Använd UserAccountControl-flaggor för att ändra egenskaper för användarkonton
I den här artikeln beskrivs information om hur du använder attributet UserAccountControl för att ändra egenskaperna för användarkontot.
Original-KB-nummer: 305144
Sammanfattning
När du öppnar egenskaperna för ett användarkonto klickar du på fliken Konto och markerar eller avmarkerar sedan kryssrutorna i dialogrutan Kontoalternativ. Numeriska värden tilldelas attributet UserAccountControl. Värdet som tilldelas attributet anger för Windows vilka alternativ som har aktiverats.
För att visa användarkonton klickar du på Start, pekar på Program, pekar på Administrationsverktyg och klickar sedan på Active Directory-användare och -datorer.
Lista över egenskapsflaggor
Du kan visa och redigera dessa attribut med hjälp av antingen Ldp.exe-verktyget eller snapin-modulen Adsiedit.msc.
I följande tabell visas möjliga flaggor som du kan tilldela. Du kan inte ange några av värdena för ett användar- eller datorobjekt eftersom dessa värden endast kan anges eller återställas av katalogtjänsten. Ldp.exe visar värdena i hexadecimalt. Adsiedit.msc visar värdena i decimaltal. Flaggorna är kumulativa. Om du vill inaktivera en användares konto anger du attributet UserAccountControl till 0x0202 (0x002 + 0x0200). I decimaltal är det 514 (2 + 512).
Obs!
Du kan redigera Active Directory direkt i både Ldp.exe och Adsiedit.msc. Endast erfarna administratörer bör använda dessa verktyg för att redigera Active Directory. Båda verktygen är tillgängliga när du har installerat supportverktygen från ditt ursprungliga Windows-installationsmedium.
| Egenskapsflagga | Värde i hexadecimalt | Värde i decimaltal |
|---|---|---|
| SCRIPT | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| LOCKOUT | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE Du kan inte tilldela den här behörigheten genom att direkt ändra attributet UserAccountControl. Information om hur du ställer in behörigheten programmatiskt finns i avsnittet Beskrivningar av egenskapsflagga. |
0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 |
Obs!
I en Windows Server 2003-baserad domän har LOCK_OUT och PASSWORD_EXPIRED ersatts med ett nytt attribut med namnet ms-DS-User-Account-Control-Computed. Mer information om det här nya attributet finns i attributet ms-DS-User-Account-Control-Computed.
Beskrivningar av egenskapsflagga
SCRIPT – inloggningsskriptet kommer att köras.
ACCOUNTDISABLE – användarkontot är inaktiverat.
HOMEDIR_REQUIRED – startmappen krävs.
PASSWD_NOTREQD – inget lösenord krävs.
PASSWD_CANT_CHANGE – användaren kan inte ändra lösenordet. Det är en behörighet för användarens objekt. Information om hur du programmatiskt anger den här behörigheten finns i Ändra användare kan inte ändra lösenord (LDAP-provider).
ENCRYPTED_TEXT_PASSWORD_ALLOWED – användaren kan skicka ett krypterat lösenord.
TEMP_DUPLICATE_ACCOUNT – det är ett konto för användare vars primära konto finns i en annan domän. Det här kontot ger användaråtkomst till den här domänen, men inte till någon domän som litar på den här domänen. Det kallas ibland för ett lokalt användarkonto.
NORMAL_ACCOUNT – det är en standardkontotyp som representerar en typisk användare.
INTERDOMAIN_TRUST_ACCOUNT – det är ett tillstånd att lita på ett konto för en systemdomän som litar på andra domäner.
WORKSTATION_TRUST_ACCOUNT – det är ett datorkonto för en dator som kör Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional eller Windows 2000 Server och är medlem i den här domänen.
SERVER_TRUST_ACCOUNT – det är ett datorkonto för en domänkontrollant som är medlem i den här domänen.
DONT_EXPIRE_PASSWD – representerar lösenordet som aldrig ska upphöra att gälla för kontot.
MNS_LOGON_ACCOUNT – det är ett MNS-inloggningskonto.
SMARTCARD_REQUIRED – när den här flaggan har angetts tvingar den användaren att logga in med hjälp av ett smartkort.
TRUSTED_FOR_DELEGATION – när den här flaggan anges är tjänstkontot (användaren eller datorkontot) under vilket en tjänst körs betrodd för Kerberos-delegering. Alla sådana tjänster kan personifiera en klient som begär tjänsten. Om du vill aktivera en tjänst för Kerberos-delegering måste du ange den här flaggan för egenskapen userAccountControl för tjänstkontot.
NOT_DELEGATED – när den här flaggan anges delegeras inte användarens säkerhetskontext till en tjänst, även om tjänstkontot har angetts som betrott för Kerberos-delegering.
USE_DES_KEY_ONLY – (Windows 2000/Windows Server 2003) Begränsa det här huvudkontot till att endast använda krypteringstyperna Data Encryption Standard (DES) för nycklar.
DONT_REQUIRE_PREAUTH – (Windows 2000/Windows Server 2003) Det här kontot kräver inte Kerberos-förautentisering för inloggning.
PASSWORD_EXPIRED – (Windows 2000/Windows Server 2003) Användarens lösenord har upphört att gälla.
TRUSTED_TO_AUTH_FOR_DELEGATION – (Windows 2000/Windows Server 2003) Kontot är aktiverat för delegering. Det är en säkerhetskänslig inställning. Konton som har det här alternativet aktiverat bör vara noggrant kontrollerade. Med den här inställningen kan en tjänst som körs under kontot förutsätta en klients identitet och autentiseras som den användaren till andra fjärrservrar i nätverket.
PARTIAL_SECRETS_ACCOUNT – (Windows Server 2008/Windows Server 2008 R2) Kontot är en skrivskyddad domänkontrollant (RODC). Det är en säkerhetskänslig inställning. Om du tar bort den här inställningen från en RODC äventyras säkerheten på servern.
UserAccountControl-värden
Här är standardvärdena för UserAccountControl för vissa objekt:
- Typisk användare: 0x200 (512)
- Domänkontrollant: 0x82000 (532480)
- Arbetsstation/server: 0x1000 (4096)
- Förtroende: 0x820 (2080)
Obs!
Ett Windows-förtroendekonto är undantaget från att ha ett lösenord via PASSWD_NOTREQD UserAccountControl-attributvärde eftersom betrodda objekt inte använder traditionella lösenordsprinciper och lösenordsattribut på samma sätt som användar- och datorobjekt.
Förtroendehemligheter representeras av särskilda attribut på kontona för förtroende mellan domäner, vilket anger förtroendets riktning. Inkommande förtroendehemligheter lagras i attributet trustAuthIncoming på den "betrodda" sidan av ett förtroende. Utgående förtroendehemligheter lagras i attributet trustAuthOutgoing i slutet av ett förtroende.
- För dubbelriktade förtroenden har både INTERDOMAIN_TRUST_ACCOUNT-objektet på varje sida av förtroendet angetts.
- Förtroendehemligheter underhålls av domänkontrollanten som är den primära domänkontrollantens (PDC) Emulator FSMO-roll (Flexible Single Master Operation) i den betrodda domänen.
- Därför anges attributet PASSWD_NOTREQD UserAccountControl på INTERDOMAIN_TRUST_ACCOUNT konton som standard.