пятница, 6 июля 2012 г.

Управление свойствами UserAccountControl с использованием флагов контроля учетных записей

Источник: http://support.microsoft.com/kb/305144
Просмотр и изменение данных атрибутов возможны с использованием программы Ldp.exe или оснастки Adsiedit.msc.

В таблице указаны флаги, которые можно назначить. Некоторые значения для пользователя или компьютера устанавливаются или сбрасываются только службой каталогов, поэтому установить их невозможно. Обратите внимание, что Ldp.exe показывает значения в шестнадцатеричном формате. Adsiedit.msc показывает значения в десятичном формате. Флаги кумулятивны. Для отключения учетной записи пользователя установите значение атрибута Контроль учетных записей 0x0202 (0x002 + 0x0200). В десятичном формате 514 (2 + 512).

Примечание Возможно прямое изменение Active Directory в Ldp.exe или Adsiedit.msc. Изменение Active Directory с использованием этих программ рекомендуется только опытным администраторам. Обе программы доступны после установки программ поддержки с исходного установочного носителя Windows.
Свернуть эту таблицуРазвернуть эту таблицу
Флаг свойстваШестнадцатеричное значениеДесятичное значение
SCRIPT0x00011
ACCOUNTDISABLE0x00022
HOMEDIR_REQUIRED0x00088
LOCKOUT0x001016
PASSWD_NOTREQD0x002032
PASSWD_CANT_CHANGE
Примечание Данное разрешение невозможно назначить при помощи прямой правки атрибута UserAccountControl. Для получения сведений о назначении разрешения программным путем см. раздел «Описание флагов свойств».
0x004064
ENCRYPTED_TEXT_PWD_ALLOWED0x0080128
TEMP_DUPLICATE_ACCOUNT0x0100256
NORMAL_ACCOUNT0x0200512
INTERDOMAIN_TRUST_ACCOUNT0x08002048
WORKSTATION_TRUST_ACCOUNT0x10004096
SERVER_TRUST_ACCOUNT0x20008192
DONT_EXPIRE_PASSWORD0x1000065536
MNS_LOGON_ACCOUNT0x20000131072
SMARTCARD_REQUIRED0x40000262144
TRUSTED_FOR_DELEGATION0x80000524288
NOT_DELEGATED0x1000001048576
USE_DES_KEY_ONLY0x2000002097152
DONT_REQ_PREAUTH0x4000004194304
PASSWORD_EXPIRED0x8000008388608
TRUSTED_TO_AUTH_FOR_DELEGATION0x100000016777216

Примечание В домене под управлением Windows Server 2003 флаги LOCK_OUT и PASSWORD_EXPIRED заменены новым атрибутом ms-DS-User-Account-Control-Computed. Для получения дополнительных сведений о данном атрибуте посетите веб-узел:
http://msdn.microsoft.com/library/en-us/adschema/adschema/a_msds_user_account_control_computed.asp

Описание флагов свойств


  • SCRIPT - Запуск сценария входа.
  • ACCOUNTDISABLE - Отключение учетной записи пользователя.
  • HOMEDIR_REQUIRED - Требуется домашняя папка.
  • PASSWD_NOTREQD - Пароль не требуется.
  • PASSWD_CANT_CHANGE - Пользователь не может изменить пароль. Это разрешение на объекте пользователя. Для получения сведений о назначении данного разрешения программным путем посетите веб-узел:
    http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adsi/adsi/modifying_user_cannot_change_password_ldap_provider.asp
  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - Пользователь может отправить зашифрованный пароль.
  • TEMP_DUPLICATE_ACCOUNT - Учетная запись для пользователей, чьи основные учетные записи хранятся в другом домене. Данная учетная запись обеспечивает доступ пользователя к данному домену, но не к доменам, которые доверяют ему. Данную учетную запись иногда называют локальной учетной записью пользователя.
  • NORMAL_ACCOUNT - Тип учетной записи, используемой по умолчанию и представляющей обычного пользователя.
  • INTERDOMAIN_TRUST_ACCOUNT - Разрешение доверять учетную запись домену системы, доверяющему другим доменам.
  • WORKSTATION_TRUST_ACCOUNT - Учетная запись для компьютера, использующего Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional или Windows 2000 Server и являющегося членом данного домена.
  • SERVER_TRUST_ACCOUNT - Учетная запись для контроллера домена, являющегося членом данного домена.
  • DONT_EXPIRE_PASSWD - Представляется пароль, срок действия которого не истекает для данной учетной записи.
  • MNS_LOGON_ACCOUNT - Учетная запись входа MNS.
  • SMARTCARD_REQUIRED - Пользователь может осуществить вход только с использованием смарт-карты.
  • TRUSTED_FOR_DELEGATION - Учетной записи службы (пользователя или компьютера), под которой выполняется служба, доверяется делегирование Kerberos. Любая подобная служба может олицетворять клиента, запрашивающего службу. Для разрешения делегирования Kerberos необходимо установить данный флаг для свойства Контроль учетных записей учетной записи службы.
  • NOT_DELEGATED - Контекст безопасности пользователя не делегируется службе, даже если учетной записи службы доверено делегирование Kerberos.
  • USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) Участник может использовать только тип шифрования DES для ключей.
  • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) Данная учетная запись не требует предварительной проверки Kerberos для входа.
  • PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) Срок действия пароля пользователя истек.
  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) Данной учетной записи разрешено делегирование. Данный параметр влияет на безопасность. Учетные записи с разрешенным делегированием должны использоваться крайне осмотрительно. Этот параметр разрешает службе, выполняющейся под данной учетной записью, использовать учетные данные и проходить проверку подлинности от имени этого пользователя для других удаленных серверов в сети.

Значения UserAccountControl

Здесь приводятся значения UserAccountControl по умолчанию для некоторых объектов:
Обычный пользователь : 0x200 (512)
Контроллер домена : 0x82000 (532480)
Рабочая станция/сервер: 0x1000 (4096)

Комментариев нет:

Отправить комментарий