Использование флагов UserAccountControl для управления свойствами учетной записи пользователя

В этой статье описываются сведения об использовании атрибута UserAccountControl для управления свойствами учетной записи пользователя.

Исходная версия продукта:   Windows Server 2012 R2
Исходный номер КБ:   305144

Аннотация

Когда вы открываете свойства учетной записи пользователя, перейдите на вкладку "Учетная запись" и выберите или скройте флажки в диалоговом окне "Параметры учетной записи", числовые значения будут назначены атрибуту UserAccountControl. Значение, назначенное атрибуту, сообщает Windows, какие параметры включены.

Чтобы просмотреть учетные записи пользователей, нажмите кнопку "Начните" и выберите пункты "Программы", "Администрирование" и "Пользователи и компьютеры Active Directory".

Список флагов свойств

Эти атрибуты можно просмотреть и изменить с помощью средства Ldp.exe или оснастки Adsiedit.msc.

В следующей таблице перечислены возможные флаги, которые можно назначить. Некоторые значения в объекте пользователя или компьютера нельзя установить, так как эти значения можно установить или сбросить только службой каталогов. Ldp.exe показывает значения в декадедиалических значениях. Adsiedit.msc отображает значения в десятичной. Флаги являются накопительными. Чтобы отключить учетную запись пользователя, установите для атрибута UserAccountControl 0x0202 (0x002 + 0x0200). В десятичной заголовочности это 514 (2 + 512).

Примечание

Вы можете напрямую редактировать Active Directory как в Ldp.exe, так и в редакторе Adsiedit.msc. Только опытные администраторы должны использовать эти средства для редактирования Active Directory. Оба средства доступны после установки средств поддержки с исходного установщика Windows.

Флаг свойства Значение в hexadecimal Значение в десятичной заголово
SCRIPT 0x0001 1
ACCOUNTDISABLE 0x0002 2
HOMEDIR_REQUIRED 0x0008 8
LOCKOUT 0x0010 16
PASSWD_NOTREQD 0x0020 32
PASSWD_CANT_CHANGE

Это разрешение нельзя назначить путем непосредственного изменения атрибута UserAccountControl. Сведения о том, как установить разрешение программным путем, см. в разделе описания флагов свойств.
0x0040 64
ENCRYPTED_TEXT_PWD_ALLOWED 0x0080 128
TEMP_DUPLICATE_ACCOUNT 0x0100 256
NORMAL_ACCOUNT 0x0200 512
INTERDOMAIN_TRUST_ACCOUNT 0x0800 2048
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
SERVER_TRUST_ACCOUNT 0x2000 8192
DONT_EXPIRE_PASSWORD 0x10000 65536
MNS_LOGON_ACCOUNT 0x20000 131072
SMARTCARD_REQUIRED 0x40000 262144
TRUSTED_FOR_DELEGATION 0x80000 524288
NOT_DELEGATED 0x100000 1048576
USE_DES_KEY_ONLY 0x200000 2097152
DONT_REQ_PREAUTH 0x400000 4194304
PASSWORD_EXPIRED 0x800000 8388608
TRUSTED_TO_AUTH_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0x04000000 67108864

Примечание

В домене на основе Windows Server 2003 LOCK_OUT и PASSWORD_EXPIRED были заменены новым атрибутом ms-DS-User-Account-Control-Computed. Дополнительные сведения об этом новом атрибуте см. в записи ms-DS-User-Account-Control-Computed attribute](/windows/win32/adschema/a-msds-user-account-control-computed).

Описания флагов свойств

  • SCRIPT — сценарий для запуска.

  • ACCOUNTDISABLE — учетная запись пользователя отключена.

  • HOMEDIR_REQUIRED - требуется домашняя папка.

  • PASSWD_NOTREQD - пароль не требуется.

  • PASSWD_CANT_CHANGE - пользователь не может изменить пароль. Это разрешение на объект пользователя. Сведения о том, как программно настроить это разрешение, см. в подпрограмме "Изменение пользователя не удается изменить пароль " (поставщик LDAP)".

  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - пользователь может отправить зашифрованный пароль.

  • TEMP_DUPLICATE_ACCOUNT - это учетная запись для пользователей, основная учетная запись которых находится в другом домене. Эта учетная запись предоставляет пользователю доступ к этому домену, но не к домену, который доверяет этому домену. Ее иногда называют локальной учетной записью пользователя.

  • NORMAL_ACCOUNT — это тип учетной записи по умолчанию, представляю представляюжной обычного пользователя.

  • INTERDOMAIN_TRUST_ACCOUNT - это разрешение на доверие учетной записи для системного домена, который доверяет другим доменам.

  • WORKSTATION_TRUST_ACCOUNT это учетная запись компьютера под управлением Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional или Windows 2000 Server и является членом этого домена.

  • SERVER_TRUST_ACCOUNT - это учетная запись компьютера для контроллера домена, который является членом этого домена.

  • DONT_EXPIRE_PASSWD — представляет пароль, срок действия которого не должен истекает для учетной записи.

  • MNS_LOGON_ACCOUNT - это учетная запись для пользователя, выдав учетную запись MNS.

  • SMARTCARD_REQUIRED- Если этот флаг установлен, пользователь должен войти в систему с помощью смарт-карты.

  • TRUSTED_FOR_DELEGATION- Если этот флаг установлен, учетная запись службы (учетная запись пользователя или компьютера), под которой выполняется служба, доверяет делегирования Kerberos. Любая такая служба может выдать себя за клиента, запрашивающий службу. Чтобы включить службу для делегирования Kerberos, необходимо установить этот флаг для свойства userAccountControl учетной записи службы.

  • NOT_DELEGATED- Если этот флаг установлен, контекст безопасности пользователя не делегирован службе, даже если учетная запись службы настроена как доверенная для делегирования Kerberos.

  • USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) Ограничить этот основной, чтобы использовать только типы шифрования DES для ключей.

  • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) Эта учетная запись не требует предварительной проверки подлинности Kerberos для входа в систему.

  • PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) Срок действия пароля пользователя истек.

  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) Учетная запись включена для делегирования. Это параметр, чувствительный к безопасности. Учетные записи с включенным параметром должны строго контролироваться. Этот параметр позволяет службе, которая работает под учетной записью, принимать удостоверение клиента и проходить проверку подлинности от этого пользователя на других удаленных серверах в сети.

  • PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008/Windows Server 2008 R2) Учетная запись является контроллером домена только для чтения (RODC). Это параметр, чувствительный к безопасности. Удаление этого параметра из RODC скомпрометировать безопасность на этом сервере.

Значения UserAccountControl

Вот значения UserAccountControl по умолчанию для определенных объектов:

  • Обычный пользователь: 0x200 (512)
  • Контроллер домена: 0x82000 (532480)
  • Workstation/server: 0x1000 (4096)