windows Server 2008 R2) Das Konto ist ein schreibgeschützter Domänencontroller (RODC). Dies ist eine sicherheitssensible Einstellung. Das Entfernen dieser Einstellung aus einem RODC beeinträchtigt die Sicherheit auf diesem Server.

Werte von UserAccountControl

Hier sind die Standardwerte von UserAccountControl für bestimmte Objekte:

  • Typischer Benutzer: 0x200 (512)
  • Domänencontroller: 0x82000 (532480)
  • Workstation/Server: 0x1000 (4096)