UserAccountControl フラグを使用してユーザー アカウントのプロパティを操作する

この記事では、 UserAccountControl 属性を使用してユーザー アカウントのプロパティを操作する方法について説明します。

適用対象:  Windows Server 2012 R2
元の KB 番号:   305144

要約

ユーザー アカウントのプロパティを開き、[アカウント] タブをクリックし、[アカウント オプション] ダイアログ ボックスのチェック ボックスをオンまたはオフにすると、数値が UserAccountControl 属性に割り当てられます。 属性に割り当てられた値は、有効Windowsを示します。

ユーザー アカウントを表示するには、[スタート] を クリックし、[プログラム] をポイント し、[管理 ツール] をポイントして、[Active Directory ユーザーとコンピューター] をクリックします

プロパティ フラグの一覧

これらの属性を表示および編集するには、Ldp.exeまたは Adsiedit.msc スナップインを使用します。

次の表に、割り当て可能なフラグの一覧を示します。 これらの値はディレクトリ サービスでのみ設定またはリセットできるので、ユーザーまたはコンピューター オブジェクトの値の一部を設定できません。 Ldp.exeは 16 進数で表示されます。 Adsiedit.msc は、10 進数で値を表示します。 フラグは累積的です。 ユーザーのアカウントを無効にするには、 UserAccountControl 属性を 0x0202 (0x002 + 0x0200) に設定します。 10 進数では 、514 (2 + 512) です。

注意

Active Directory は、Active Directory と Adsiedit.msc のLdp.exe直接編集できます。 これらのツールを使用して Active Directory を編集する必要があるのは、経験豊富な管理者のみです。 どちらのツールも、元のインストール メディアからサポート ツールをインストールした後Windows使用できます。

プロパティ フラグ 16 進数の値 10 進数の値
SCRIPT 0x0001 1
ACCOUNTDISABLE 0x0002 2
HOMEDIR_REQUIRED 0x0008 8
LOCKOUT 0x0010 16
PASSWD_NOTREQD 0x0020 32
PASSWD_CANT_CHANGE

UserAccountControl 属性を直接変更して、このアクセス許可を割り当てすることはできません。 アクセス許可をプログラムで設定する方法については、「プロパティ フラグの 説明」セクションを参照 してください。
0x0040 64
ENCRYPTED_TEXT_PWD_ALLOWED 0x0080 128
TEMP_DUPLICATE_ACCOUNT 0x0100 256
NORMAL_ACCOUNT 0x0200 512
INTERDOMAIN_TRUST_ACCOUNT 0x0800 2048
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
SERVER_TRUST_ACCOUNT 0x2000 8192
DONT_EXPIRE_PASSWORD 0x10000 65536
MNS_LOGON_ACCOUNT 0x20000 131072
SMARTCARD_REQUIRED 0x40000 262144
TRUSTED_FOR_DELEGATION 0x80000 524288
NOT_DELEGATED 0x100000 1048576
USE_DES_KEY_ONLY 0x200000 2097152
DONT_REQ_PREAUTH 0x400000 4194304
PASSWORD_EXPIRED 0x800000 8388608
TRUSTED_TO_AUTH_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0x04000000 67108864

注意

Windows Server 2003 ベースのドメインでは、LOCK_OUT と PASSWORD_EXPIRED は ms-DS-User-Account-Control-Computed という新しい属性に置き換えされています。 この新しい属性の詳細については、「 ms-DS-User-Account-Control-Computed 属性」を参照してください

プロパティ フラグの説明

  • SCRIPT - ログオン スクリプトが実行されます。

  • ACCOUNTDISABLE - ユーザー アカウントが無効になっています。

  • HOMEDIR_REQUIRED - ホーム フォルダーが必要です。

  • PASSWD_NOTREQD - パスワードは必要ありません。

  • PASSWD_CANT_CHANGE - ユーザーはパスワードを変更できません。 ユーザーのオブジェクトに対するアクセス許可です。 このアクセス許可をプログラムで設定する方法については、「 Modifying User Cannot Change Password (LDAP Provider)」を参照してください

  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - ユーザーは暗号化されたパスワードを送信できます。

  • TEMP_DUPLICATE_ACCOUNT - プライマリ アカウントが別のドメインにあるユーザーのアカウントです。 このアカウントは、このドメインへのユーザー アクセスを提供しますが、このドメインを信頼するドメインにはアクセスできません。 ローカル ユーザー アカウントと呼ばれる場合があります。

  • NORMAL_ACCOUNT - 一般的なユーザーを表す既定のアカウントの種類です。

  • INTERDOMAIN_TRUST_ACCOUNT - 他のドメインを信頼するシステム ドメインのアカウントを信頼する許可です。

  • WORKSTATION_TRUST_ACCOUNT - Microsoft Windows NT 4.0 ワークステーション、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional、または Windows 2000 Server を実行しているコンピューターのコンピューター アカウントであり、このドメインのメンバーです。

  • SERVER_TRUST_ACCOUNT - このドメインのメンバーであるドメイン コントローラーのコンピューター アカウントです。

  • DONT_EXPIRE_PASSWD - アカウントで有効期限が切れることはありませんパスワードを表します。

  • MNS_LOGON_ACCOUNT - MNS ログオン アカウントです。

  • SMARTCARD_REQUIRED - このフラグを設定すると、ユーザーはスマート カードを使用して強制的にログオンします。

  • TRUSTED_FOR_DELEGATION - このフラグを設定すると、サービスを実行するサービス アカウント (ユーザーまたはコンピューター アカウント) が Kerberos 委任に対して信頼されます。 そのようなサービスは、サービスを要求するクライアントを偽装できます。 Kerberos 委任のサービスを有効にするには、サービス アカウントの userAccountControl プロパティにこのフラグを設定する必要があります。

  • NOT_DELEGATED - このフラグを設定すると、Kerberos 委任に対してサービス アカウントが信頼済みとして設定されている場合でも、ユーザーのセキュリティ コンテキストはサービスに委任されません。

  • USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) キーにデータ暗号化標準 (DES) 暗号化の種類のみを使用するには、このプリンシパルを制限します。

  • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) このアカウントは、ログオンに Kerberos 事前認証を必要としません。

  • PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) ユーザーのパスワードの有効期限が切れています。

  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) アカウントは委任が有効になっています。 これはセキュリティに敏感な設定です。 このオプションが有効になっているアカウントは、厳しく制御する必要があります。 この設定を使用すると、アカウントで実行されるサービスは、クライアントの ID を引き受け、そのユーザーとしてネットワーク上の他のリモート サーバーに対して認証できます。

  • PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008/Windows Server 2008 R2) アカウントは読み取り専用ドメイン コントローラー (RODC) です。 これはセキュリティに敏感な設定です。 RODC からこの設定を削除すると、そのサーバーのセキュリティが損なわれる。

UserAccountControl の値

特定のオブジェクトの既定の UserAccountControl 値を次に示します。

  • 一般的なユーザー: 0x200 (512)
  • ドメイン コントローラー: 0x82000 (532480)
  • ワークステーション/サーバー: 0x1000 (4096)