Używanie flag UserAccountControl do manipulowania właściwościami konta użytkownika
Artykuł
W tym artykule opisano informacje dotyczące używania atrybutu UserAccountControl do manipulowania właściwościami konta użytkownika.
Oryginalny numer KB: 305144
Podsumowanie
Po otwarciu właściwości konta użytkownika kliknij kartę Konto , a następnie zaznacz lub wyczyść pola wyboru w oknie dialogowym Opcje konta, wartości liczbowe są przypisywane do atrybutu UserAccountControl . Wartość przypisana do atrybutu informuje system Windows, które opcje zostały włączone.
Aby wyświetlić konta użytkowników, kliknij przycisk Start, wskaż pozycję Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij przycisk Użytkownicy i komputery usługi Active Directory.
Lista flag właściwości
Te atrybuty można wyświetlać i edytować przy użyciu narzędzia Ldp.exe lub przystawki Adsiedit.msc.
W poniższej tabeli wymieniono możliwe flagi, które można przypisać. Nie można ustawić niektórych wartości w obiekcie użytkownika lub komputera, ponieważ te wartości można ustawić lub zresetować tylko przez usługę katalogową. Ldp.exe pokazuje wartości w szesnastkowym. Adsiedit.msc wyświetla wartości w przecinku. Flagi są skumulowane. Aby wyłączyć konto użytkownika, ustaw atrybut UserAccountControl na wartość 0x0202 (0x002 + 0x0200). Liczba dziesiętna to 514 (2 + 512).
Uwaga
Usługę Active Directory można edytować bezpośrednio zarówno w Ldp.exe, jak i Adsiedit.msc. Tylko doświadczeni administratorzy powinni używać tych narzędzi do edytowania usługi Active Directory. Oba narzędzia są dostępne po zainstalowaniu narzędzi pomocy technicznej z oryginalnego nośnika instalacyjnego systemu Windows.
Flaga właściwości
Wartość w szesnastkowym
Wartość w liczbach dziesiętnych
SKRYPT
0x0001
1
ACCOUNTDISABLE
0x0002
2
HOMEDIR_REQUIRED
0x0008
8
BLOKADY
0x0010
16
PASSWD_NOTREQD
0x0020
32
PASSWD_CANT_CHANGE
Nie można przypisać tego uprawnienia, modyfikując bezpośrednio atrybut UserAccountControl. Aby uzyskać informacje na temat programowego ustawiania uprawnień, zobacz sekcję Opisy flag właściwości.
0x0040
64
ENCRYPTED_TEXT_PWD_ALLOWED
0x0080
128
TEMP_DUPLICATE_ACCOUNT
0x0100
256
NORMAL_ACCOUNT
0x0200
512
INTERDOMAIN_TRUST_ACCOUNT
0x0800
2048
WORKSTATION_TRUST_ACCOUNT
0x1000
4096
SERVER_TRUST_ACCOUNT
0x2000
8192
DONT_EXPIRE_PASSWORD
0x10000
65536
MNS_LOGON_ACCOUNT
0x20000
131072
SMARTCARD_REQUIRED
0x40000
262144
TRUSTED_FOR_DELEGATION
0x80000
524288
NOT_DELEGATED
0x100000
1048576
USE_DES_KEY_ONLY
0x200000
2097152
DONT_REQ_PREAUTH
0x400000
4194304
PASSWORD_EXPIRED
0x800000
8388608
TRUSTED_TO_AUTH_FOR_DELEGATION
0x1000000
16777216
PARTIAL_SECRETS_ACCOUNT
0x04000000
67108864
Uwaga
W domenie opartej na systemie Windows Server 2003 LOCK_OUT i PASSWORD_EXPIRED zostały zastąpione nowym atrybutem o nazwie ms-DS-User-Account-Control-Computed. Aby uzyskać więcej informacji na temat tego nowego atrybutu, zobacz atrybut ms-DS-User-Account-Control-Computed.
Opisy flag właściwości
SCRIPT — skrypt logowania zostanie uruchomiony.
ACCOUNTDISABLE — konto użytkownika jest wyłączone.
HOMEDIR_REQUIRED — wymagany jest folder główny.
PASSWD_NOTREQD — nie jest wymagane żadne hasło.
PASSWD_CANT_CHANGE — użytkownik nie może zmienić hasła. Jest to uprawnienie do obiektu użytkownika. Aby uzyskać informacje na temat programowego ustawiania tego uprawnienia, zobacz Modyfikowanie hasła nie można zmienić hasła (dostawcy LDAP).
ENCRYPTED_TEXT_PASSWORD_ALLOWED — użytkownik może wysłać zaszyfrowane hasło.
TEMP_DUPLICATE_ACCOUNT — jest to konto dla użytkowników, których konto podstawowe znajduje się w innej domenie. To konto zapewnia użytkownikowi dostęp do tej domeny, ale nie do żadnej domeny, która ufa tej domenie. Czasami jest to nazywane kontem użytkownika lokalnego.
NORMAL_ACCOUNT — jest to domyślny typ konta reprezentujący typowego użytkownika.
INTERDOMAIN_TRUST_ACCOUNT — jest to zezwolenie na zaufanie kontu dla domeny systemowej, która ufa innym domenom.
WORKSTATION_TRUST_ACCOUNT — jest to konto komputera z systemem Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional lub Windows 2000 Server i jest członkiem tej domeny.
SERVER_TRUST_ACCOUNT — jest to konto komputera dla kontrolera domeny, który jest członkiem tej domeny.
DONT_EXPIRE_PASSWD — reprezentuje hasło, które nigdy nie powinno wygasać na koncie.
MNS_LOGON_ACCOUNT — jest to konto logowania usługi MNS.
SMARTCARD_REQUIRED — po ustawieniu tej flagi użytkownik musi zalogować się przy użyciu karty inteligentnej.
TRUSTED_FOR_DELEGATION — po ustawieniu tej flagi konto usługi (konto użytkownika lub komputera), w ramach którego działa usługa, jest zaufane dla delegowania protokołu Kerberos. Każda taka usługa może personifikować klienta żądającego usługi. Aby włączyć usługę dla delegowania Protokołu Kerberos, należy ustawić tę flagę we właściwości userAccountControl konta usługi.
NOT_DELEGATED — po ustawieniu tej flagi kontekst zabezpieczeń użytkownika nie jest delegowany do usługi, nawet jeśli konto usługi jest ustawione jako zaufane dla delegowania Protokołu Kerberos.
USE_DES_KEY_ONLY — (Windows 2000/Windows Server 2003) Ogranicz tę jednostkę do używania tylko typów szyfrowania Data Encryption Standard (DES) dla kluczy.
DONT_REQUIRE_PREAUTH — (Windows 2000/Windows Server 2003) To konto nie wymaga wstępnego uwierzytelniania Kerberos na potrzeby logowania.
PASSWORD_EXPIRED — (Windows 2000/Windows Server 2003) Hasło użytkownika wygasło.
TRUSTED_TO_AUTH_FOR_DELEGATION — (Windows 2000/Windows Server 2003) Konto jest włączone dla delegowania. Jest to ustawienie wrażliwe na zabezpieczenia. Konta z włączoną tą opcją powinny być ściśle kontrolowane. To ustawienie umożliwia usłudze, która działa na koncie, zakłada tożsamość klienta i uwierzytelnia się jako ten użytkownik na innych serwerach zdalnych w sieci.
PARTIAL_SECRETS_ACCOUNT — (Windows Server 2008/Windows Server 2008 R2) Konto jest kontrolerem domeny tylko do odczytu (RODC). Jest to ustawienie wrażliwe na zabezpieczenia. Usunięcie tego ustawienia z kontrolera RODC powoduje naruszenie zabezpieczeń na tym serwerze.
Wartości UserAccountControl
Poniżej przedstawiono domyślne wartości UserAccountControl dla określonych obiektów:
Typowy użytkownik: 0x200 (512)
Kontroler domeny: 0x82000 (532480)
Stacja robocza/serwer: 0x1000 (4096)
Zaufanie: 0x820 (2080)
Uwaga
Konto zaufania systemu Windows jest wykluczone z posiadania hasła za pośrednictwem PASSWD_NOTREQD wartość atrybutu UserAccountControl, ponieważ obiekty zaufania nie używają tradycyjnych zasad haseł i atrybutów haseł w taki sam sposób jak obiekty użytkownika i komputera.
Wpisy tajne zaufania są reprezentowane przez specjalne atrybuty na kontach zaufania międzydomenowych wskazujących kierunek zaufania. Wpisy tajne zaufania dla ruchu przychodzącego są przechowywane w atrybucie trustAuthIncoming po stronie "zaufanej" zaufania. Wpisy tajne zaufania dla ruchu wychodzącego są przechowywane w atrybucie trustAuthOutgoing na końcu zaufania.
W przypadku dwukierunkowych relacji zaufania obiekt INTERDOMAIN_TRUST_ACCOUNT po każdej stronie zaufania będzie miał oba ustawione.
Wpisy tajne zaufania są obsługiwane przez kontroler domeny, który jest podstawowym emulatorem kontrolera domeny (PDC) elastycznej pojedynczej operacji master (FSMO) w domenie zaufania.
Z tego powodu atrybut UserAccountControl PASSWD_NOTREQD jest domyślnie ustawiony na kontach INTERDOMAIN_TRUST_ACCOUNT.
Chroń środowisko usługi Active Directory, zabezpieczając konta użytkowników na najniższych uprawnieniach i umieszczając je w grupie Chronieni użytkownicy. Dowiedz się, jak ograniczyć zakres uwierzytelniania i korygować potencjalnie niezabezpieczone konta.