Использование флагов UserAccountControl для управления свойствами учетной записи пользователя
В этой статье содержится информация об использовании атрибута UserAccountControl для управления свойствами учетной записи пользователя.
Применимо к: Windows Server 2012 R2 , Windows Server 2016, Windows Server 2019, Windows Server 2022
Оригинальный номер базы знаний: 305144
Аннотация
При открытии свойств учетной записи пользователя откройте вкладку "Учетная запись", а затем установите или снимите флажки в диалоговом окне "Параметры учетной записи", числовые значения присваиваются атрибуту UserAccountControl. Значение, назначенное атрибуту, сообщает системе Windows о том, какие параметры были активированы.
Чтобы посмотреть учетные записи пользователя, нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory — пользователи и компьютеры.
Список флагов свойств
Эти атрибуты можно просмотреть и изменить с помощью средства Ldp.exe или оснастки Adsiedit.msc.
В следующей таблице перечислены возможные флаги, которые можно назначить. Вы не можете задать некоторые значения для объекта пользователя или компьютера, так как эти значения могут быть заданы или сброшены только службой каталогов. Значения Ldp.exe отображаются в шестнадцатеричном формате. Значения Adsiedit.msc отображает в десятичном формате. Флаги являются накопительными. Чтобы отключить учетную запись пользователя, задайте для атрибута UserAccountControl значение 0x0202 (0x002 + 0x0200). В десятичном формате это 514 (2 + 512).
Примечание.
Active Directory можно редактировать непосредственно в Ldp.exe и Adsiedit.msc. Только опытные администраторы должны использовать эти средства для изменения Active Directory. Оба средства доступны после установки средств поддержки с исходного установщика Windows.
| Флаг свойства | Значение в шестнадцатеричном формате | Значение в десятичном формате |
|---|---|---|
| SCRIPT | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| LOCKOUT | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE Это разрешение нельзя назначить путем непосредственного изменения атрибута UserAccountControl. Сведения о том, как задать разрешение программным способом, см. в разделе Описание флагов свойств. |
0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT. | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 |
Примечание.
В домене под управлением Windows Server 2003 LOCK_OUT и PASSWORD_EXPIRED были заменены новым атрибутом ms-DS-User-Account-Control-Computed. Дополнительные сведения об этом новом атрибуте см. в описании атрибута ms-DS-User-Account-Control-Computed.
Описания флагов свойств
SCRIPT — сценарий входа будет выполняться.
ACCOUNTDISABLE — учетная запись пользователя отключена.
HOMEDIR_REQUIRED — требуется домашняя папка.
PASSWD_NOTREQD - пароль не требуется.
PASSWD_CANT_CHANGE — пользователь не может изменить пароль. Это разрешение на объект пользователя. Сведения о том, как программно задать это разрешение, см. в разделе Изменение "Пользователь не может изменить пароль" (поставщик LDAP)".
ENCRYPTED_TEXT_PASSWORD_ALLOWED — пользователь может отправить зашифрованный пароль.
TEMP_DUPLICATE_ACCOUNT — это учетная запись для пользователей, основная учетная запись которых находится в другом домене. Эта учетная запись предоставляет пользователю доступ к этому домену, но не к доменам, которые доверяют этому домену. Иногда его называют локальной учетной записью пользователя.
NORMAL_ACCOUNT — это тип учетной записи по умолчанию, представляющий обычного пользователя.
INTERDOMAIN_TRUST_ACCOUNT — это разрешение на доверие учетной записи для системного домена, который доверяет другим доменам.
WORKSTATION_TRUST_ACCOUNT — это учетная запись компьютера под управлением рабочей станции Microsoft Windows NT 4.0, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional или Windows 2000 Server, который является членом этого домена.
SERVER_TRUST_ACCOUNT — это учетная запись компьютера для контроллера домена, который является членом этого домена.
DONT_EXPIRE_PASSWD — представляет пароль учетной записи, срок действия которого не должен истекать.
MNS_LOGON_ACCOUNT — это учетная запись для входа в MNS.
SMARTCARD_REQUIRED. Если этот флаг установлен, пользователь должен войти в систему с помощью смарт-карты.
TRUSTED_FOR_DELEGATION. Если этот флаг установлен, учетная запись службы (учетная запись пользователя или компьютера), под которой выполняется служба, является доверенной для делегирования Kerberos. Любая такая служба может олицетворять клиента, запрашивающего службу. Чтобы включить службу для делегирования Kerberos, необходимо установить этот флаг в свойстве userAccountControl учетной записи службы.
NOT_DELEGATED. Если этот флаг установлен, контекст безопасности пользователя не делегирован службе, даже если учетная запись службы настроена как доверенная для делегирования Kerberos.
USE_DES_KEY_ONLY - (Windows 2000 или Windows Server 2003) ограничить этот субъект использованием только типов шифрования DES (стандарт шифрования данных) для ключей.
DONT_REQUIRE_PREAUTH - (Windows 2000 или Windows Server 2003) эта учетная запись не требует предварительной проверки подлинности Kerberos для входа в систему.
PASSWORD_EXPIRED - (Windows 2000 или Windows Server 2003) истек срок действия пароля пользователя.
TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000 или Windows Server 2003) учетная запись включена для делегирования. Это параметр чувствителен к обеспечению безопасности. Учетные записи, для которых включен этот параметр, должны строго контролироваться. Этот параметр позволяет службе, которая выполняется под учетной записью, использовать удостоверение клиента и выполнять проверку подлинности от имени этого пользователя на других удаленных серверах в сети.
PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008 или Windows Server 2008 R2) — учетная запись является контроллером домена только для чтения (RODC). Это параметр чувствителен к обеспечению безопасности. Удаление этого параметра из RODC скомпрометирует безопасность на этом сервере.
Значения UserAccountControl
Ниже приведены значения UserAccountControl по умолчанию для определенных объектов:
- Обычный пользователь: 0x200 (512)
- Контроллер домена: 0x82000 (532480)
- Рабочая станция или сервер: 0x1000 (4096)
- Доверие: 0x820 (2080)
Примечание.
Учетная запись доверия Windows не может использовать пароль через PASSWD_NOTREQD значение атрибута UserAccountControl, так как объекты доверия не используют традиционную политику паролей и атрибуты пароля так же, как объекты пользователя и компьютера.
Секреты доверия представлены специальными атрибутами в междоменовых учетных записях доверия, указывающими направление доверия. Входящие секреты доверия хранятся в атрибуте trustAuthIncoming на стороне доверия. Исходящие секреты доверия хранятся в атрибуте trustAuthOutgoing на конце доверия.
- Для двустороннего отношения доверия INTERDOMAIN_TRUST_ACCOUNT объект на каждой стороне доверия будет иметь оба значения.
- Секреты доверия поддерживаются контроллером домена, который является ролью основного контроллера домена (PDC) эмулятора Гибкой операции с одним хозяином (FSMO) в доверенном домене.
- По этой причине атрибут UserAccountControl PASSWD_NOTREQD по умолчанию задается для INTERDOMAIN_TRUST_ACCOUNT учетных записей.
Обратная связь
Отправить и просмотреть отзыв по