Cómo utilizar los indicadores UserAccountControl para manipular las propiedades de la cuenta de usuario

Seleccione idioma Seleccione idioma
Id. de artículo: 305144 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Al abrir las propiedades de una cuenta de usuario, haga clic en la ficha cuenta y, a continuación, active o desactive las casillas de verificación en el Opciones de cuenta cuadro de diálogo, a los que se asignan valores numéricos el atributo UserAccountControl . El valor que se asigna al atributo indica a Se han habilitado las opciones de Windows.

Para ver las cuentas de usuario, haga clic en Inicio, seleccione programas, Herramientas administrativasy, a continuación, haga clic en Los usuarios de Active Directory y Equipos.

Más información

Se puede ver y modificar estos atributos, mediante la Herramienta Ldp.exe o el complemento de Adsiedit.msc.

La siguiente tabla enumera los indicadores que se pueden asignar. No se puede establecer algunos de los valores en un usuario o un objeto de equipo ya que estos valores se pueden establecer o restablecer solamente por el servicio de directorio. Tenga en cuenta que Ldp.exe muestra los valores en formato hexadecimal. Adsiedit.msc muestra los valores en formato decimal. Los indicadores son acumulativos. A deshabilitar una cuenta de usuario, establezca el atributo UserAccountControl en valor 0 x 0202 (0 x 002 + 0 x 0200). En formato decimal, corresponde a 514 (2 + 512).

Nota Puede editar directamente Active Directory en ambos Ldp.exe y Adsiedit.msc. experimentado sólo los administradores deben utilizar estas herramientas para modificar Active Directory. Ambas herramientas están disponibles después de instalar las herramientas de soporte desde el medio de instalación de Windows original.
Contraer esta tablaAmpliar esta tabla
Indicador de la propiedadValor en formato hexadecimalValor en decimal
SECUENCIA DE COMANDOS0 x 00011
ACCOUNTDISABLE0 x 00022
HOMEDIR_REQUIRED0 x 00088
BLOQUEO0 x 001016
PASSWD_NOTREQD0 x 002032
PASSWD_CANT_CHANGE
Nota No se puede asignar este permiso modificando directamente el atributo UserAccountControl . Para obtener información acerca de cómo establecer el permiso mediante programación, vea la sección "Descripciones de las propiedades de marcador".
ó64
ENCRYPTED_TEXT_PWD_ALLOWED0 x 0080128
TEMP_DUPLICATE_ACCOUNT0 x 0100256
NORMAL_ACCOUNT0 x 0200512
INTERDOMAIN_TRUST_ACCOUNT0 x 08002048
WORKSTATION_TRUST_ACCOUNT0 x 10004096
SERVER_TRUST_ACCOUNT0 x 20008192
DONT_EXPIRE_PASSWORD0 x 10000.65536
MNS_LOGON_ACCOUNT0 x 20000131072
SMARTCARD_REQUIRED0 x 40000262144
TRUSTED_FOR_DELEGATION0 x 80000524288
NOT_DELEGATED0 x 1000001048576
USE_DES_KEY_ONLY0x2000002097152
DONT_REQ_PREAUTH0 x 4000004194304
PASSWORD_EXPIRED0 x 8000008388608
TRUSTED_TO_AUTH_FOR_DELEGATIONx16777216
PARTIAL_SECRETS_ACCOUNT0x04000000 67108864

Nota En un dominio basado en Windows Server 2003, LOCK_OUT y PASSWORD_EXPIRED se sustituyó por un nuevo atributo denominado ms-DS-User-Account-Control-Computed. Para obtener más información acerca de este nuevo atributo, visite el siguiente sitio Web:
http://msdn2.Microsoft.com/en-us/library/ms677840.aspx

Descripción de cada indicador de propiedad

  • Secuencia de comandos: se ejecutará la secuencia de comandos de inicio de sesión.
  • ACCOUNTDISABLE: la cuenta de usuario está deshabilitado.
  • HOMEDIR_REQUIRED: la carpeta de inicio se requiere.
  • PASSWD_NOTREQD: No se requiere contraseña.
  • PASSWD_CANT_CHANGE: el usuario no puede cambiar la contraseña. Esto es un permiso en el objeto de usuario. Para obtener información acerca de cómo activar esta función mediante programación permiso, visite el siguiente sitio Web:
    http://msdn2.Microsoft.com/en-us/library/aa746398.aspx
  • ENCRYPTED_TEXT_PASSWORD_ALLOWED: el usuario puede enviar un contraseña cifrada.
  • TEMP_DUPLICATE_ACCOUNT: ésta es una cuenta para usuarios cuya cuenta principal se encuentra en otro dominio. Esta cuenta proporciona acceso de usuario a esta dominio, pero no a cualquier dominio que confía en este dominio. A veces conoce como una cuenta de usuario local.
  • NORMAL_ACCOUNT: éste es el valor predeterminado es el tipo de cuenta que representa un usuario típico.
  • INTERDOMAIN_TRUST_ACCOUNT: éste es un permiso para confiar en un cuenta para un dominio del sistema que confía en otros dominios.
  • WORKSTATION_TRUST_ACCOUNT: ésta es una cuenta de equipo para un equipo que ejecuta Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional o Windows 2000 Servidor y es un miembro de este dominio.
  • SERVER_TRUST_ACCOUNT: ésta es una cuenta de equipo para un controlador de dominio que es un miembro de este dominio.
  • DONT_EXPIRE_PASSWD: representa la contraseña, que debe no caducan nunca en la cuenta.
  • MNS_LOGON_ACCOUNT: ésta es una cuenta de inicio de sesión MNS.
  • SMARTCARD_REQUIRED: cuando se establece este indicador, obliga a la usuario para iniciar sesión utilizando una tarjeta inteligente.
  • TRUSTED_FOR_DELEGATION - cuando se establece este indicador, el servicio cuenta (la cuenta de usuario o equipo) en la que se ejecuta un servicio es de confianza para la delegación de Kerberos. Cualquier servicio puede suplantar a un cliente que solicite el servicio. Para habilitar un servicio para la delegación Kerberos, debe configurar esto indicador en la propiedad userAccountControl de la cuenta de servicio.
  • NOT_DELEGATED - cuando se establece este indicador, el contexto de seguridad del usuario no se delega a un servicio incluso si la cuenta de servicio se establece como se confía para delegación de Kerberos.
  • USE_DES_KEY_ONLY: (Windows 2000 y Windows Server 2003) Restringir esta entidad de seguridad para utilizar el cifrado de estándar de cifrado de datos (DES) sólo tipos de claves.
  • DONT_REQUIRE_PREAUTH: (Windows 2000 y Windows Server 2003) Esta cuenta no requiere autenticación previa Kerberos para el registro en.
  • PASSWORD_EXPIRED: (Windows 2000 y Windows Server 2003) el ha caducado la contraseña del usuario.
  • TRUSTED_TO_AUTH_FOR_DELEGATION: (Windows 2000 y Windows Server 2003) la cuenta está habilitada para la delegación. Ésta es una configuración de seguridad. Las cuentas que tienen habilitada esta opción deben estar estrictamente controladas. Esta opción permite a un servicio que se ejecuta bajo la cuenta de asume la identidad de un cliente y se autentique como ese usuario a otros servidores remotos en la red.
  • PARTIAL_SECRETS_ACCOUNT-(Windows Server 2008 y Windows Server 2008 R2), la cuenta es un controlador de dominio de sólo lectura (RODC). Ésta es una configuración de seguridad. Quitar esta configuración de una seguridad de compromisos RODC en ese servidor.

Valores de UserAccountControl

Éstos son los valores de UserAccountControl de forma predeterminada para ciertos objetos:
Usuario típico: 0 x 200 (512)
Controlador de dominio: 0x82000 (532480)
Controlador de dominio de sólo lectura (RODC): 0x5001000 (83890176)
Estación de trabajo o servidor: 0 x 1000 (4096)

Propiedades

Id. de artículo: 305144 - Última revisión: jueves, 21 de marzo de 2013 - Versión: 3.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard
Palabras clave: 
kbenv kbinfo kbmt KB305144 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 305144

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com