Использование флагов UserAccountControl для управления свойствами учетных записей пользователей

В этой статье описываются сведения об использовании атрибута UserAccountControl для управления свойствами учетных записей пользователей.

Применяется к:   Windows Server 2012 R2
Исходный номер КБ:   305144

Сводка

Когда вы открываете свойства учетной записи пользователя, щелкните вкладку Учетная запись, а затем выберите или очистить флажки в диалоговом окне Параметры учетной записи, числовые значения назначены атрибуту UserAccountControl. Значение, назначенное атрибуту, указывает Windows какие параметры были включены.

Чтобы просмотреть учетные записи пользователей, нажмите кнопку Начните, указать на программы, указать административные средства, а затем нажмите кнопку Active Directory Users and Computers.

Список флагов свойств

Эти атрибуты можно просматривать и изменять с помощью Ldp.exe или оснастки Adsiedit.msc.

В следующей таблице перечислены возможные флаги, которые можно назначить. Некоторые значения на объекте пользователя или компьютера установить нельзя, так как эти значения можно установить или сбросить только службой каталогов. Ldp.exe показывает значения в hexadecimal. Adsiedit.msc отображает значения в десятичной. Флаги являются накопительными. Чтобы отключить учетную запись пользователя, установите атрибут UserAccountControl 0x0202 (0x002 + 0x0200). В десятичной , это 514 (2 + 512).

Примечание

Вы можете непосредственно изменить Active Directory как в Ldp.exe, так и в Adsiedit.msc. Только опытные администраторы должны использовать эти средства для редактирования Active Directory. Оба средства доступны после установки средств поддержки из исходного Windows установки.

Флаг свойства Значение в hexadecimal Значение в десятичной
SCRIPT 0x0001 1
ACCOUNTDISABLE 0x0002 2
HOMEDIR_REQUIRED 0x0008 8
ЛОКАУТ 0x0010 16
PASSWD_NOTREQD 0x0020 32
PASSWD_CANT_CHANGE

Это разрешение нельзя назначить путем непосредственного изменения атрибута UserAccountControl. Сведения о том, как настроить разрешение программным путем, см. в разделе Описания флага свойств .
0x0040 64
ENCRYPTED_TEXT_PWD_ALLOWED 0x0080 128
TEMP_DUPLICATE_ACCOUNT 0x0100 256
NORMAL_ACCOUNT 0x0200 512
INTERDOMAIN_TRUST_ACCOUNT 0x0800 2048
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
SERVER_TRUST_ACCOUNT 0x2000 8192
DONT_EXPIRE_PASSWORD 0x10000 65536
MNS_LOGON_ACCOUNT 0x20000 131072
SMARTCARD_REQUIRED 0x40000 262144
TRUSTED_FOR_DELEGATION 0x80000 524288
NOT_DELEGATED 0x100000 1048576
USE_DES_KEY_ONLY 0x200000 2097152
DONT_REQ_PREAUTH 0x400000 4194304
PASSWORD_EXPIRED 0x800000 8388608
TRUSTED_TO_AUTH_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0x04000000 67108864

Примечание

В домене Windows Server 2003 LOCK_OUT и PASSWORD_EXPIRED заменены новым атрибутом ms-DS-User-Account-Control-Computed. Дополнительные сведения об этом новом атрибуте см. в атрибуте ms-DS-User-Account-Control-Computed.

Описания флага свойств

  • SCRIPT . Сценарий логотипа будет запускаться.

  • ACCOUNTDISABLE — учетная запись пользователя отключена.

  • HOMEDIR_REQUIRED — требуется домашняя папка.

  • PASSWD_NOTREQD . Пароль не требуется.

  • PASSWD_CANT_CHANGE — пользователь не может изменить пароль. Это разрешение на объект пользователя. Сведения о программном наборе этого разрешения см. в раздел Изменение пользователя не может изменить пароль (поставщик LDAP).

  • ENCRYPTED_TEXT_PASSWORD_ALLOWED — пользователь может отправить зашифрованный пароль.

  • TEMP_DUPLICATE_ACCOUNT — это учетная запись для пользователей, основная учетная запись которых находится в другом домене. Эта учетная запись предоставляет пользователю доступ к этому домену, но не к домену, который доверяет этому домену. Иногда его называют локальной учетной записью пользователя.

  • NORMAL_ACCOUNT . Это тип учетной записи по умолчанию, который представляет типичного пользователя.

  • INTERDOMAIN_TRUST_ACCOUNT . Это разрешение на доверие учетной записи для системного домена, который доверяет другим доменам.

  • WORKSTATION_TRUST_ACCOUNT — это компьютерная учетная запись для компьютера, на компьютере на Windows NT работает Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional или Windows 2000 Server и является членом этого домена.

  • SERVER_TRUST_ACCOUNT — это учетная запись компьютера для контроллера домена, который является членом этого домена.

  • DONT_EXPIRE_PASSWD — представляет пароль, срок действия которого никогда не должен истекал в учетной записи.

  • MNS_LOGON_ACCOUNT — это учетная запись с логотипом MNS.

  • SMARTCARD_REQUIRED . Когда этот флаг установлен, он заставляет пользователя войти в систему с помощью смарт-карты.

  • TRUSTED_FOR_DELEGATION . При этом флаге учетная запись службы (учетная запись пользователя или компьютера), под которой выполняется служба, доверяется делегирования Kerberos. Любая такая служба может выдать себя за клиента, запрашивающий службу. Чтобы включить службу для делегирования Kerberos, необходимо установить этот флаг на свойстве userAccountControl учетной записи службы.

  • NOT_DELEGATED . Когда этот флаг установлен, контекст безопасности пользователя не делегирован службе, даже если учетная запись службы заданной как доверяемая для делегирования Kerberos.

  • USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) Ограничить этот принцип использовать только типы шифрования шифрования данных стандарта (DES) для ключей.

  • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) Эта учетная запись не требует предварительной проверки подлинности Kerberos для входа в систему.

  • PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) срок действия пароля пользователя истек.

  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) Учетная запись включена для делегирования. Это параметр, чувствительный к безопасности. Учетные записи, включаемые в этот параметр, должны строго контролироваться. Этот параметр позволяет службе, которая работает под учетной записью, принимать удостоверение клиента и проверку подлинности в качестве этого пользователя на других удаленных серверах в сети.

  • PARTIAL_SECRETS_ACCOUNT — (Windows Server 2008/Windows Server 2008 R2) Учетная запись является контроллером домена только для чтения (RODC). Это параметр, чувствительный к безопасности. Удаление этого параметра из RODC может поставить под угрозу безопасность на этом сервере.

Значения UserAccountControl

Ниже читаются значения UserAccountControl по умолчанию для определенных объектов:

  • Типичный пользователь: 0x200 (512)
  • Контроллер домена: 0x82000 (532480)
  • Workstation/server: 0x1000 (4096)