Attributi di sicurezza utente
Oltre alla denominazione delle proprietà per gli oggetti utente, ad esempio objectGUID, objectSid, cn, distinguishedName e così via, sono disponibili altre proprietà di sicurezza usate per l'accesso, l'accesso alla rete e il controllo di accesso. Queste proprietà vengono usate dal sistema di sicurezza di Windows e possono essere visualizzate e gestite dallo snap-in Utenti e computer di Active Directory.
accountExpires
L'attributo accountExpires specifica quando scade un account. Questo valore viene archiviato come numero intero di grandi dimensioni che rappresenta il numero di intervalli di 100 nanosecondi dal 1° gennaio 1601 (UTC). Un valore di TIMEQ_FOREVER (definito in Lmaccess.h) indica che un account non scade mai.
altSecurityIdentities
L'attributo altSecurityIdentities è un attributo multivalore che contiene mapping per certificati X.509 o account utente Kerberos esterni a questo utente allo scopo dell'autenticazione. Diversi pacchetti di sicurezza, tra cui il pacchetto di autenticazione a chiave pubblica e Kerberos, usano questi dati per autenticare gli utenti quando presentano la forma alternativa di identificazione, ad esempio certificato, ticket KERBEROS UNIX e così via. Creare un token di Windows 2000 in base all'account utente corrispondente in modo che possano accedere alle risorse di sistema.
Per i certificati X.509, i valori devono essere i nomi issuer e subject nei certificati 509v3 rilasciati da un'autorità di certificazione pubblica esterna, che eseguono il mapping all'account utente usato per trovare un account per l'autenticazione. Il pacchetto SSL (Schannel) usa la sintassi seguente: X509:<somecertinfotype>somecertinfoinfo. Ad esempio, il valore seguente specifica il DN dell'autorità emittente "<I>" con il DN "C=US,O=InternetCA,CN=APublicCertificateAuthority" e il soggetto DN "<S>" con il DN "C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith".
X509:<I>C=US,O=InternetCA,CN=APublicCertificateAuthority<S>C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith
Tenere presente che "<S>" o "<I>" e "<S>" sono supportati. La presenza di solo "<I>" non è supportata. Le applicazioni non devono modificare i valori all'interno di "<I>" o "<S>" perché la corrispondenza DN parziale non è supportata.
Per gli account Kerberos esterni, i valori devono essere il nome dell'account Kerberos. Il pacchetto Kerberos usa la sintassi seguente: Kerberos:MITaccountname. Ad esempio, di seguito è riportato il valore per un account in Fabrikam.com:
Kerberos:Jeff.Smith@Fabrikam.com
badPasswordTime
Non replicato. L'attributo badPasswordTime specifica l'ultima volta che l'utente ha tentato di accedere all'account usando una password non corretta. Questo valore viene archiviato come numero intero di grandi dimensioni che rappresenta il numero di intervalli di 100 nanosecondi dal 1° gennaio 1601 (UTC). Questo attributo viene mantenuto separatamente in ogni controller di dominio nel dominio. Il valore zero indica che l'ora dell'ultima password non valida è sconosciuta. Per ottenere un valore accurato per l'ora dell'ultima password non valida dell'utente nel dominio, è necessario eseguire una query su ogni controller di dominio nel dominio e usare il valore più grande.
badPwdCount
Non replicato. L'attributo badPwdCount specifica il numero di tentativi di accesso dell'utente all'account usando una password non corretta. Questo attributo viene mantenuto separatamente in ogni controller di dominio nel dominio. Un valore indica 0 che il valore è sconosciuto. Per ottenere un valore accurato per i tentativi totali di password non validi dell'utente nel dominio, è necessario eseguire una query su ogni controller di dominio nel dominio e usare la somma dei valori.
Codepage
L'attributo codePage specifica la tabella codici per la lingua scelta dall'utente. Questo valore non viene utilizzato da Windows.
countryCode
L'attributo countryCode specifica il codice paese/area geografica per la lingua dell'utente. Questo valore non viene utilizzato da Windows.
homeDirectory
L'attributo homeDirectory specifica il percorso della home directory per l'utente. La stringa può essere null.
Se homeDrive è impostato e specifica una lettera di unità, homeDirectory deve essere un percorso UNC. Il percorso deve essere un percorso UNC di rete nel formato \\server\share\directory. Questo valore può essere una stringa Null.
Se homeDrive non è impostato, homeDirectory deve essere un percorso locale, ad esempio C:\mylocaldir.
Homedrive
L'attributo homeDrive specifica la lettera di unità a cui eseguire il mapping del percorso UNC specificato da homeDirectory. La lettera di unità deve essere specificata nel formato seguente:
<drive letter>:
dove "<lettera di unità" è la lettera> dell'unità da mappare. Ad esempio:
Z:
Se questo attributo non è impostato, homeDirectory deve essere un percorso locale, ad esempio C:\mylocaldir.
lastLogoff
Non replicato. L'attributo lastLogoff specifica quando si è verificata l'ultima disconnessione. Questo valore viene archiviato come numero intero di grandi dimensioni che rappresenta il numero di intervalli di 100 nanosecondi dal 1° gennaio 1601 (UTC). La parte alta di questo intero di grandi dimensioni corrisponde al dwHighDateTime membro della struttura FILETIME e la parte bassa corrisponde al dwLowDateTime membro della FILETIME struttura. Questo attributo viene mantenuto separatamente in ogni controller di dominio nel dominio. Il valore zero indica che l'ora dell'ultima disconnessione è sconosciuta. Per ottenere un valore accurato per l'ultimo logoff dell'utente nel dominio, è necessario eseguire una query su ogni controller di dominio nel dominio e usare il valore più grande.
lastLogon
Non replicato. L'attributo lastLogon specifica quando si è verificato l'ultimo accesso. Questo valore viene archiviato come numero intero di grandi dimensioni che rappresenta il numero di intervalli di 100 nanosecondi dal 1° gennaio 1601 (UTC). La parte alta di questo intero di grandi dimensioni corrisponde al dwHighDateTime membro della struttura FILETIME e la parte bassa corrisponde al dwLowDateTime membro della FILETIME struttura. Questo attributo viene mantenuto separatamente in ogni controller di dominio nel dominio. Un valore pari a zero indica che l'ora dell'ultimo accesso è sconosciuta. Per ottenere un valore accurato per l'ultimo accesso dell'utente nel dominio, è necessario eseguire una query su ogni controller di dominio nel dominio e usare il valore più grande.
lmPwdHistory
L'attributo lmPwdHistory è la cronologia delle password dell'utente in formato unidirezionale (LM) di LAN Manager (OWF). LM OWF viene usato per la compatibilità con i client LAN Manager 2.x, Windows 95 e Windows 98. Questo attributo viene usato solo dal sistema operativo. Tenere presente che non è possibile derivare la password in testo non crittografato dal formato OWF della password.
logonCount
Non replicato. L'attributo logonCount conta il numero di volte in cui l'utente ha tentato di accedere a questo account. Questo attributo viene mantenuto in ogni controller di dominio nel dominio. Un valore indica 0 che il valore è sconosciuto. Per ottenere un valore accurato per il numero totale di tentativi di accesso riusciti nel dominio, è necessario eseguire query su ogni controller di dominio nel dominio e usare la somma dei valori.
L'attributo mail è un attributo a valore singolo che contiene l'indirizzo SMTP per l'utente, ad esempio jeff@Fabrikam.com.
max Archiviazione
L'attributo max Archiviazione specifica la quantità massima di spazio su disco rigido che l'utente può usare. Usare il valore U edizione StandardR_MAXSTORAGE_UNLIMITED (definito in Lmaccess.h) per usare tutto lo spazio su disco disponibile.
memberOf
L'attributo memberOf è un attributo multivalore che contiene gruppi di cui l'utente è un membro diretto, ad eccezione del gruppo primario, rappresentato da primaryGroupId. L'appartenenza al gruppo dipende dal controller di dominio da cui viene recuperato questo attributo:
- In un controller di dominio per il dominio che contiene l'utente, memberOf per l'utente è completo rispetto all'appartenenza ai gruppi in tale dominio. Tuttavia,
memberOfnon contiene l'appartenenza dell'utente a gruppi locali e globali di dominio in altri domini. - In un server GC, memberOf per l'utente è completo rispetto a tutte le appartenenze a gruppi universali.
Se entrambe le condizioni sono vere per il controller di dominio, entrambi i set di dati sono contenuti in memberOf.
Tenere presente che questo attributo elenca i gruppi che contengono l'utente nell'attributo membro, ma non contiene l'elenco ricorsivo di predecessori annidati. Ad esempio, se l'utente O è un membro del gruppo C e del gruppo B e del gruppo B sono annidati nel gruppo A, l'attributo memberOf dell'utente O elenca il gruppo C e il gruppo B, ma non il gruppo A.
Questo attributo non è archiviato. Si tratta di un attributo di back-link calcolato.
ntPwdHistory
L'attributo ntPwdHistory è la cronologia delle password dell'utente in formato unidirezionale (OWF) di Windows NT. Windows usa Windows NT OWF. Questo attributo viene usato solo dal sistema operativo. Tenere presente che non è possibile derivare la password in testo non crittografato dal formato OWF della password.
otherMailbox
L'altro attributoMailbox è un attributo multivalore che contiene altri indirizzi di posta elettronica aggiuntivi in un modulo, CCMAIL: JeffSmithad esempio .
PasswordExpirationDate
La data di scadenza della password non è un attributo nell'oggetto utente. Si tratta di un valore calcolato basato sulla somma di pwdLastSet per l'utente e maxPwdAge del dominio dell'utente. Per ottenere la data di scadenza della password, ottenere la proprietà IADsUser.PasswordExpirationDate. Non è possibile modificare questo attributo per un utente; Impostare invece la proprietà IADsDomain.MaxPasswordAge per modificare l'impostazione per il dominio.
primaryGroupId
L'attributo primaryGroupId è un attributo a valore singolo che contiene il primaryGroupToken del gruppo che è il gruppo primario dell'oggetto . Il gruppo primario dell'oggetto non è incluso nell'attributo memberOf . Per impostazione predefinita, ad esempio, il gruppo primario di un oggetto utente è quello primaryGroupToken del gruppo Domain Users, ma il gruppo Domain Users non fa parte dell'attributo dell'oggetto memberOf utente.
profilePath
L'attributo profilePath specifica un percorso del profilo dell'utente. Questo valore può essere una stringa Null, un percorso assoluto locale o un percorso UNC.
pwdLastSet
L'attributo pwdLastSet specifica quando la password è stata modificata per l'ultima volta. Questo valore viene archiviato come numero intero di grandi dimensioni che rappresenta il numero di intervalli di 100 nanosecondi dal 1° gennaio 1601 (UTC).
Il sistema usa il valore di questo attributo e l'attributo maxPwdAge del dominio che contiene l'oggetto utente per calcolare la data di scadenza della password. Ovvero la somma di pwdLastSet per l'utente e maxPwdAge il dominio dell'utente.
Questo attributo controlla se l'utente deve modificare la password quando l'utente esegue l'accesso successivo. Se pwdLastSet è zero, l'impostazione predefinita, l'utente deve modificare la password all'accesso successivo. Il valore -1 indica che l'utente non è necessario per modificare la password all'accesso successivo. Il sistema imposta questo valore su -1 dopo che l'utente ha impostato la password.
sAMAccountType
L'attributo sAMAccountType specifica un numero intero che rappresenta il tipo di account. Questa impostazione viene impostata dal sistema operativo quando viene creato l'oggetto .
scriptPath
L'attributo scriptPath specifica il percorso dello script di accesso dell'utente, .cmd, .exe o .bat file. La stringa può essere null.
tokenGroups
L'attributo tokenGroups è un attributo multivalore che contiene il SID di tutti i gruppi di cui l'utente è un membro diretto e indiretto, incluso per il gruppo primario. Questo attributo può essere recuperato solo se è presente un server GC (Global Catalog) per recuperare le appartenenze inverse transitive.
Tenere presente che questo attributo elenca i gruppi che contengono l'utente nell'attributo membro, nonché i gruppi che contengono tali gruppi nell'attributo membro e così via in modo ricorsivo. Ad esempio, se l'utente O è un membro del gruppo C e del gruppo B e del gruppo B sono annidati nel gruppo A, l'attributo tokenGroups dell'utente O elenca il gruppo C, il gruppo B e il gruppo A.
L'attributo tokenGroups è un attributo utile per ottenere un elenco di appartenenze ai gruppi in sole due query LDAP: la prima per ottenere l'elenco dei SID di gruppo dall'attributo tokenGroups dell'utente, la seconda usando tale elenco di SID per ottenere l'attributo name di ogni gruppo. Evita la necessità di eseguire più ricerche per espandere l'attributo primaryGroupId ed espandere in modo ricorsivo l'attributo memberOf.
unicodePwd
L'attributo unicodePwd è la password utente.
Per impostare la password utente, usare il metodo IADsUser.ChangePassword, se lo script o l'applicazione consente all'utente di modificare la propria password o il metodo IADsUser.SetPassword, se lo script o l'applicazione consente a un amministratore di reimpostare una password.
Password dell'utente in formato unidirezionale (OWF) di Windows NT. Windows usa Windows NT OWF. Questo attributo viene usato solo dal sistema operativo. Tenere presente che non è possibile derivare la password in testo non crittografato dal formato OWF della password.
userAccountControl
L'attributo userAccountControl specifica i flag che controllano il comportamento della password, del blocco, della disabilitazione/abilitazione, dello script e della home directory per l'utente. Questo attributo contiene anche un flag che indica il tipo di account dell'oggetto. L'oggetto utente ha in genere il UF_NORMAL_ACCOUNT impostato.
I flag seguenti sono definiti in Lmaccess.h.
| Flag | Descrizione |
|---|---|
| UF_SCRIPT | Script di accesso eseguito. Questo valore deve essere impostato per LAN Manager 2.0 o Windows NT. |
| UF_ACCOUNTDISABLE | L'account utente è disabilitato. |
| UF_HOMEDIR_REQUIRED | La home directory è obbligatoria. Questo valore viene ignorato in Windows NT e Windows 2000. |
| UF_PASSWD_NOTREQD | Non è necessaria alcuna password. |
| UF_PASSWD_CANT_CHANGE | L'utente non può modificare la password. |
| UF_LOCKOUT | L'account è attualmente bloccato. Questo valore può essere cancellato per sbloccare un account bloccato in precedenza. Questo valore non può essere usato per bloccare un account bloccato in precedenza. |
| UF_DONT_EXPIRE_PASSWD | Rappresenta la password, che non deve mai scadere nell'account. |
I flag seguenti descrivono il tipo di account. È possibile impostare un solo valore. Non è possibile modificare il tipo di account.
| Flag | Descrizione |
|---|---|
| UF_NORMAL_ACCOUNT | Si tratta di un tipo di account predefinito che rappresenta un utente tipico. |
| UF_TEMP_DUPLICATE_ACCOUNT | Si tratta di un account per gli utenti il cui account primario si trova in un altro dominio. Questo account fornisce all'utente l'accesso a questo dominio, ma non a un dominio che considera attendibile questo dominio. Gestione utenti fa riferimento a questo tipo di account come account utente locale. |
| UF_WORKSTATION_TRUST_ACCOUNT | Si tratta di un account computer per una workstation Windows NT/Windows 2000 Professional o Windows NT Server/Windows 2000 Server membro di questo dominio. |
| UF_edizione StandardRVER_TRUST_ACCOUNT | Si tratta di un account computer per un controller di dominio di Windows NT Backup membro di questo dominio. |
| UF_INTERDOMAIN_TRUST_ACCOUNT | Si tratta di un permesso di considerare attendibile l'account per un dominio di Windows NT che considera attendibili altri domini. |
userCertificate
L'attributo userCertificate è un attributo multivalore che contiene i certificati X509v3 con codifica DER rilasciati all'utente. Tenere presente che questo attributo contiene i certificati di chiave pubblica rilasciati all'utente dal servizio certificati Microsoft.
userSharedFolder
L'attributo userSharedFolder specifica un percorso UNC della cartella documenti condivisi dell'utente. Il percorso deve essere un percorso UNC di rete nel formato \\server\share\directory. Questo valore può essere una stringa Null.
userWorkstations
L'attributo userWorkstations è un attributo a valore singolo che contiene i nomi NetBIOS delle workstation da cui l'utente può accedere. Ogni nome NetBIOS è separato da una virgola.
Se non sono impostati valori, indica che non esiste alcuna restrizione. Per disabilitare gli accessi da tutte le workstation a questo account, impostare il valore UF_ACCOUNTDISABLE (definito in Lmaccess.h) nell'attributo userAccountControl .