User-Account-Control 属性
ユーザー アカウントの動作を制御するフラグ。
| 入力 | Value |
|---|---|
| CN | User-Account-Control |
| Ldap-Display-Name | userAccountControl |
| サイズ | 4 バイト。 |
| 更新特権 | この値はシステムによって設定されます。 |
| 更新頻度 | アカウント ポリシーが変更されるたびに。 |
| Attribute-Id | 1.2.840.113556.1.4.8 |
| System-Id-Guid | bf967a68-0de6-11d0-a285-00aa003049e2 |
| 構文 | リスト |
実装
- Windows 2000 Server
- Windows Server 2003
- Windows Server 2003 R2
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
Windows 2000 Server
| 入力 | Value |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | False |
| Is-Single-Valued | True |
| インデックス作成済み | True |
| グローバル カタログ内 | True |
| NT-Security-Descriptor | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 使用されるクラス | User |
Windows Server 2003
| 入力 | Value |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | False |
| Is-Single-Valued | True |
| インデックス作成済み | True |
| グローバル カタログ内 | True |
| NT-Security-Descriptor | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 使用されるクラス | User |
Windows Server 2003 R2
| 入力 | Value |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | False |
| Is-Single-Valued | True |
| インデックス作成済み | True |
| グローバル カタログ内 | True |
| NT-Security-Descriptor | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 使用されるクラス | User |
Windows Server 2008
| 入力 | Value |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | False |
| Is-Single-Valued | True |
| インデックス作成済み | True |
| グローバル カタログ内 | True |
| NT-Security-Descriptor | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 使用されるクラス | User |
Windows Server 2008 R2
| 入力 | Value |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | False |
| Is-Single-Valued | True |
| インデックス作成済み | True |
| グローバル カタログ内 | True |
| NT-Security-Descriptor | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 使用されるクラス | User |
Windows Server 2012
| 入力 | Value |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | False |
| Is-Single-Valued | True |
| インデックス作成済み | True |
| グローバル カタログ内 | True |
| NT-Security-Descriptor | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 使用されるクラス | User |
解説
この属性値には、0 または次の値の 1 つ以上の組み合わせを指定できます。
| 16 進数値 | 識別子 (iads.h で定義) | 説明 |
|---|---|---|
| 0x00000001 | ADS_UF_SCRIPT | ログオン スクリプトが実行されます。 |
| 0x00000002 | ADS_UF_ACCOUNTDISABLE | ユーザー アカウントが無効になります。 |
| 0x00000008 | ADS_UF_HOMEDIR_REQUIRED | ホーム ディレクトリが必要です。 |
| 0x00000010 | ADS_UF_LOCKOUT | アカウントは現在ロックアウトされています。 |
| 0x00000020 | ADS_UF_PASSWD_NOTREQD | パスワードは必要ありません。 |
| 0x00000040 | ADS_UF_PASSWD_CANT_CHANGE | ユーザーはパスワードを変更できません。 注: UserAccountControl 属性を直接変更して、PASSWD_CANT_CHANGEのアクセス許可設定を割り当てることはできません。 詳細と、ユーザーがパスワードを変更できないようにする方法を示すコード例については、「ユーザーはパスワードを変更できません」を参照してください。 : |
| 0x00000080 | ADS_UF_ENCRYPTED_TEXT_PASSWORD_ALLOWED | ユーザーは暗号化されたパスワードを送信できます。 |
| 0x00000100 | ADS_UF_TEMP_DUPLICATE_ACCOUNT | これは、プライマリ アカウントが別のアカウントにあるユーザーのアカウントですメイン。 このアカウントを使用すると、この操作メインへのユーザー アクセスが提供されますが、これを信頼するメインにはアクセスできませんメイン。 ローカル ユーザー アカウントとも呼ばれます。 |
| 0x00000200 | ADS_UF_NORMAL_ACCOUNT | これは、一般的なユーザーを表す既定のアカウントの種類です。 |
| 0x00000800 | ADS_UF_INTERDOMAIN_TRUST_ACCOUNT | これは、他の doメイン を信頼するシステム doメイン のアカウントを信頼する許可です。 |
| 0x00001000 | ADS_UF_WORKSTATION_TRUST_ACCOUNT | これは、この doメイン のメンバーであるコンピューターのコンピューター アカウントです。 |
| 0x00002000 | ADS_UF_Standard EditionRVER_TRUST_ACCOUNT | これは、この doメイン のメンバーであるシステム バックアップ doメイン コントローラーのコンピューター アカウントです。 |
| 0x00004000 | 該当なし | 使用しません。 |
| 0x00008000 | 該当なし | 使用しません。 |
| 0x00010000 | ADS_UF_DONT_EXPIRE_PASSWD | このアカウントのパスワードの有効期限は切れません。 |
| 0x00020000 | ADS_UF_MNS_LOGON_ACCOUNT | これは MNS ログオン アカウントです。 |
| 0x00040000 | ADS_UF_SMARTCARD_REQUIRED | ユーザーはスマート カードを使用してログオンする必要があります。 |
| 0x00080000 | ADS_UF_TRUSTED_FOR_DELEGATION | サービスを実行するサービス アカウント (ユーザーまたはコンピューター アカウント) は、Kerberos 委任に対して信頼されます。 このようなサービスは、サービスを要求するクライアントを偽装できます。 |
| 0x00100000 | ADS_UF_NOT_DELEGATED | サービス アカウントが Kerberos 委任に対して信頼済みとして設定されている場合でも、ユーザーのセキュリティ コンテキストはサービスに委任されません。 |
| 0x00200000 | ADS_UF_UStandard Edition_DES_KEY_ONLY | キーに Data Encryption Standard (DES) 暗号化の種類のみを使用するように、このプリンシパルを制限します。 |
| 0x00400000 | ADS_UF_DONT_REQUIRE_PREAUTH | このアカウントでは、ログオンに Kerberos 事前認証は必要ありません。 |
| 0x00800000 | ADS_UF_PASSWORD_EXPIRED | ユーザー パスワードの有効期限が切れています。 このフラグは、Pwd-Last-Set 属性と doメイン ポリシーのデータを使用してシステムによって作成されます。 |
| 0x01000000 | ADS_UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION | このアカウントは委任に対して有効になっています。 これはセキュリティに依存する設定です。このオプションが有効になっているアカウントは、厳密に制御する必要があります。 この設定により、アカウントで実行されているサービスがクライアント ID を想定し、そのユーザーとしてネットワーク上の他のリモート サーバーに対して認証できるようになります。 |