Utiliser les indicateurs UserAccountControl pour manipuler les propriétés du compte d’utilisateur

Cet article décrit des informations sur l’utilisation de l’attribut UserAccountControl pour manipuler les propriétés du compte d’utilisateur.

S’applique à :   Windows Server 2012 R2
Numéro de la ko d’origine :   305144

Résumé

Lorsque vous ouvrez les propriétés d’un compte d’utilisateur, cliquez sur l’onglet Compte, puis cochez ou videz les cases dans la boîte de dialogue Options du compte, les valeurs numériques sont affectées à l’attribut UserAccountControl. La valeur attribuée à l’attribut indique Windows options qui ont été activées.

Pour afficher les comptes d’utilisateurs, cliquez sur Démarrer, pointez sur Programmes, pointez sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.

Liste des indicateurs de propriété

Vous pouvez afficher et modifier ces attributs à l’aide de l’outil Ldp.exe ou du logiciel en snap-in Adsiedit.msc.

Le tableau suivant répertorie les indicateurs possibles que vous pouvez attribuer. Vous ne pouvez pas définir certaines valeurs sur un objet utilisateur ou ordinateur, car ces valeurs peuvent être définies ou réinitialisées uniquement par le service d’annuaire. Ldp.exe affiche les valeurs en hexadécimal. Adsiedit.msc affiche les valeurs en décimales. Les indicateurs sont cumulatifs. Pour désactiver le compte d’un utilisateur, définissez l’attribut UserAccountControl sur 0x0202 (0x002 + 0x0200). En décimal, il s’agit de 514 (2 + 512).

Notes

Vous pouvez modifier directement Active Directory dans Ldp.exe et Adsiedit.msc. Seuls les administrateurs expérimentés doivent utiliser ces outils pour modifier Active Directory. Les deux outils sont disponibles après avoir installé les outils de support à partir de votre support d Windows d’origine.

Indicateur de propriété Valeur hexadécimale Valeur en décimal
SCRIPT 0x0001 1
ACCOUNTDISABLE 0x0002 2
HOMEDIR_REQUIRED 0x0008
LOCKOUT 0x0010 16 
PASSWD_NOTREQD 0x0020 32
PASSWD_CANT_CHANGE

Vous ne pouvez pas attribuer cette autorisation en modifiant directement l’attribut UserAccountControl. Pour plus d’informations sur la définition de l’autorisation par programme, voir la section Descriptions de l’indicateur de propriété.
0x0040 64
ENCRYPTED_TEXT_PWD_ALLOWED 0x0080 128
TEMP_DUPLICATE_ACCOUNT 0x0100 256
NORMAL_ACCOUNT 0x0200 512
INTERDOMAIN_TRUST_ACCOUNT 0x0800 2048
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
SERVER_TRUST_ACCOUNT 0x2000 8192
DONT_EXPIRE_PASSWORD 0x10000 65536
MNS_LOGON_ACCOUNT 0x20000 131072
SMARTCARD_REQUIRED 0x40000 262144
TRUSTED_FOR_DELEGATION 0x80000 524288
NOT_DELEGATED 0x100000 1048576
USE_DES_KEY_ONLY 0x200000 2097152
DONT_REQ_PREAUTH 0x400000 4194304
PASSWORD_EXPIRED 0x800000 8388608
TRUSTED_TO_AUTH_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0x04000000 67108864

Notes

Dans un domaine Windows Server 2003, LOCK_OUT et PASSWORD_EXPIRED ont été remplacés par un nouvel attribut appelé ms-DS-User-Account-Control-Computed. Pour plus d’informations sur ce nouvel attribut, voir ms-DS-User-Account-Control-Computed attribute](/windows/win32/adschema/a-msds-user-account-control-computed).

Descriptions de l’indicateur de propriété

  • SCRIPT : le script d' logon est exécuté.

  • ACCOUNTDISABLE : le compte d’utilisateur est désactivé.

  • HOMEDIR_REQUIRED - Le dossier d’accueil est obligatoire.

  • PASSWD_NOTREQD - Aucun mot de passe n’est requis.

  • PASSWD_CANT_CHANGE - L’utilisateur ne peut pas modifier le mot de passe. Il s’agit d’une autorisation sur l’objet de l’utilisateur. Pour plus d’informations sur la façon de définir par programme cette autorisation, voir Modifying User Cannot Change Password (LDAP Provider).

  • ENCRYPTED_TEXT_PASSWORD_ALLOWED : l’utilisateur peut envoyer un mot de passe chiffré.

  • TEMP_DUPLICATE_ACCOUNT : il s’agit d’un compte pour les utilisateurs dont le compte principal se trouve dans un autre domaine. Ce compte permet à l’utilisateur d’accéder à ce domaine, mais pas à un domaine qui fait confiance à ce domaine. Il est parfois appelé compte d’utilisateur local.

  • NORMAL_ACCOUNT - Il s’agit d’un type de compte par défaut qui représente un utilisateur classique.

  • INTERDOMAIN_TRUST_ACCOUNT : permet d’faire confiance à un compte pour un domaine système qui fait confiance à d’autres domaines.

  • WORKSTATION_TRUST_ACCOUNT : il s’agit d’un compte d’ordinateur pour un ordinateur exécutant Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional ou Windows 2000 Server et est membre de ce domaine.

  • SERVER_TRUST_ACCOUNT : il s’agit d’un compte d’ordinateur pour un contrôleur de domaine membre de ce domaine.

  • DONT_EXPIRE_PASSWD - Représente le mot de passe, qui ne doit jamais expirer sur le compte.

  • MNS_LOGON_ACCOUNT : il s’agit d’un compte d’utilisateur de compte d’utilisateur MNS.

  • SMARTCARD_REQUIRED - Lorsque cet indicateur est définie, il force l’utilisateur à se connecter à l’aide d’une carte à puce.

  • TRUSTED_FOR_DELEGATION - Lorsque cet indicateur est définie, le compte de service (compte d’utilisateur ou d’ordinateur) sous lequel un service s’exécute est approuvé pour la délégation Kerberos. Tout service de ce type peut usurper l’identité d’un client qui le demande. Pour activer un service pour la délégation Kerberos, vous devez définir cet indicateur sur la propriété userAccountControl du compte de service.

  • NOT_DELEGATED - Lorsque cet indicateur est définie, le contexte de sécurité de l’utilisateur n’est pas délégué à un service, même si le compte de service est définie comme étant approuvé pour la délégation Kerberos.

  • USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) Limiter ce principal pour utiliser uniquement les types de chiffrement DES (Data Encryption Standard) pour les clés.

  • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) Ce compte ne nécessite pas l’authentification préalable Kerberos pour la connexion.

  • PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) Le mot de passe de l’utilisateur a expiré.

  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) Le compte est activé pour la délégation. Il s’agit d’un paramètre sensible à la sécurité. Les comptes pour qui cette option est activée doivent être étroitement contrôlés. Ce paramètre permet à un service qui s’exécute sous le compte de supposer l’identité d’un client et de s’authentifier en tant qu’utilisateur sur d’autres serveurs distants sur le réseau.

  • PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008/Windows Server 2008 R2) Le compte est un contrôleur de domaine en lecture seule. Il s’agit d’un paramètre sensible à la sécurité. La suppression de ce paramètre d’un contrôle RODC compromet la sécurité sur ce serveur.

Valeurs UserAccountControl

Voici les valeurs UserAccountControl par défaut pour certains objets :

  • Utilisateur type : 0x200 (512)
  • Contrôleur de domaine : 0x82000 (532480)
  • Station de travail/serveur : 0x1000 (4096)