总结
当您打开用户帐户的属性时,单击account选项卡,然后在帐户选项对话框中选择或清除复选框,数值将分配给UserAccountControl属性。赋给属性的值告诉Windows已经启用了哪些选项。
要查看用户帐户,单击“开始”,指向程序,指向管理工具,然后单击“活动目录用户和计算机”。
更多信息
可以使用ldap .exe工具或Adsiedit.msc查看和编辑这些属性。
下表列出了可以分配的可能标志。您不能在用户或计算机对象上设置某些值,因为这些值只能由目录服务设置或重置。注意,Ldap.exe以十六进制显示值。Adsiedit.msc以十进制显示值。这些标志是累积的。要禁用用户的帐户,请将UserAccountControl属性设置为0x0202 (0x002 + 0x0200)。小数点后是514 (2 + 512)
注意,您可以在ldap .exe和Adsiedit.msc中直接编辑Active Directory。只有有经验的管理员才应该使用这些工具来编辑活动目录。这两个工具都可以在您从原来的Windows安装媒体安装支持工具后使用。
| 属性标志 | 十六进制值 | 十进制值 |
|---|---|---|
| SCRIPT | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| LOCKOUT | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE(注意,您不能通过直接修改UserAccountControl属性来分配此权限。有关如何以编程方式设置权限的信息,请参阅“属性标记说明”一节。) | 0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 |
注意,在一个基于Windows Server 2003的域中,LOCK_OUT和PASSWORD_EXPIRED已经被一个名为ms- ds user - account - control - computed的新属性替换。有关此新属性的更多信息,请访问以下网站:
ms-DS-User-Account-Control-Computed attribute
Property flag descriptions
●SCRIPT—将运行登录脚本。
●ACCOUNTDISABLE—用户帐户被禁用。
●HOMEDIR_REQUIRED -主文件夹是必需的。
●PASSWD_NOTREQD—不需要密码。
●PASSWD_CANT_CHANGE—用户不能更改密码。这是用户对象的权限。有关如何以编程方式设置此权限的信息,请访问以下网站:
●ENCRYPTED_TEXT_PASSWORD_ALLOWED—用户可以发送加密的密码。
●TEMP_DUPLICATE_ACCOUNT—这是主帐户位于另一个域中的用户的帐户。此帐户提供对此域的用户访问权,但不提供对信任此域的任何域的访问权。这有时被称为本地用户帐户。
●NORMAL_ACCOUNT—这是代表典型用户的默认帐户类型。
●INTERDOMAIN_TRUST_ACCOUNT -这是一个允许信任一个系统域的帐户,该系统域信任其他域。
●WORKSTATION_TRUST_ACCOUNT -这是一个计算机帐户,适用于运行microsoftwindowsnt4.0工作站、microsoftwindowsnt4.0伺服器、microsoftwindows2000专业版或windows2000伺服器的电脑,并且是此域的成员。
●SERVER_TRUST_ACCOUNT——这是一个域控制器的计算机帐户,它是这个域的成员。
●DONT_EXPIRE_PASSWD—表示密码,它不应该在帐户上过期。
●MNS_LOGON_ACCOUNT—这是一个MNS登录帐户。
●SMARTCARD_REQUIRED—设置此标志时,它强制用户使用智能卡登录。
●TRUSTED_FOR_DELEGATION—设置此标志时,Kerberos委托信任服务运行的服务帐户(用户或计算机帐户)。任何此类服务都可以模拟请求服务的客户端。要为Kerberos委托启用服务,必须在服务帐户的userAccountControl属性上设置此标志。
●NOT_DELEGATED 设置此标志时,即使将服务帐户设置为Kerberos委托的可信服务帐户,也不会将用户的安全上下文委托给服务。
●USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003)将此主体限制为仅对密钥使用数据加密标准(DES)加密类型。
●DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003)这个帐户不需要Kerberos预认证来登录。
●PASSWORD_EXPIRED (Windows 2000/Windows Server 2003)用户的密码已经过期。
●TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003)帐户启用了委托。这是一个安全敏感的设置。应该严格控制启用此选项的帐户。此设置允许在帐户下运行的服务假定客户端身份,并作为该用户向网络上的其他远程服务器进行身份验证。
●PARTIAL_SECRETS_ACCOUNT - 该帐户是一个只读域控制器(RODC)。这是一个安全敏感的设置。从RODC中删除此设置会损害该服务器的安全性。
7948
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
