Utiliser les indicateurs UserAccountControl pour manipuler les propriétés des comptes d’utilisateur
- 4 minutes de lecture
Cet article fournit des informations sur l’utilisation de l’attribut UserAccountControl pour manipuler les propriétés des comptes d’utilisateur.
Version du produit d’origine : Windows Server 2012 R2
Numéro de la base de connaissances initiale : 305144
Résumé
Lorsque vous ouvrez les propriétés d’un compte d’utilisateur, cliquez sur l’onglet compte , puis activez ou désactivez les cases à cocher dans la boîte de dialogue options de compte , les valeurs numériques sont affectées à l’attribut UserAccountControl . La valeur affectée à l’attribut indique à Windows les options activées.
Pour afficher les comptes d’utilisateur, cliquez sur Démarrer, pointez sur programmes, sur Outils d’administration, puis cliquez sur utilisateurs et ordinateurs Active Directory.
Liste des indicateurs de propriété
Vous pouvez afficher et modifier ces attributs à l’aide de l’outil Ldp.exe ou du composant logiciel enfichable adsiedit. msc.
Le tableau suivant répertorie les indicateurs possibles que vous pouvez attribuer. Vous ne pouvez pas définir certaines valeurs sur un objet utilisateur ou ordinateur car ces valeurs peuvent être définies ou réinitialisées uniquement par le service d’annuaire. Ldp.exe affiche les valeurs au format hexadécimal. Adsiedit. msc affiche les valeurs au format décimal. Les indicateurs sont cumulatifs. Pour désactiver un compte d’utilisateur, définissez l’attribut UserAccountControl sur 0x0202 (0x002 + 0x0200). Au format décimal, il s’agit de 514 (2 + 512).
Notes
Vous pouvez modifier directement Active Directory dans Ldp.exe et Adsiedit. msc. Seuls les administrateurs expérimentés doivent utiliser ces outils pour modifier Active Directory. Les deux outils sont disponibles après l’installation des outils de support à partir de votre support d’installation Windows d’origine.
| Indicateur de propriété | Valeur en notation hexadécimale | Valeur au format décimal |
|---|---|---|
| INSTRUCTIONS | 0x0001 | 0,1 |
| ACCOUNTDISABLE | 0x0002 | n°2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| BLOCAGE | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE Vous ne pouvez pas attribuer cette autorisation en modifiant directement l’attribut UserAccountControl. Pour plus d’informations sur la définition de l’autorisation par programme, voir la section Description des indicateurs de propriété . |
0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0 x 2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | n. | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 |
Notes
Dans un domaine Windows Server 2003, LOCK_OUT et PASSWORD_EXPIRED ont été remplacés par un nouvel attribut appelé ms-DS-User-Control-Compute. Pour plus d’informations sur ce nouvel attribut, voir ms-DS-User-Account-Control-Compute attribute] (/Windows/Win32/adschema/a-MSDS-User-Account-Control-computed).
Descriptions des indicateurs de propriétés
SCRIPT : le script d’ouverture de session est exécuté.
ACCOUNTDISABLE-le compte d’utilisateur est désactivé.
HOMEDIR_REQUIRED-le dossier de base est requis.
PASSWD_NOTREQD-Aucun mot de passe n’est requis.
PASSWD_CANT_CHANGE-l’utilisateur ne peut pas modifier le mot de passe. Il s’agit d’une autorisation sur l’objet de l’utilisateur. Pour plus d’informations sur la façon de définir cette autorisation par programmation, consultez la rubrique modification de l’utilisateur ne peut pas modifier le mot de passe (fournisseur LDAP).
ENCRYPTED_TEXT_PASSWORD_ALLOWED-l’utilisateur peut envoyer un mot de passe chiffré.
TEMP_DUPLICATE_ACCOUNT-il s’agit d’un compte pour les utilisateurs dont le compte principal se trouve dans un autre domaine. Ce compte permet à l’utilisateur d’accéder à ce domaine, mais pas à un domaine qui approuve ce domaine. Il s’agit parfois d’un compte d’utilisateur local.
NORMAL_ACCOUNT-il s’agit d’un type de compte par défaut qui représente un utilisateur classique.
INTERDOMAIN_TRUST_ACCOUNT-il s’agit d’un autoriser à approuver un compte pour un domaine système qui approuve d’autres domaines.
WORKSTATION_TRUST_ACCOUNT-il s’agit d’un compte d’ordinateur pour un ordinateur qui exécute Microsoft Windows NT 4,0 Workstation, Microsoft Windows NT 4,0 Server, Microsoft Windows 2000 Professionnel ou Windows 2000 Server et qui est membre de ce domaine.
SERVER_TRUST_ACCOUNT-il s’agit d’un compte d’ordinateur pour un contrôleur de domaine qui est membre de ce domaine.
DONT_EXPIRE_PASSWD-représente le mot de passe, qui ne doit jamais expirer sur le compte.
MNS_LOGON_ACCOUNT-il s’agit d’un compte d’ouverture de session MNS.
SMARTCARD_REQUIRED-lorsque cet indicateur est défini, il force l’utilisateur à se connecter à l’aide d’une carte à puce.
TRUSTED_FOR_DELEGATION-lorsque cet indicateur est défini, le compte de service (utilisateur ou compte d’ordinateur) sous lequel un service s’exécute est approuvé pour la délégation Kerberos. Tout service de ce type peut emprunter l’identité d’un client demandant le service. Pour activer un service pour la délégation Kerberos, vous devez définir cet indicateur sur la propriété userAccountControl du compte de service.
NOT_DELEGATED-lorsque cet indicateur est défini, le contexte de sécurité de l’utilisateur n’est pas délégué à un service, même si le compte de service est défini comme étant approuvé pour la délégation Kerberos.
USE_DES_KEY_ONLY-(Windows 2000/Windows Server 2003) limiter ce principal à utiliser uniquement les types de chiffrement DES clés DES (Data Encryption Standard).
DONT_REQUIRE_PREAUTH-(Windows 2000/Windows Server 2003) ce compte ne requiert pas l’authentification préalable Kerberos pour l’ouverture de session.
PASSWORD_EXPIRED-(Windows 2000/Windows Server 2003) le mot de passe de l’utilisateur a expiré.
TRUSTED_TO_AUTH_FOR_DELEGATION-(Windows 2000/Windows Server 2003) le compte est activé pour la délégation. Il s’agit d’un paramètre sensible à la sécurité. Les comptes pour lesquels cette option est activée doivent être étroitement contrôlés. Ce paramètre permet à un service qui s’exécute sous le compte assume l’identité d’un client et s’authentifie auprès d’autres serveurs distants sur le réseau.
PARTIAL_SECRETS_ACCOUNT-(Windows Server 2008/Windows Server 2008 R2) le compte est un contrôleur de domaine en lecture seule (RODC). Il s’agit d’un paramètre sensible à la sécurité. La suppression de ce paramètre d’un RODC compromet la sécurité sur ce serveur.
Valeurs UserAccountControl
Voici les valeurs UserAccountControl par défaut pour certains objets :
- Utilisateur classique : 0x200 (512)
- Contrôleur de domaine : 0x82000 (532480)
- Station de travail/serveur : 0x1000 (4096)