Używanie flag UserAccountControl do manipulowania właściwościami konta użytkownika
W tym artykule opisano informacje dotyczące używania atrybutu UserAccountControl do manipulowania właściwościami konta użytkownika.
Oryginalny numer KB: 305144
Podsumowanie
Po otwarciu właściwości konta użytkownika kliknij kartę Konto , a następnie zaznacz lub wyczyść pola wyboru w oknie dialogowym Opcje konta , a do atrybutu UserAccountControl zostaną przypisane wartości liczbowe. Wartość przypisana do tego atrybutu informuje system Windows, które opcje zostały włączone.
Aby wyświetlić konta użytkowników, kliknij przycisk Start, wskaż polecenie Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Użytkownicy i komputery usługi Active Directory.
Lista flag właściwości
Te atrybuty można wyświetlać i edytować za pomocą narzędzia narzędzia Ldp.exe lub przystawki Adsiedit.msc.
W poniższej tabeli wymieniono możliwe flagi, które można przypisać. Niektórych wartości nie można ustawić dla obiektu użytkownika lub komputera, ponieważ mogą one być ustawiane lub resetowane tylko przez usługę katalogową. Ldp.exe pokazuje wartości w postaci szestnastkowej. Adsiedit.msc wyświetla wartości w postaci dziesiętnej. Flagi mają charakter skumulowany. Aby wyłączyć konto użytkownika, ustaw atrybut UserAccountControl na 0x0202 (0x002 + 0x0200). W postaci dziesiętnej jest to liczba 514 (2 + 512).
Uwaga
Usługę Active Directory można edytować bezpośrednio w programach Ldp.exe i Adsiedit.msc. Tylko doświadczeni administratorzy powinni edytować usługę Active Directory za pomocą tych narzędzi. Oba narzędzia są dostępne po zainstalowaniu narzędzi pomocy technicznej z oryginalnego nośnika instalacyjnego systemu Windows.
| Flaga właściwości | Wartość w postaci szestnastkowej | Wartość w postaci dziesiętnej |
|---|---|---|
| SCRIPT | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| LOCKOUT | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE Nie można przypisać tego uprawnienia, bezpośrednio modyfikując atrybut UserAccountControl. Aby uzyskać informacje o tym, jak programowo ustawić uprawnienie, zobacz sekcję Opisy flag właściwości . |
0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 |
Uwaga
W domenie opartej na systemie Windows Server 2003 funkcje LOCK_OUT i PASSWORD_EXPIRED zostały zastąpione nowym atrybutem o nazwie ms-DS-User-Account-Control-Computed. Aby uzyskać więcej informacji na temat tego nowego atrybutu, zobacz atrybut ms-DS-User-Account-Control-Computed.
Opisy flag właściwości
SCRIPT - zostanie uruchomiony skrypt logowania.
ACCOUNTDISABLE - konto użytkownika jest wyłączone.
HOMEDIR_REQUIRED - wymagany jest folder domowy.
PASSWD_NOTREQD — hasło nie jest wymagane.
PASSWD_CANT_CHANGE - użytkownik nie może zmienić hasła. Jest to uprawnienie do obiektu użytkownika. Aby uzyskać informacje o tym, jak programowo ustawić to uprawnienie, zobacz Modyfikowanie nie można zmienić hasła użytkownika (dostawca LDAP).
ENCRYPTED_TEXT_PASSWORD_ALLOWED - użytkownik może wysłać zaszyfrowane hasło.
TEMP_DUPLICATE_ACCOUNT - jest to konto dla użytkowników, których konto podstawowe znajduje się w innej domenie. To konto zapewnia użytkownikowi dostęp do tej domeny, ale nie do żadnej domeny, która ufa tej domenie. Czasami jest ono określane jako konto użytkownika lokalnego.
NORMAL_ACCOUNT - jest to domyślny typ konta, który reprezentuje typowego użytkownika.
INTERDOMAIN_TRUST_ACCOUNT - jest to zezwolenie na ufanie kontu domeny systemowej, która ufa innym domenom.
WORKSTATION_TRUST_ACCOUNT- jest to konto komputera, na którym działa stacja robocza Microsoft Windows NT 4.0, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional lub Windows 2000 Server i jest członkiem tej domeny.
SERVER_TRUST_ACCOUNT - jest to konto komputera dla kontrolera domeny, który jest członkiem tej domeny.
DONT_EXPIRE_PASSWD - reprezentuje hasło, które nigdy nie powinno wygasać na koncie.
MNS_LOGON_ACCOUNT - jest to konto logowania MNS.
SMARTCARD_REQUIRED - ustawienie tej flagi wymusza na użytkowniku zalogowanie się przy użyciu karty inteligentnej.
TRUSTED_FOR_DELEGATION - po ustawieniu tej flagi konto usługi (konto użytkownika lub komputera), w ramach którego działa usługa, jest zaufane dla delegowania protokołu Kerberos. Każda taka usługa może podszywać się pod klienta żądającego usługi. Aby włączyć usługę delegowania protokołu Kerberos, należy ustawić tę flagę na właściwości userAccountControl konta usługi.
NOT_DELEGATED - po ustawieniu tej flagi kontekst zabezpieczeń użytkownika nie jest delegowany do usługi, nawet jeśli konto usługi jest ustawione jako zaufane dla delegowania protokołu Kerberos.
USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) Ograniczenie tego podmiotu zabezpieczeń do używania tylko typów szyfrowania DES (Data Encryption Standard) dla kluczy.
DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) To konto nie wymaga wstępnego uwierzytelniania Kerberos na potrzeby logowania.
PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) Hasło użytkownika wygasło.
TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) Dla konta jest wyłączone delegowanie. Jest to ustawienie wrażliwe pod względem bezpieczeństwa. Konta z włączoną tą opcją powinny być ściśle kontrolowane. To ustawienie pozwala usłudze uruchamianej w ramach konta przyjąć tożsamość klienta i uwierzytelnić go na innych serwerach zdalnych w sieci.
PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008/Windows Server 2008 R2) Konto jest kontrolerem domeny tylko do odczytu (RODC). Jest to ustawienie wrażliwe pod względem bezpieczeństwa. Usunięcie tego ustawienia z serwera RODC stanowi zagrożenie dla zabezpieczeń na tym serwerze.
Wartości UserAccountControl
Poniżej przedstawiono domyślne wartości UserAccountControl dla niektórych obiektów:
- Typowy użytkownik: 0x200 (512)
- Kontroler domeny: 0x82000 (532480)
- Stacja robocza/serwer: 0x1000 (4096)
- Zaufanie: 0x820 (2080)
Uwaga
Konto zaufania systemu Windows jest wykluczone z posiadania hasła za pośrednictwem PASSWD_NOTREQD wartości atrybutu UserAccountControl, ponieważ obiekty zaufania nie używają tradycyjnych zasad haseł i atrybutów haseł w taki sam sposób jak obiekty użytkownika i komputera.
Wpisy tajne zaufania są reprezentowane przez specjalne atrybuty na międzydomenowych kontach zaufania, wskazując kierunek zaufania. Wpisy tajne zaufania przychodzącego są przechowywane w atrybucie trustAuthIncoming po "zaufanej" stronie zaufania. Wychodzące wpisy tajne zaufania są przechowywane w atrybucie trustAuthOutgoing na "zaufanym" końcu zaufania.
- W przypadku dwukierunkowych relacji zaufania obiekt INTERDOMAIN_TRUST_ACCOUNT po każdej stronie relacji zaufania będzie miał oba zestawy.
- Wpisy tajne zaufania są utrzymywane przez kontroler domeny, który jest główną rolą emulatora kontrolera domeny (PDC) — elastyczna operacja pojedynczego wzorca (FSMO) w domenie ufającej.
- Z tego powodu atrybut PASSWD_NOTREQD UserAccountControl jest domyślnie ustawiany na kontach INTERDOMAIN_TRUST_ACCOUNT.