User-Account-Control 屬性
控制使用者帳戶行為的旗標。
| 進入 | 值 |
|---|---|
| CN | User-Account-Control |
| Ldap-Display-Name | userAccountControl |
| 大小 | 4 個位元組。 |
| 更新許可權 | 此值是由系統所設定。 |
| 更新頻率 | 每次帳戶原則變更時。 |
| Attribute-Id | 1.2.840.113556.1.4.8 |
| System-Id-Guid | bf967a68-0de6-11d0-a285-00aa003049e2 |
| Syntax | 列舉型別 |
實作
- Windows 2000 Server
- Windows Server 2003
- Windows Server 2003 R2
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
Windows 2000 Server
| 進入 | 值 |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | 否 |
| Is-Single-Valued | 對 |
| 已編制索引 | 對 |
| 在通用類別目錄中 | 對 |
| NT-Security-Descriptor | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 中使用的類別 |
使用者 |
Windows Server 2003
| 進入 | 值 |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | 否 |
| Is-Single-Valued | 對 |
| 已編制索引 | 對 |
| 在通用類別目錄中 | 對 |
| NT-Security-Descriptor | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 中使用的類別 |
使用者 |
Windows Server 2003 R2
| 進入 | 值 |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | 否 |
| Is-Single-Valued | 對 |
| 已編制索引 | 對 |
| 在通用類別目錄中 | 對 |
| NT-Security-Descriptor | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 中使用的類別 |
使用者 |
Windows Server 2008
| 進入 | 值 |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | 否 |
| Is-Single-Valued | 對 |
| 已編制索引 | 對 |
| 在通用類別目錄中 | 對 |
| NT-Security-Descriptor | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 中使用的類別 |
使用者 |
Windows Server 2008 R2
| 進入 | 值 |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | 否 |
| Is-Single-Valued | 對 |
| 已編制索引 | 對 |
| 在通用類別目錄中 | 對 |
| NT-Security-Descriptor | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 中使用的類別 |
使用者 |
Windows Server 2012
| 進入 | 值 |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | 否 |
| Is-Single-Valued | 對 |
| 已編制索引 | 對 |
| 在通用類別目錄中 | 對 |
| NT-Security-Descriptor | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 中使用的類別 |
使用者 |
備註
這個屬性值可以是零或下列一或多個值的組合。
| 十六進位值 | iads.h) 中定義的識別碼 ( | 描述 |
|---|---|---|
| 0x00000001 | ADS_UF_SCRIPT | 會執行登入腳本。 |
| 0x00000002 | ADS_UF_ACCOUNTDISABLE | 使用者帳戶已停用。 |
| 0x00000008 | ADS_UF_HOMEDIR_REQUIRED | 需要主目錄。 |
| 0x00000010 | ADS_UF_LOCKOUT | 帳戶目前已鎖定。 |
| 0x00000020 | ADS_UF_PASSWD_NOTREQD | 不需要密碼。 |
| 0x00000040 | ADS_UF_PASSWD_CANT_CHANGE | 使用者無法變更密碼。
注意: 您無法直接修改 UserAccountControl 屬性來指派PASSWD_CANT_CHANGE的許可權設定。 如需詳細資訊和示範如何防止使用者變更密碼的程式碼範例,請參閱 使用者無法變更密碼。 : |
| 0x00000080 | ADS_UF_ENCRYPTED_TEXT_PASSWORD_ALLOWED | 使用者可以傳送加密的密碼。 |
| 0x00000100 | ADS_UF_TEMP_DUPLICATE_ACCOUNT | 這是主要帳戶位於另一個網域的使用者帳戶。 此帳戶可讓使用者存取此網域,但不會提供信任此網域的任何網域。 也稱為本機使用者帳戶。 |
| 0x00000200 | ADS_UF_NORMAL_ACCOUNT | 這是代表一般使用者的預設帳戶類型。 |
| 0x00000800 | ADS_UF_INTERDOMAIN_TRUST_ACCOUNT | 這是允許信任其他網域之系統網域的信任帳戶。 |
| 0x00001000 | ADS_UF_WORKSTATION_TRUST_ACCOUNT | 這是屬於此網域成員之電腦的電腦帳戶。 |
| 0x00002000 | ADS_UF_SERVER_TRUST_ACCOUNT | 這是屬於此網域成員之系統備份網域控制站的電腦帳戶。 |
| 0x00004000 | N/A | 未使用。 |
| 0x00008000 | N/A | 未使用。 |
| 0x00010000 | ADS_UF_DONT_EXPIRE_PASSWD | 此帳戶的密碼永遠不會過期。 |
| 0x00020000 | ADS_UF_MNS_LOGON_ACCOUNT | 這是 MNS 登入帳戶。 |
| 0x00040000 | ADS_UF_SMARTCARD_REQUIRED | 使用者必須使用智慧卡登入。 |
| 0x00080000 | ADS_UF_TRUSTED_FOR_DELEGATION | 服務帳戶 (使用者或電腦帳戶) 服務執行時信任 Kerberos 委派。 任何這類服務都可以模擬要求服務的用戶端。 |
| 0x00100000 | ADS_UF_NOT_DELEGATED | 即使服務帳戶設定為 Kerberos 委派受信任,使用者的安全性內容也不會委派給服務。 |
| 0x00200000 | ADS_UF_USE_DES_KEY_ONLY | 限制此主體只使用金鑰的資料加密標準 (DES) 加密類型。 |
| 0x00400000 | ADS_UF_DONT_REQUIRE_PREAUTH | 此帳戶不需要 Kerberos 預先驗證進行登入。 |
| 0x00800000 | ADS_UF_PASSWORD_EXPIRED | 使用者密碼已過期。 此旗標是由系統使用 Pwd-Last-Set 屬性和網域原則中的資料所建立。 |
| 0x01000000 | ADS_UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION | 帳戶已啟用委派。 這是安全性敏感性設定;應嚴格控制已啟用此選項的帳戶。 此設定可讓帳戶下執行的服務假設用戶端身分識別,並以該使用者身分驗證網路上的其他遠端伺服器。 |