Verwenden der Flags "UserAccountControl" zum Bearbeiten von Benutzerkontoeigenschaften

In diesem Artikel werden Informationen zur Verwendung des Attributs "UserAccountControl" zum Bearbeiten von Benutzerkontoeigenschaften beschrieben.

Ursprüngliche Produktversion:   Windows Server 2012 R2
Ursprüngliche KB-Nummer:   305144

Zusammenfassung

Wenn Sie die Eigenschaften für ein Benutzerkonto öffnen, auf die Registerkarte "Konto" klicken und dann im Dialogfeld "Kontooptionen" die Kontrollkästchen aktivieren oder löschen, werden dem Attribut "UserAccountControl" numerische Werte zugewiesen. Der dem Attribut zugewiesene Wert teilt Windows mit, welche Optionen aktiviert wurden.

Klicken Sie zum Anzeigen von Benutzerkonten auf "Start", zeigen Sie auf "Programme", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Active Directory-Benutzer und -Computer".

Liste der Eigenschaftenflags

Sie können diese Attribute anzeigen und bearbeiten, indem Sie entweder das Tool Ldp.exe oder das Adsiedit.msc-Snap-In verwenden.

In der folgenden Tabelle sind mögliche Flags aufgeführt, die Sie zuweisen können. Sie können einige der Werte für ein Benutzer- oder Computerobjekt nicht festlegen, da diese Werte nur vom Verzeichnisdienst festgelegt oder zurückgesetzt werden können. Ldp.exe werden die Werte hexadezimal angezeigt. Adsiedit.msc zeigt die Werte als Dezimalzahl an. Die Flags sind kumulativ. Um das Konto eines Benutzers zu deaktivieren, legen Sie das Attribut "UserAccountControl" auf 0x0202 (0x002 + 0x0200) fest. Im Dezimaltrennzeichen ist dies 514 (2 + 512).

Hinweis

Sie können Active Directory direkt sowohl in Ldp.exe als auch in Adsiedit.msc bearbeiten. Nur erfahrene Administratoren sollten diese Tools zum Bearbeiten von Active Directory verwenden. Beide Tools sind nach der Installation der Supporttools von Ihren ursprünglichen Windows-Installationsmedien verfügbar.

Eigenschaftsflag Wert in Hexadezimal Wert im Dezimaltrennzeichen
SCRIPT 0x0001 1
ACCOUNTDISABLE 0x0002 2
HOMEDIR_REQUIRED 0x0008 8
LOCKOUT 0x0010 16
PASSWD_NOTREQD 0x0020 32
PASSWD_CANT_CHANGE

Sie können diese Berechtigung nicht zuweisen, indem Sie das Attribut "UserAccountControl" direkt ändern. Informationen zum programmgesteuerten Festlegen der Berechtigung finden Sie im Abschnitt "Beschreibungen des Eigenschaftenflags".
0x0040 64
ENCRYPTED_TEXT_PWD_ALLOWED 0x0080 128
TEMP_DUPLICATE_ACCOUNT 0x0100 256
NORMAL_ACCOUNT 0x0200 512
INTERDOMAIN_TRUST_ACCOUNT 0x0800 2048
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
SERVER_TRUST_ACCOUNT 0x2000 8192
DONT_EXPIRE_PASSWORD 0x10000 65536
MNS_LOGON_ACCOUNT 0x20000 131072
SMARTCARD_REQUIRED 0x40000 262144
TRUSTED_FOR_DELEGATION 0x80000 524288
NOT_DELEGATED 0x100000 1048576
USE_DES_KEY_ONLY 0x200000 2097152
DONT_REQ_PREAUTH 0x400000 4194304
PASSWORD_EXPIRED 0x800000 8388608
TRUSTED_TO_AUTH_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0x04000000 67108864

Hinweis

In einer Windows Server 2003-basierten Domäne wurden LOCK_OUT und PASSWORD_EXPIRED durch ein neues Attribut namens "ms-DS-User-Account-Control-Computed" ersetzt. Weitere Informationen zu diesem neuen Attribut finden Sie unter "ms-DS-User-Account-Control-Computed attribute](/windows/win32/adschema/a-msds-user-account-control-computed).

Beschreibungen des Eigenschaftenflags

  • SCRIPT – Das Anmeldeskript wird ausgeführt.

  • ACCOUNTDISABLE – Das Benutzerkonto ist deaktiviert.

  • HOMEDIR_REQUIRED : Der Startordner ist erforderlich.

  • PASSWD_NOTREQD: Es ist kein Kennwort erforderlich.

  • PASSWD_CANT_CHANGE : Der Benutzer kann das Kennwort nicht ändern. Es ist eine Berechtigung für das Objekt des Benutzers. Informationen zum programmgesteuerten Festlegen dieser Berechtigung finden Sie unter Modifying User Cannot Change Password (LDAP Provider).

  • ENCRYPTED_TEXT_PASSWORD_ALLOWED : Der Benutzer kann ein verschlüsseltes Kennwort senden.

  • TEMP_DUPLICATE_ACCOUNT - Es handelt sich um ein Konto für Benutzer, deren primäres Konto sich in einer anderen Domäne befindet. Dieses Konto ermöglicht den Benutzerzugriff auf diese Domäne, jedoch nicht auf eine Domäne, die dieser Domäne vertraut. Es wird manchmal als lokales Benutzerkonto bezeichnet.

  • NORMAL_ACCOUNT : Es handelt sich um einen Standardkontotyp, der einen typischen Benutzer darstellt.

  • INTERDOMAIN_TRUST_ACCOUNT – Es ist eine Genehmigung, einem Konto für eine Systemdomäne zu vertrauen, die anderen Domänen vertraut.

  • WORKSTATION_TRUST_ACCOUNT : Es handelt sich um ein Computerkonto für einen Computer, auf dem Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional oder Windows 2000 Server ausgeführt wird und Mitglied dieser Domäne ist.

  • SERVER_TRUST_ACCOUNT : Es handelt sich um ein Computerkonto für einen Domänencontroller, der Mitglied dieser Domäne ist.

  • DONT_EXPIRE_PASSWD - Stellt das Kennwort dar, das niemals für das Konto ablaufen sollte.

  • MNS_LOGON_ACCOUNT - Es ist ein MNS-Anmeldekonto.

  • SMARTCARD_REQUIRED : Wenn dieses Kennzeichen festgelegt ist, wird der Benutzer zur Anmeldung mithilfe einer Smartcard erzwingt.

  • TRUSTED_FOR_DELEGATION - Wenn dieses Flag festgelegt ist, wird das Dienstkonto (der Benutzer oder das Computerkonto), unter dem ein Dienst ausgeführt wird, für die Kerberos-Delegierung als vertrauenswürdig eingestuft. Ein solcher Dienst kann die Identität eines Clients, der den Dienst anfordert, imitieren. Zum Aktivieren eines Diensts für die Kerberos-Delegierung müssen Sie dieses Kennzeichen für die Eigenschaft "userAccountControl" des Dienstkontos festlegen.

  • NOT_DELEGATED – Wenn dieses Flag festgelegt ist, wird der Sicherheitskontext des Benutzers nicht an einen Dienst delegiert, auch wenn das Dienstkonto als vertrauenswürdig für die Kerberos-Delegierung festgelegt ist.

  • USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) Beschränken Sie diesen Prinzipal auf die Verwendung von Verschlüsselungstypen des Data Encryption Standard (DES) für Schlüssel.

  • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) Dieses Konto erfordert keine Kerberos-Vorauthentifizierung für die Anmeldung.

  • PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) Das Kennwort des Benutzers ist abgelaufen.

  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) Das Konto ist für die Delegierung aktiviert. Es ist eine sicherheitssensible Einstellung. Konten, für die diese Option aktiviert ist, sollten streng kontrolliert werden. Mit dieser Einstellung kann ein Dienst, der unter dem Konto ausgeführt wird, die Identität eines Clients annehmen und sich als dieser Benutzer bei anderen Remoteservern im Netzwerk authentifizieren.

  • PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008/Windows Server 2008 R2) Das Konto ist ein schreibgeschützter Domänencontroller (RODC). Es ist eine sicherheitssensible Einstellung. Das Entfernen dieser Einstellung aus einem RODC beeinträchtigt die Sicherheit auf diesem Server.

Werte von UserAccountControl

Hier sind die Standardwerte von UserAccountControl für die bestimmten Objekte:

  • Typischer Benutzer: 0x200 (512)
  • Domänencontroller: 0x82000 (532480)
  • Workstation/Server: 0x1000 (4096)