Источник: http://support.microsoft.com/kb/305144
Просмотр и изменение данных атрибутов возможны с использованием программы Ldp.exe или оснастки Adsiedit.msc.
В таблице указаны флаги, которые можно назначить. Некоторые значения для пользователя или компьютера устанавливаются или сбрасываются только службой каталогов, поэтому установить их невозможно. Обратите внимание, что Ldp.exe показывает значения в шестнадцатеричном формате. Adsiedit.msc показывает значения в десятичном формате. Флаги кумулятивны. Для отключения учетной записи пользователя установите значение атрибута Контроль учетных записей 0x0202 (0x002 + 0x0200). В десятичном формате 514 (2 + 512).
Примечание Возможно прямое изменение Active Directory в Ldp.exe или Adsiedit.msc. Изменение Active Directory с использованием этих программ рекомендуется только опытным администраторам. Обе программы доступны после установки программ поддержки с исходного установочного носителя Windows.
Примечание В домене под управлением Windows Server 2003 флаги LOCK_OUT и PASSWORD_EXPIRED заменены новым атрибутом ms-DS-User-Account-Control-Computed. Для получения дополнительных сведений о данном атрибуте посетите веб-узел:
Просмотр и изменение данных атрибутов возможны с использованием программы Ldp.exe или оснастки Adsiedit.msc.
В таблице указаны флаги, которые можно назначить. Некоторые значения для пользователя или компьютера устанавливаются или сбрасываются только службой каталогов, поэтому установить их невозможно. Обратите внимание, что Ldp.exe показывает значения в шестнадцатеричном формате. Adsiedit.msc показывает значения в десятичном формате. Флаги кумулятивны. Для отключения учетной записи пользователя установите значение атрибута Контроль учетных записей 0x0202 (0x002 + 0x0200). В десятичном формате 514 (2 + 512).
Примечание Возможно прямое изменение Active Directory в Ldp.exe или Adsiedit.msc. Изменение Active Directory с использованием этих программ рекомендуется только опытным администраторам. Обе программы доступны после установки программ поддержки с исходного установочного носителя Windows.
Свернуть эту таблицу
| Флаг свойства | Шестнадцатеричное значение | Десятичное значение |
|---|---|---|
| SCRIPT | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| LOCKOUT | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE Примечание Данное разрешение невозможно назначить при помощи прямой правки атрибута UserAccountControl. Для получения сведений о назначении разрешения программным путем см. раздел «Описание флагов свойств». | 0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
Примечание В домене под управлением Windows Server 2003 флаги LOCK_OUT и PASSWORD_EXPIRED заменены новым атрибутом ms-DS-User-Account-Control-Computed. Для получения дополнительных сведений о данном атрибуте посетите веб-узел:
http://msdn.microsoft.com/library/en-us/adschema/adschema/a_msds_user_account_control_computed.asp
(http://msdn.microsoft.com/library/en-us/adschema/adschema/a_msds_user_account_control_computed.asp)
Описание флагов свойств
- SCRIPT - Запуск сценария входа.
- ACCOUNTDISABLE - Отключение учетной записи пользователя.
- HOMEDIR_REQUIRED - Требуется домашняя папка.
- PASSWD_NOTREQD - Пароль не требуется.
- PASSWD_CANT_CHANGE - Пользователь не может изменить пароль. Это разрешение на объекте пользователя. Для получения сведений о назначении данного разрешения программным путем посетите веб-узел: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adsi/adsi/modifying_user_cannot_change_password_ldap_provider.asp
(http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adsi/adsi/modifying_user_cannot_change_password_ldap_provider.asp) - ENCRYPTED_TEXT_PASSWORD_ALLOWED - Пользователь может отправить зашифрованный пароль.
- TEMP_DUPLICATE_ACCOUNT - Учетная запись для пользователей, чьи основные учетные записи хранятся в другом домене. Данная учетная запись обеспечивает доступ пользователя к данному домену, но не к доменам, которые доверяют ему. Данную учетную запись иногда называют локальной учетной записью пользователя.
- NORMAL_ACCOUNT - Тип учетной записи, используемой по умолчанию и представляющей обычного пользователя.
- INTERDOMAIN_TRUST_ACCOUNT - Разрешение доверять учетную запись домену системы, доверяющему другим доменам.
- WORKSTATION_TRUST_ACCOUNT - Учетная запись для компьютера, использующего Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional или Windows 2000 Server и являющегося членом данного домена.
- SERVER_TRUST_ACCOUNT - Учетная запись для контроллера домена, являющегося членом данного домена.
- DONT_EXPIRE_PASSWD - Представляется пароль, срок действия которого не истекает для данной учетной записи.
- MNS_LOGON_ACCOUNT - Учетная запись входа MNS.
- SMARTCARD_REQUIRED - Пользователь может осуществить вход только с использованием смарт-карты.
- TRUSTED_FOR_DELEGATION - Учетной записи службы (пользователя или компьютера), под которой выполняется служба, доверяется делегирование Kerberos. Любая подобная служба может олицетворять клиента, запрашивающего службу. Для разрешения делегирования Kerberos необходимо установить данный флаг для свойства Контроль учетных записей учетной записи службы.
- NOT_DELEGATED - Контекст безопасности пользователя не делегируется службе, даже если учетной записи службы доверено делегирование Kerberos.
- USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) Участник может использовать только тип шифрования DES для ключей.
- DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) Данная учетная запись не требует предварительной проверки Kerberos для входа.
- PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) Срок действия пароля пользователя истек.
- TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) Данной учетной записи разрешено делегирование. Данный параметр влияет на безопасность. Учетные записи с разрешенным делегированием должны использоваться крайне осмотрительно. Этот параметр разрешает службе, выполняющейся под данной учетной записью, использовать учетные данные и проходить проверку подлинности от имени этого пользователя для других удаленных серверов в сети.
Значения UserAccountControl
Здесь приводятся значения UserAccountControl по умолчанию для некоторых объектов:
Обычный пользователь : 0x200 (512)
Контроллер домена : 0x82000 (532480)
Рабочая станция/сервер: 0x1000 (4096)
Контроллер домена : 0x82000 (532480)
Рабочая станция/сервер: 0x1000 (4096)
Комментариев нет:
Отправить комментарий