Wie Sie die UserAccountControl-Flags zum Benutzerkontoeigenschaften bearbeiten

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 305144 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Wenn Sie die Eigenschaften für ein Benutzerkonto zu öffnen, klicken Sie auf die Registerkarte Konto und klicken Sie dann entweder aktivieren oder deaktivieren die Kontrollkästchen in der Kontooptionen Klicken Sie im Dialogfeld werden numerische Werte zugewiesen Das Attribut "UserAccountControl" . Weist der Wert, der dem Attribut zugewiesen ist Windows, welche Optionen aktiviert wurden.

Um Benutzerkonten anzuzeigen, klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltungund klicken Sie dann auf Active Directory-Benutzer und Computer.

Weitere Informationen

Sie können anzeigen und bearbeiten Sie diese Attribute entweder mit der Tool Ldp.exe oder Adsiedit.msc-Snap-in.

Die folgende Tabelle enthält möglichen Flags, die Sie zuweisen können. Sie können nicht einige der Werte für einen Benutzer festgelegt. oder Computer-Objekt verwendet, da diese Werte festgelegt oder nur durch Zurücksetzen der Verzeichnisdienst. Beachten Sie, dass Ldp.exe die Werte im Hexadezimalformat angezeigt. Adsiedit.msc zeigt die Werte im Dezimalformat. Die Flags sind kumulativ. An Deaktivieren Sie ein Benutzerkonto, das UserAccountControl -Attribut auf 0 x 0202 (0 x 002 + 0 x 0200) festgelegt. Dezimal ist das 514 (2 + 512).

Hinweis Sie können Active Directory in beiden Ldp.exe direkt bearbeiten und Adsiedit.msc. nur erfahrene Administratoren sollten diese Tools verwenden, um bearbeiten Active Directory. Beide Tools sind verfügbar, nachdem Sie die Supporttools installieren aus dem ursprünglichen Windows-Installationsmedium.
Tabelle minimierenTabelle vergrößern
Flag-EigenschaftWert hexadezimalWert in Decimal
SKRIPT0 x 00011
ACCOUNTDISABLE0 x 00022
HOMEDIR_REQUIRED0 x 00088
KONTOSPERRUNG0 x 001016
PASSWD_NOTREQD0 x 002032
PASSWD_CANT_CHANGE
Hinweis Sie können nicht diese Berechtigung zuweisen, durch direktes Ändern des UserAccountControl -Attributs. Informationen dazu, wie Sie die Berechtigung programmgesteuert festlegen finden Sie im Abschnitt "Von Eigenschaftsflags".
0 x 004064
ENCRYPTED_TEXT_PWD_ALLOWED0 x 0080128
TEMP_DUPLICATE_ACCOUNT0 x 0100256
NORMAL_ACCOUNT0 x 0200512
INTERDOMAIN_TRUST_ACCOUNT0x08002048
WORKSTATION_TRUST_ACCOUNT0 x 10004096
SERVER_TRUST_ACCOUNT0 x 20008192
DONT_EXPIRE_PASSWORD0 x 1000065536
MNS_LOGON_ACCOUNT0 x 20000131072
SMARTCARD_REQUIRED0 x 40000262144
TRUSTED_FOR_DELEGATION0 x 80000524288
NOT_DELEGATED0 x 1000001048576
USE_DES_KEY_ONLY0 x 2000002097152
DONT_REQ_PREAUTH0 x 4000004194304
PASSWORD_EXPIRED0 x 8000008388608
TRUSTED_TO_AUTH_FOR_DELEGATION0x100000016777216
PARTIAL_SECRETS_ACCOUNT0x04000000 67108864

Hinweis In einer Domäne Windows Server 2003-basierten haben LOCK_OUT und PASSWORD_EXPIRED durch ein neues Attribut namens ms-DS-User-Account-Control-Computed ersetzt wurde. Weitere Informationen zu diesem neuen Attribut finden Sie auf den folgenden Website:
http://msdn2.Microsoft.com/en-us/library/ms677840.aspx

Von Eigenschaftsflags

  • Skript - wird das Anmeldeskript ausgeführt werden.
  • ACCOUNTDISABLE - Das Benutzerkonto ist deaktiviert.
  • HOMEDIR_REQUIRED - Ordners "private" ist erforderlich.
  • PASSWD_NOTREQD - es ist kein Kennwort erforderlich.
  • PASSWD_CANT_CHANGE - der Benutzer kann nicht das Kennwort nicht ändern. Dies ist eine Berechtigung für das Benutzerobjekt. Informationen dazu, wie Sie dies programmgesteuert festlegen Berechtigung, besuchen Sie den folgende Website:
    http://msdn2.Microsoft.com/en-us/library/aa746398.aspx
  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - der Benutzer kann senden ein verschlüsseltes Kennwort.
  • TEMP_DUPLICATE_ACCOUNT - Dies ist ein Konto für Benutzer, deren Primäres Konto ist in einer anderen Domäne. Dieses Konto gewährt den Zugriff auf das Domäne, aber nicht auf Domänen, die diese Domäne vertraut. Dies ist manchmal als ein lokales Benutzerkonto bezeichnet.
  • NORMAL_ACCOUNT - Dies ist ein Standard Konto eingeben, Stellt einen typischen Benutzer dar.
  • INTERDOMAIN_TRUST_ACCOUNT - Dies ist eine Genehmigung als vertrauenswürdig ein Konto für eine Systemdomäne, die anderen Domänen vertraut.
  • WORKSTATION_TRUST_ACCOUNT - ist dies ein Computerkonto für ein Computer mit Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional oder Windows 2000 Server und ist ein Mitglied dieser Domäne.
  • SERVER_TRUST_ACCOUNT - Dies ist ein Computerkonto für einen Domänencontroller, der ein Mitglied dieser Domäne ist.
  • DONT_EXPIRE_PASSWD - darstellt, das Kennwort sollte auf das Konto nie abläuft.
  • MNS_LOGON_ACCOUNT - ist dies ein MNS-Anmeldekonto.
  • SMARTCARD_REQUIRED - Wenn dieses Flag festgelegt ist, zwingt die Benutzer mit eine Smartcard anmelden.
  • TRUSTED_FOR_DELEGATION - Wenn dieses Flag festgelegt ist, wird den Dienst Konto (das Benutzer- oder Computerkonto) unter dem ein Dienst ausführt wird für die Kerberos-Delegierung. Jeder derartige Dienst kann einen Client anfordert, imitieren. der Dienst. Um einen Dienst für Kerberos-Delegierung zu aktivieren, müssen Sie dies festlegen Kennzeichnen Sie auf die UserAccountControl -Eigenschaft des Dienstkontos.
  • NOT_DELEGATED - Wenn dieses Flag festgelegt ist, wird den Sicherheitskontext des Benutzers wird nicht an einen Dienst delegiert, auch wenn das Dienstkonto als festgelegt ist für Kerberos-Delegierung als vertrauenswürdig.
  • USE_DES_KEY_ONLY-(Windows 2000/Windows Server 2003) Beschränken Sie diesen Prinzipal, um nur die Verschlüsselung (Data Encryption Standard) verwenden Typen für Schlüssel.
  • DONT_REQUIRE_PREAUTH-(Windows 2000/Windows Server 2003) Dieses Konto erfordert keine Kerberos-Vorauthentifizierung für die Protokollierung auf.
  • PASSWORD_EXPIRED-(Windows 2000/Windows Server 2003) die Kennwort des Benutzers ist abgelaufen.
  • TRUSTED_TO_AUTH_FOR_DELEGATION-(Windows 2000/Windows Server 2003) das Konto ist für Delegierungszwecke aktiviert. Dies ist eine sicherheitskritische Einstellung. Konten, die diese Option aktiviert haben, sollten genau kontrolliert werden. Mit dieser Einstellung können einen Dienst, dass läuft unter dem Konto eine Client-Identität anzunehmen und als dieser Benutzer auf anderen Remoteservern im Netzwerk zu authentifizieren.
  • PARTIAL_SECRETS_ACCOUNT-(Windows Server 2008/Windows Server 2008 R2) das Konto ist ein Read-only-Domänencontroller (RODC). Dies ist eine sicherheitskritische Einstellung. Diese Einstellung wird von der Sicherheit einer RODC gefährdet auf diesem Server entfernt.

UserAccountControl-Werte

Dies sind die UserAccountControl -Standardwerte für bestimmte Objekte:
Typischer Benutzer: 0 x 200 (512)
Domänencontroller: 0x82000 (532480)
Read-only-Domänencontroller (RODC): 0x5001000 (83890176)
Workstation/Server: 0 x 1000 (4096)

Eigenschaften

Artikel-ID: 305144 - Geändert am: Sonntag, 23. Dezember 2012 - Version: 7.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard
Keywords: 
kbenv kbinfo kbmt KB305144 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 305144
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com