Cara menggunakan bendera UserAccountControl untuk memanipulasi properti account pengguna

Ketika Anda membuka properti untuk account pengguna, klik Rekening tab, dan kemudian memilih atau menghapus kotak centang di Opsi akun kotak dialog, nilai-nilai numerik yang ditugaskan untuk The UserAccountControl atribut. Nilai yang ditetapkan untuk atribut memberitahu Windows pilihan yang telah diaktifkan.

Untuk melihat account pengguna, klik Mulai, arahkan ke Program, arahkan ke Alat administratif, lalu klik Pengguna direktori aktif dan Komputer.

Anda dapat melihat dan mengedit atribut ini menggunakan LDP.exe alat atau Adsiedit.msc snap-in.

Daftar tabel berikut mungkin bendera yang dapat Anda tetapkan. Anda tidak dapat menetapkan beberapa nilai-nilai pada pengguna atau komputer objek karena nilai-nilai ini dapat mengatur atau me-reset hanya oleh layanan direktori. Catatan bahwa Ldp.exe menunjukkan nilai-nilai heksadesimal. Adsiedit.MSC menampilkan nilai-nilai dalam desimal. Bendera kumulatif. Pada menonaktifkan account pengguna, mengatur UserAccountControl atribut 0x0202 (0x002 + 0x0200). Dalam desimal, ini adalah 514 (2 + 512).

Catatan Anda dapat secara langsung mengedit Active Directory di kedua Ldp.exe dan Adsiedit.MSC. hanya mengalami administrator harus menggunakan alat-alat ini untuk mengedit Active Directory. Kedua alat tersedia setelah Anda menginstal alat dukungan dari media instalasi Windows Anda asli.
Catatan Dalam domain berbasis Windows Server 2003, LOCK_OUT dan PASSWORD_EXPIRED telah diganti dengan atribut baru yang disebut ms-DS-User-Account-Control-Computed. Untuk informasi lebih lanjut mengenai atribut ini baru, kunjungi Website berikut ini:

Properti bendera deskripsi

• SKRIP - skrip logon akan berjalan.
• ACCOUNTDISABLE - user account dimatikan.
• HOMEDIR_REQUIRED - folder rumah diperlukan.
• PASSWD_NOTREQD - tidak ada kata sandi diperlukan.
• PASSWD_CANT_CHANGE - pengguna tidak mengubah sandi. Ini adalah izin pada objek pengguna. Untuk informasi tentang cara menetapkan pemrograman ini izin, kunjungi Website berikut:
  http://msdn2.Microsoft.com/en-us/library/aa746398.aspx (http://msdn2.microsoft.com/en-us/library/aa746398.aspx)
• ENCRYPTED_TEXT_PASSWORD_ALLOWED - pengguna dapat mengirim sandi yang dienkripsi.
• TEMP_DUPLICATE_ACCOUNT - ini adalah account untuk pengguna yang primer account berada dalam domain lain. Account ini menyediakan akses pengguna ini domain, tapi tidak untuk setiap domain yang percaya domain ini. Hal ini kadang-kadang disebut sebagai account pengguna lokal.
• NORMAL_ACCOUNT - ini adalah default account ketik yang mewakili pengguna biasa.
• INTERDOMAIN_TRUST_ACCOUNT - ini adalah izin untuk percaya account untuk domain sistem yang percaya domain lainnya.
• WORKSTATION_TRUST_ACCOUNT - ini adalah account komputer untuk komputer yang menjalankan Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional, atau Windows 2000 Server dan anggota domain ini.
• SERVER_TRUST_ACCOUNT - ini adalah account komputer untuk kontroler domain yang adalah anggota domain ini.
• DONT_EXPIRE_PASSWD - mewakili sandi yang harus tidak pernah berakhir pada account.
• MNS_LOGON_ACCOUNT - ini adalah account logon MNS.
• SMARTCARD_REQUIRED - ketika bendera ini diatur, memaksa pengguna logon dengan menggunakan kartu cerdas.
• TRUSTED_FOR_DELEGATION - ketika bendera ini diatur, layanan account (akun pengguna atau komputer) di mana layanan berjalan terpercaya untuk Kerberos delegasi. Layanan tersebut dapat meniru klien meminta layanan. Untuk mengaktifkan layanan untuk Kerberos delegasi, Anda harus mengatur ini Bendera di userAccountControl properti account layanan.
• NOT_DELEGATED - ketika bendera ini diatur, konteks keamanan pengguna yang tidak didelegasikan ke layanan bahkan jika account layanan diatur sebagai dipercaya untuk Kerberos delegasi.
• USE_DES_KEY_ONLY-(Windows 2000/Windows Server 2003) Membatasi ini kepala untuk mengunakan hanya Data Encryption Standard (DES) jenis untuk kunci.
• DONT_REQUIRE_PREAUTH-(Windows 2000/Windows Server 2003) Account ini tidak memerlukan otentikasi Kerberos awal untuk penebangan pada.
• PASSWORD_EXPIRED-(Windows 2000/Windows Server 2003) sandi pengguna telah kedaluwarsa.
• TRUSTED_TO_AUTH_FOR_DELEGATION-(Windows 2000/Windows Server 2003) account diaktifkan untuk delegasi. Ini adalah pengaturan keamanan-sensitif. Account yang memiliki opsi ini diaktifkan harus dikontrol. Pengaturan ini memungkinkan layanan berjalan di bawah account menganggap klien identitas dan mengotentikasi sebagai pengguna untuk server lain remote pada jaringan.
• PARTIAL_SECRETS_ACCOUNT-(Windows Server 2008/Windows Server 2008 R2) account merupakan sebuah kontroler domain read-only (RODC). Ini adalah pengaturan keamanan-sensitif. Menghapus pengaturan ini dari RODC kompromi keamanan pada server.

Nilai-nilai UserAccountControl

Ini adalah default UserAccountControl nilai-nilai untuk objek tertentu: