AD 用户属性userAccountControl的详细解释

最新推荐文章于 2023-03-29 17:12:35 发布
最新推荐文章于 2023-03-29 17:12:35 发布
阅读量1.4w 收藏 4
点赞数 1
分类专栏: ldap 文章标签: ldap 域名 ad域

经常使用CSVDE DSADD工具批量修改导入汇出AD账号,一直对userAccountControl的详细含义不是很清楚,

userAccountControl记录了用户的AD账号的很多属性信息,是一组16进制数?

该属性标志是累积性的。若要禁用用户的帐户,请将 UserAccountControl 属性设置为 0x0202 (0x002 + 0x0200)。在十进制中,它是 514 (2 + 512)。

Microsoft官方网站有详尽的解释。

但有时汇出的资料并不完全都是下面的数值,经常会出现514、66048等不在下列列表中的数值。

哈哈。。。看到“该属性标志是累积性的”的意思大家应该明白了。514可以看成是512+2 ,66048可以看成是65536+512

对应最后的解释,所以:

514=512+2=账号存在且关闭

66045=65536+512=密码永不过期+账号正常

http://support.microsoft.com/?id=305144

 

属性标志

十六进制值

十进制值

SCRIPT

0x0001

1

ACCOUNTDISABLE

0x0002

2

HOMEDIR_REQUIRED

0x0008

8

LOCKOUT

0x0010

16

PASSWD_NOTREQD

0x0020

32

PASSWD_CANT_CHANGE

0x0040

64

ENCRYPTED_TEXT_PWD_ALLOWED

0x0080

128

TEMP_DUPLICATE_ACCOUNT

0x0100

256

NORMAL_ACCOUNT

0x0200

512

INTERDOMAIN_TRUST_ACCOUNT

0x0800

2048

WORKSTATION_TRUST_ACCOUNT

0x1000

4096

SERVER_TRUST_ACCOUNT

0x2000

8192

DONT_EXPIRE_PASSWORD

0x10000

65536

MNS_LOGON_ACCOUNT

0x20000

131072

SMARTCARD_REQUIRED

0x40000

262144

TRUSTED_FOR_DELEGATION

0x80000

524288

NOT_DELEGATED

0x100000

1048576

USE_DES_KEY_ONLY

0x200000

2097152

DONT_REQ_PREAUTH

0x400000

4194304

PASSWORD_EXPIRED

0x800000

8388608

TRUSTED_TO_AUTH_FOR_DELEGATION

0x1000000

16777216

属性标志说明
  • SCRIPT - 将运行登录脚本。
  • ACCOUNTDISABLE - 禁用用户帐户。
  • HOMEDIR_REQUIRED - 需要主文件夹。
  • PASSWD_NOTREQD - 不需要密码。
  • PASSWD_CANT_CHANGE - 用户不能更改密码。可以读取此标志,但不能直接设置它。
  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - 用户可以发送加密的密码。
  • TEMP_DUPLICATE_ACCOUNT - 此帐户属于其主帐户位于另一个域中的用户。此帐户为用户提供访问该域的权限,但不提供访问信任该域的任何域的权限。有时将这种帐户称为“本地用户帐户”。
  • NORMAL_ACCOUNT - 这是表示典型用户的默认帐户类型。
  • INTERDOMAIN_TRUST_ACCOUNT - 对于信任其他域的系统域,此属性允许信任该系统域的帐户。
  • WORKSTATION_TRUST_ACCOUNT - 这是运行 Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional 或 Windows 2000 Server 并且属于该域的计算机的计算机帐户。
  • SERVER_TRUST_ACCOUNT - 这是属于该域的域控制器的计算机帐户。
  • DONT_EXPIRE_PASSWD - 表示在该帐户上永远不会过期的密码。
  • MNS_LOGON_ACCOUNT - 这是 MNS 登录帐户。
  • SMARTCARD_REQUIRED - 设置此标志后,将强制用户使用智能卡登录。
  • TRUSTED_FOR_DELEGATION - 设置此标志后,将信任运行服务的服务帐户(用户或计算机帐户)进行 Kerberos 委派。任何此类服务都可模拟请求该服务的客户端。若要允许服务进行 Kerberos 委派,必须在服务帐户的userAccountControl 属性上设置此标志。
  • NOT_DELEGATED - 设置此标志后,即使将服务帐户设置为信任其进行 Kerberos 委派,也不会将用户的安全上下文委派给该服务。
  • USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) 将此用户限制为仅使用数据加密标准 (DES) 加密类型的密钥。
  • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 此帐户在登录时不需要进行 Kerberos 预先验证。
  • PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) 用户的密码已过期。
  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 允许该帐户进行委派。这是一个与安全相关的设置。应严格控制启用此选项的帐户。此设置允许该帐户运行的服务冒充客户端的身份,并作为该用户接受网络上其他远程服务器的身份验证。
seanzed
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PowerShell批量修改AD用户密码属性的代码
09-21
主要介绍了PowerShell批量修改AD用户密码属性的代码,需要的朋友可以参考下
AD账户userAccountControl属性值为544
weixin_33696822的博客
11-21 1028
一般情况下544不代表没有设置密码,该用户可能已设置了密码,但可以设置密码为空。出现此种问题一般情况下是通过脚本批量创建的账户才出现的问题,VBS脚本创建用户时如未指定userAccountControl属性时就会是用544账户userAccountControl属性为544表示用户可以使用空密码,存在安全隐患解决此问题需要手动修改账户属性,但前提为修改的账户密码符合密码复杂...
AD用户属性说明文档
08-20
需要用到AD操作的同学们,你们有福了,AD属性的对照表,很全的,可以参考参考吧!!
AD用户属性说明
12-05
AD用户属性说明,对于AD初学者,导出AD信息后一定头大了,这乱麻麻的一片,不晓得是什么,这里我这里了几个文档,说明下一些常用的参数代表什么。
批量创建AD用户
02-25
是个windows下的脚步文件,可以从csv文件中读取用户的名称、密码等信息。用户批量的创建AD用户。工程文件
AD用户帐户属性userAccountControl
eNet
12-18 7809
AD用户帐户属性userAccountControl 在打开用户帐户的属性后,单击帐户选项卡,然后选中或清除“帐户选项”对话框中的复选框,则会将数值分配给 UserAccountControl 属性。分配给该属性的值通知 Windows 已启用了哪些选项。下表列出了可以分配的标志。不能针对用户或计算机对象设置某些值,原因是这些值只能由目录服务设置或重置。若要禁用用户的帐户,请将
ADUserAccountControl属性AD重要用户属性
热门推荐
本博客暂停使用
05-25 1万+
在修改AD用户状态的时候发现,UserAccountControl属性中启用和禁用账户的值会包含多个,需要整理全面一些,防止开发中写少了情况;整理重要用户属性是为了在开发中将HR系统用户有用信息存储到对应字段中,最终AD服务器可以用LDAP协议供其他平台作为账号验证中心!
如何使用UserAccountControl标志来操作用户帐户属性
coffee66666的博客
11-07 1016
总结 当您打开用户帐户的属性时,单击account选项卡,然后在帐户选项对话框中选择或清除复选框,数值将分配给UserAccountControl属性。赋给属性的值告诉Windows已经启用了哪些选项。 要查看用户帐户,单击“开始”,指向程序,指向管理工具,然后单击“活动目录用户和计算机”。 更多信息 可以使用ldap .exe工具或Adsiedit查看和编辑这些属性。msc咬合。 下表列出了可以...
User Account Control
weixin_30312557的博客
02-23 150
User Account Control 编辑 本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧! User Account Control (UAC :用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术,它要求所有用户在标准账号模式下运行程序和任务,阻止未认证的程序安装,并阻止标准用户进行不当的系统设置改变。 在最初的时候,这...
权限维持(UserAccountControl属性滥用)
qq_18811919的博客
03-29 254
User-Account-Control属性滥用可以将普通机器账户修改为称为控,并拥有Dcsync功能导出用户Hash,DCShadow是创建恶意控然后利用,控间正常同步数据的功能将恶意控上的恶意对象同步到正在运行的正常控上
UserAccountControlSettings.dll
09-09
UserAccountControlSettings.dll UAC全称“User Account Control ”翻译过来为:“用户帐户控制”,是微软为提高Win7系统安全而引入的新技术,UAC会要求所有用户在标准账号模式下运行程序和任务,阻止未认证的程序安装,并阻止或提示标准用户进行不当的系统设置改变。因此我们在安装一些小软件或者小插件时候,往往会被UAC阻止。不能安装,而这时候只要关掉UAC就能安装了。
UAC(User Account Contro —— 用户帐户控制)
墨鱼菜鸡
11-10 222
今天补一下基础知识。 简介: 用户帐户控制(User Account Control,简写作UA C)是微软公司在其Windows Vista及更高版本操作系统中采用的一种控制机制,保护系统进行不必要的更改,提升操作系...
怎么彻底关闭UAC(user account control)?
如沐清风的博客
05-24 7646
首先说一下UAC是什么? 说白了就是每次你对系统进行更改或者下载软件时,电脑总会问你,是否允许。。。?其实挺烦的,这就是UAC的作用。而且,有的软件要求你必须使用管理员权限,所以你每次允许此软件时都需要as adminstrator,实际上挺麻烦的,有的时候还会忘记。综上分析,我们可以知道UAC可以解决许多用户相关的问题。所以这里说一下怎么彻底的关闭UAC: 主要分为两步: 1.首先是 打开控制面板->用户账户->用户账户->更改用户账户控制设置 选择从不通知,点击确定 ..
十.获取AD用户属性
qq_38204532的博客
12-09 1530
查询Ad用户属性
LDAP管理用户数据,用户UserAccountControl属性详解
风逍遥-ygq
07-11 5078
最近用ldap协议读取其管理的ad数据,一直对userAccountControl详细含义不是很清楚,userAccountControl记录了用户AD账号的很多属性信息,该属性标志是累积性的。若要禁用用户的帐户,请将 UserAccountControl 属性设置为 0x0202 (0x002 + 0x0200)。在十进制中,它是 514 (2 + 512)。但有时汇出的资料并不完全都是下面...
OpenLDAP中如何禁用账户,启用账户
专注运维自动化
02-16 1950
OpenLDAP中如何禁用账户,启用账户
我的计算机用户账户logo,UserAccountControl
weixin_35697229的博客
06-28 156
SCRIPT - 将运行登录脚本。ACCOUNTDISABLE - 已禁用用户帐户。HOMEDIR_REQUIRED - 主页文件夹是必需的。PASSWD_NOTREQD - 无需密码。PASSWD_CANT_CHANGE - 用户不能更改密码。 它是用户对象的权限。 若要了解如何以编程方式设置此权限,请参阅 Modifying User Cannot Change Password (LDAP ...
AD账户UserAccountControl对应的值
weixin_33895657的博客
12-23 787
512 Enabled Account 514 Disabled Account 544 Enabled, Password Not Required 546 Disabled, Password Not Required 66048 Enabled, Password Doesn't Expire 66050 Disabled, Password Doesn't ...
zabbix监控AD被锁定的用户详细配置文档
最新发布
06-03
以下是详细的配置步骤,用于在Zabbix中监控AD被锁定的用户: 1. 安装Zabbix Agent客户端程序到AD控制器上,以便获取AD用户信息。可以从Zabbix官网下载适合您操作系统的Agent程序,安装完成后,确保Agent服务已经启动。 2. 在Zabbix Server端,创建一个“外部检查”类型的监控项。进入Zabbix Web界面,依次点击“配置”-“主机”,找到需要监控的AD控制器主机,点击“创建监控项”。在“监控项类型”中选择“Zabbix agent(主动模式)”,在“类型”中选择“外部检查”,在“键值”中输入: ``` system.run[powershell -File "C:\Zabbix\Scripts\check_ad_lockout.ps1"] ``` 其中,`C:\Zabbix\Scripts\check_ad_lockout.ps1`为PowerShell脚本文件的路径,后面会进行详细讲解。在“更新间隔”中填入需要监控的时间间隔,建议设置为5分钟。 3. 编写PowerShell脚本,使用AD PowerShell模块获取AD用户信息,并判断其锁定状态。在AD控制器上,打开PowerShell ISE编辑器,新建一个脚本文件,输入以下内容: ``` Import-Module ActiveDirectory $users = Get-ADUser -Filter * -Properties LockedOut $locked_users = $users | Where-Object { $_.LockedOut -eq $true } $locked_users_count = $locked_users.Length if ($locked_users_count -eq 0) { Write-Host "OK" } else { Write-Host "$locked_users_count AD user(s) locked out" } ``` 以上脚本会获取所有AD用户的信息,并判断其中被锁定的用户数量,如果没有被锁定的用户,则输出"OK"。否则,输出被锁定的用户数量。 注意,脚本中使用了ActiveDirectory模块,如果您的AD控制器没有安装该模块,需要通过Server Manager安装。 4. 将脚本保存到AD控制器上的某个目录下,例如C:\Zabbix\Scripts\。将上一步中编写的PowerShell脚本保存到指定目录下即可。 5. 在Zabbix Server端,创建一个触发器。在Zabbix Web界面中,依次点击“配置”-“主机”,找到需要监控的AD控制器主机,点击“创建触发器”。在“触发器表达式”中输入以下内容: ``` {<Host>:system.run[powershell -File "C:\Zabbix\Scripts\check_ad_lockout.ps1"].str("locked_users_count")}>0 ``` 其中,`<Host>`为需要监控的AD控制器主机名称。在“触发器名称”中输入一个有意义的名称,例如“AD被锁定用户数量超过阈值”。在“阈值”中填入需要触发报警的阈值,例如1。 6. 配置触发器的通知方式。在Zabbix Web界面中,依次点击“配置”-“动作”,点击“创建动作”。在“操作”选项卡中,配置报警操作,例如发送邮件或短信提醒管理员。 完成以上步骤后,Zabbix就可以监控AD被锁定的用户,并在用户数量超过阈值时发送报警信息给管理员。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值