Verwenden der UserAccountControl-Flags zum Bearbeiten von Benutzerkontoeigenschaften

In diesem Artikel werden Informationen zur Verwendung des UserAccountControl-Attributs zum Bearbeiten von Benutzerkontoeigenschaften beschrieben.

Gilt für:   Windows Server 2012 R2
Ursprüngliche KB-Nummer:   305144

Zusammenfassung

Wenn Sie die Eigenschaften für ein Benutzerkonto öffnen, klicken Sie auf die Registerkarte "Konto", und aktivieren oder deaktivieren Sie dann die Kontrollkästchen im Dialogfeld Kontooptionen, numerische Werte werden dem UserAccountControl-Attribut zugewiesen. Der dem Attribut zugewiesene Wert teilt Windows mit, welche Optionen aktiviert wurden.

Klicken Sie zum Anzeigen von Benutzerkonten auf "Start", auf "Programme", auf "Verwaltungstools" und dann auf "Active Directory-Benutzer und -Computer".

Liste der Eigenschaftskennzeichen

Sie können diese Attribute anzeigen und bearbeiten, indem Sie entweder das Ldp.exe-Tool oder das Adsiedit.msc-Snap-In verwenden.

In der folgenden Tabelle sind mögliche Flags aufgeführt, die Sie zuweisen können. Sie können einige Der Werte für ein Benutzer- oder Computerobjekt nicht festlegen, da diese Werte nur vom Verzeichnisdienst festgelegt oder zurückgesetzt werden können. Ldp.exe zeigt die Werte in Hexadezimalwert an. Adsiedit.msc zeigt die Werte im Dezimaltrennzeichen an. Die Flags sind kumulativ. Um das Konto eines Benutzers zu deaktivieren, legen Sie das UserAccountControl-Attribut auf 0x0202 fest (0x002 + 0x0200). Im Dezimaltrennzeichen ist dies 514 (2 + 512).

Hinweis

Sie können Active Directory sowohl in Ldp.exe als auch in "Adsiedit.msc" direkt bearbeiten. Nur erfahrene Administratoren sollten diese Tools zum Bearbeiten von Active Directory verwenden. Beide Tools sind verfügbar, nachdem Sie die Supporttools von Ihrem ursprünglichen Windows Installationsmedium installiert haben.

Eigenschaftskennzeichnung Wert in Hexadezimalwert Wert im Dezimaltrennzeichen
SKRIPT 0x0001 1
ACCOUNTDISABLE 0x0002 2
HOMEDIR_REQUIRED 0x0008 8
LOCKOUT 0x0010 16
PASSWD_NOTREQD 0x0020 32
PASSWD_CANT_CHANGE

Sie können diese Berechtigung nicht zuweisen, indem Sie das UserAccountControl-Attribut direkt ändern. Informationen zum programmgesteuerten Festlegen der Berechtigung finden Sie im Abschnitt "Eigenschaftenkennzeichenbeschreibungen".
0x0040 64
ENCRYPTED_TEXT_PWD_ALLOWED 0x0080 128
TEMP_DUPLICATE_ACCOUNT 0x0100 256
NORMAL_ACCOUNT 0x0200 512
INTERDOMAIN_TRUST_ACCOUNT 0x0800 2048
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
SERVER_TRUST_ACCOUNT 0x2000 8192
DONT_EXPIRE_PASSWORD 0x10000 65536
MNS_LOGON_ACCOUNT 0x20000 131072
SMARTCARD_REQUIRED 0x40000 262144
TRUSTED_FOR_DELEGATION 0x80000 524288
NOT_DELEGATED 0x100000 1048576
USE_DES_KEY_ONLY 0x200000 2097152
DONT_REQ_PREAUTH 0x400000 4194304
PASSWORD_EXPIRED 0x800000 8388608
TRUSTED_TO_AUTH_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0x04000000 67108864

Hinweis

In einer Windows Server 2003-basierten Domäne wurden LOCK_OUT und PASSWORD_EXPIRED durch ein neues Attribut namens "ms-DS-User-Account-Control-Computed" ersetzt. Weitere Informationen zu diesem neuen Attribut finden Sie unter "ms-DS-User-Account-Control-Computed"-Attribut.

Eigenschaftenkennzeichenbeschreibungen

  • SCRIPT: Das Anmeldeskript wird ausgeführt.

  • ACCOUNTDISABLE : Das Benutzerkonto ist deaktiviert.

  • HOMEDIR_REQUIRED: Der Startordner ist erforderlich.

  • PASSWD_NOTREQD: Es ist kein Kennwort erforderlich.

  • PASSWD_CANT_CHANGE: Der Benutzer kann das Kennwort nicht ändern. Es handelt sich um eine Berechtigung für das Objekt des Benutzers. Informationen zum programmgesteuerten Festlegen dieser Berechtigung finden Sie unter Ändern von "Benutzer kann Kennwort nicht ändern" (LDAP-Anbieter).

  • ENCRYPTED_TEXT_PASSWORD_ALLOWED: Der Benutzer kann ein verschlüsseltes Kennwort senden.

  • TEMP_DUPLICATE_ACCOUNT : Es handelt sich um ein Konto für Benutzer, deren primäres Konto sich in einer anderen Domäne befindet. Dieses Konto ermöglicht den Benutzerzugriff auf diese Domäne, jedoch nicht auf eine Domäne, die dieser Domäne vertraut. Es wird manchmal als lokales Benutzerkonto bezeichnet.

  • NORMAL_ACCOUNT – Es handelt sich um einen Standardkontotyp, der einen typischen Benutzer darstellt.

  • INTERDOMAIN_TRUST_ACCOUNT – Es ist eine Genehmigung, einem Konto für eine Systemdomäne zu vertrauen, die anderen Domänen vertraut.

  • WORKSTATION_TRUST_ACCOUNT – Es handelt sich um ein Computerkonto für einen Computer, auf dem Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional oder Windows 2000 Server ausgeführt wird und Mitglied dieser Domäne ist.

  • SERVER_TRUST_ACCOUNT : Es handelt sich um ein Computerkonto für einen Domänencontroller, der Mitglied dieser Domäne ist.

  • DONT_EXPIRE_PASSWD : Stellt das Kennwort dar, das für das Konto niemals ablaufen sollte.

  • MNS_LOGON_ACCOUNT – Es handelt sich um ein MNS-Anmeldekonto.

  • SMARTCARD_REQUIRED: Wenn dieses Kennzeichen festgelegt ist, wird der Benutzer gezwungen, sich mithilfe einer Smartcard anzumelden.

  • TRUSTED_FOR_DELEGATION : Wenn dieses Kennzeichen festgelegt ist, wird das Dienstkonto (das Benutzer- oder Computerkonto), unter dem ein Dienst ausgeführt wird, für die Kerberos-Delegierung als vertrauenswürdig eingestuft. Ein solcher Dienst kann die Identität eines Clients annehmen, der den Dienst anfordert. Um einen Dienst für die Kerberos-Delegierung zu aktivieren, müssen Sie dieses Flag für die UserAccountControl-Eigenschaft des Dienstkontos festlegen.

  • NOT_DELEGATED: Wenn dieses Flag festgelegt ist, wird der Sicherheitskontext des Benutzers nicht an einen Dienst delegiert, auch wenn das Dienstkonto für die Kerberos-Delegierung als vertrauenswürdig festgelegt ist.

  • USE_DES_KEY_ONLY – (Windows 2000/Windows Server 2003) Beschränken Sie diesen Prinzipal so, dass nur Des-Verschlüsselungstypen (Data Encryption Standard) für Schlüssel verwendet werden.

  • DONT_REQUIRE_PREAUTH – (Windows 2000/Windows Server 2003) Für dieses Konto ist für die Anmeldung keine Kerberos-Vorauthentifizierung erforderlich.

  • PASSWORD_EXPIRED – (Windows 2000/Windows Server 2003) Das Kennwort des Benutzers ist abgelaufen.

  • TRUSTED_TO_AUTH_FOR_DELEGATION – (Windows 2000/Windows Server 2003) Das Konto ist für die Delegierung aktiviert. Es handelt sich um eine sicherheitssensible Einstellung. Konten, für die diese Option aktiviert ist, sollten streng kontrolliert werden. Mit dieser Einstellung kann ein Dienst, der unter dem Konto ausgeführt wird, die Identität eines Clients annehmen und sich als dieser Benutzer bei anderen Remoteservern im Netzwerk authentifizieren.

  • PARTIAL_SECRETS_ACCOUNT – (Windows Server 2008/Windows Server 2008 R2) Das Konto ist ein schreibgeschützter Domänencontroller (RODC). Es handelt sich um eine sicherheitssensible Einstellung. Das Entfernen dieser Einstellung aus einem RODC beeinträchtigt die Sicherheit auf diesem Server.

UserAccountControl-Werte

Dies sind die Standardmäßigen UserAccountControl-Werte für die bestimmten Objekte:

  • Typischer Benutzer: 0x200 (512)
  • Domänencontroller: 0x82000 (532480)
  • Arbeitsstation/Server: 0x1000 (4096)