Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, kullanıcı hesabı özelliklerini işlemek için UserAccountControl özniteliğini kullanma hakkında bilgiler açıklanmaktadır.
Özgün KB numarası: 305144
Özet
Bir kullanıcı hesabının özelliklerini açtığınızda, Hesap sekmesine tıklayın ve hesap seçenekleri iletişim kutusundaki onay kutularını seçin veya temizleyin; sayısal değerler UserAccountControl özniteliğine atanır. Özniteliğine atanan değer, Windows'a hangi seçeneklerin etkinleştirildiğini bildirir.
Kullanıcı hesaplarını görüntülemek için Başlat'a tıklayın, Programlar'ın üzerine gelin, Yönetimsel Araçlar'ın üzerine gelin ve Active Directory Kullanıcıları ve Bilgisayarları'e tıklayın.
Özellik bayraklarının listesi
Ldp.exe aracını veya Adsiedit.msc ek bileşenini kullanarak bu öznitelikleri görüntüleyebilir ve düzenleyebilirsiniz.
Aşağıdaki tabloda, atayabileceğiniz olası bayraklar listelenir. Bu değerler yalnızca dizin hizmeti tarafından ayarlanabildiği veya sıfırlanamadığından, bir kullanıcı veya bilgisayar nesnesinde bazı değerleri ayarlayamazsınız. Ldp.exe değerleri onaltılık olarak gösterir. Adsiedit.msc değerleri ondalık olarak görüntüler. Bayraklar kümülatiftir. Kullanıcının hesabını devre dışı bırakmak için UserAccountControl özniteliğini 0x0202 (0x002 + 0x0200) olarak ayarlayın. Ondalık olarak 514 (2 + 512) olur.
Not
Active Directory'yi hem Ldp.exe hem de Adsiedit.msc'de doğrudan düzenleyebilirsiniz. Active Directory'yi düzenlemek için yalnızca deneyimli yöneticiler bu araçları kullanmalıdır. Destek araçlarını özgün Windows yükleme medyanızdan yükledikten sonra her iki araç da kullanılabilir.
| Özellik bayrağı | Onaltılık değer | Ondalık değer |
|---|---|---|
| BETİK | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| LOKAVT | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE UserAccountControl özniteliğini doğrudan değiştirerek bu izni atayamazsınız. İzinin program aracılığıyla nasıl ayarlanacağı hakkında bilgi için Özellik bayrağı açıklamaları bölümüne bakın. |
0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | Kategori 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 |
Not
Windows Server 2003 tabanlı bir etki alanında LOCK_OUT ve PASSWORD_EXPIRED, ms-DS-User-Account-Control-Computed adlı yeni bir öznitelikle değiştirilmiştir. Bu yeni öznitelik hakkında daha fazla bilgi için bkz . ms-DS-User-Account-Control-Computed özniteliği.
Özellik bayrağı açıklamaları
BETIK - Oturum açma betiği çalıştırılır.
ACCOUNTDISABLE - Kullanıcı hesabı devre dışı bırakıldı.
HOMEDIR_REQUIRED - Giriş klasörü gereklidir.
PASSWD_NOTREQD - Parola gerekmez.
PASSWD_CANT_CHANGE - Kullanıcı parolayı değiştiremez. Bu, kullanıcının nesnesi üzerinde bir izindir. Bu izni program aracılığıyla ayarlama hakkında bilgi için bkz . Kullanıcı Parolasını Değiştiremiyor (LDAP Sağlayıcısı).
ENCRYPTED_TEXT_PASSWORD_ALLOWED - Kullanıcı şifreli bir parola gönderebilir.
TEMP_DUPLICATE_ACCOUNT - Birincil hesabı başka bir etki alanında olan kullanıcılar için bir hesaptır. Bu hesap bu etki alanına kullanıcı erişimi sağlar, ancak bu etki alanına güvenen herhangi bir etki alanına erişim sağlamaz. Bazen yerel kullanıcı hesabı olarak da adlandırılır.
NORMAL_ACCOUNT - Tipik bir kullanıcıyı temsil eden varsayılan bir hesap türüdür.
INTERDOMAIN_TRUST_ACCOUNT - Diğer etki alanlarına güvenen bir sistem etki alanı için hesaba güvenme iznidir.
WORKSTATION_TRUST_ACCOUNT - Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional veya Windows 2000 Server çalıştıran bir bilgisayarın bilgisayar hesabıdır ve bu etki alanının bir üyesidir.
SERVER_TRUST_ACCOUNT - Bu, bu etki alanının üyesi olan bir etki alanı denetleyicisinin bilgisayar hesabıdır.
DONT_EXPIRE_PASSWD - Hesapta hiçbir zaman süresi dolmaması gereken parolayı temsil eder.
MNS_LOGON_ACCOUNT - Bu bir MNS oturum açma hesabıdır.
SMARTCARD_REQUIRED - Bu bayrak ayarlandığında, kullanıcıyı akıllı kart kullanarak oturum açmaya zorlar.
TRUSTED_FOR_DELEGATION - Bu bayrak ayarlandığında, bir hizmetin çalıştığı hizmet hesabına (kullanıcı veya bilgisayar hesabı) Kerberos temsilcisi için güvenilir. Böyle bir hizmet, hizmeti isteyen bir istemcinin kimliğine bürünebilir. Bir hizmeti Kerberos temsilcisi olarak etkinleştirmek için bu bayrağı hizmet hesabının userAccountControl özelliğinde ayarlamanız gerekir.
NOT_DELEGATED - Bu bayrak ayarlandığında, hizmet hesabı Kerberos temsilcisi için güvenilir olarak ayarlansa bile kullanıcının güvenlik bağlamı bir hizmete devredilmez.
USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) Bu sorumlusunu anahtarlar için yalnızca Veri Şifreleme Standardı (DES) şifreleme türlerini kullanacak şekilde kısıtlayın.
DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) Bu hesap, oturum açmak için Kerberos ön kimlik doğrulaması gerektirmez.
PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) Kullanıcının parolasının süresi doldu.
TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) Hesap temsilci seçme için etkinleştirildi. Bu, güvenliğe duyarlı bir ayardır. Bu seçeneğin etkinleştirildiği hesaplar sıkı bir şekilde denetlenmelidir. Bu ayar, hesap altında çalışan bir hizmetin bir istemcinin kimliğini varsaymalarına ve bu kullanıcı olarak ağdaki diğer uzak sunucularda kimlik doğrulaması yapmalarına olanak tanır.
PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008/Windows Server 2008 R2) Hesap salt okunur bir etki alanı denetleyicisidir (RODC). Bu, güvenliğe duyarlı bir ayardır. Bir RODC'den bu ayarın kaldırılması, söz konusu sunucudaki güvenliği tehlikeye atabilir.
UserAccountControl değerleri
Belirli nesneler için varsayılan UserAccountControl değerleri şunlardır:
- Tipik kullanıcı: 0x200 (512)
- Etki alanı denetleyicisi: 0x82000 (532480)
- İş istasyonu/sunucu: 0x1000 (4096)
- Güven: 0x820 (2080)
Not
Güven nesneleri kullanıcı ve bilgisayar nesneleriyle aynı şekilde geleneksel parola ilkesi ve parola özniteliklerini kullanmadığından, Windows güven hesabı userAccountControl öznitelik değeri PASSWD_NOTREQD parola kullanmaktan muaftır.
Güven gizli dizileri, etki alanları arası güven hesaplarında güvenin yönünü gösteren özel özniteliklerle temsil edilir. Gelen güven gizli dizileri, güvenin "güvenilen" tarafında trustAuthIncoming özniteliğinde depolanır. Giden güven gizli dizileri, güvenin "güvenen" sonunda trustAuthOutgoing özniteliğinde depolanır.
- İki yönlü güvenler için, güvenin her bir tarafındaki INTERDOMAIN_TRUST_ACCOUNT nesnesinin her ikisi de ayarlanmış olur.
- Güven gizli dizileri, güvenen etki alanındaki birincil etki alanı denetleyicisi (PDC) öykünücüsü Esnek Tek Ana İşlem (FSMO) rolü olan etki alanı denetleyicisi tarafından korunur.
- Bu nedenle PASSWD_NOTREQD UserAccountControl özniteliği varsayılan olarak INTERDOMAIN_TRUST_ACCOUNT hesaplarda ayarlanır.