UserAccountControl 플래그를 사용하여 사용자 계정 속성 조작

이 문서에서는 UserAccountControl 특성을 사용하여 사용자 계정 속성을 조작하는 방법에 대한 정보를 설명합니다.

적용 대상: Windows Server 2012 R2 , Windows Server 2016, Windows Server 2019, Windows Server 2022
원본 KB 번호: 305144

요약

사용자 계정의 속성을 열 때 계정 탭을 클릭한 다음 계정 옵션 대화 상자에서 확인란을 선택하거나 선택 취소하면 숫자 값이 UserAccountControl 특성에 할당됩니다. 특성에 할당된 값은 Windows에 사용하도록 설정된 옵션을 알려줍니다.

사용자 계정을 보려면 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 Active Directory 사용자 및 컴퓨터를 클릭합니다.

속성 플래그 목록

Ldp.exe 도구 또는 Adsiedit.msc 스냅인을 사용하여 이러한 특성을 보고 편집할 수 있습니다.

다음 표에서는 할당할 수 있는 가능한 플래그를 나열합니다. 이러한 값은 디렉터리 서비스에서만 설정하거나 다시 설정할 수 있으므로 사용자 또는 컴퓨터 개체에서 일부 값을 설정할 수 없습니다. Ldp.exe 값을 16진수로 표시합니다. Adsiedit.msc는 값을 10진수로 표시합니다. 플래그는 누적됩니다. 사용자 계정을 사용하지 않도록 설정하려면 UserAccountControl 특성을 0x0202(0x002 + 0x0200)로 설정합니다. 10진수로는 514(2 + 512)입니다.

참고

Ldp.exe 및 Adsiedit.msc 모두에서 Active Directory를 직접 편집할 수 있습니다. 숙련된 관리자만 이러한 도구를 사용하여 Active Directory를 편집해야 합니다. 두 도구는 원래 Windows 설치 미디어에서 지원 도구를 설치한 후에 사용할 수 있습니다.

속성 플래그 16진수 값 10진수 값
SCRIPT 0x0001 1
ACCOUNTDISABLE 0x0002 2
HOMEDIR_REQUIRED 0x0008 8
LOCKOUT 0x0010 16
PASSWD_NOTREQD 0x0020 32
PASSWD_CANT_CHANGE

UserAccountControl 특성을 직접 수정하여 이 권한을 할당할 수는 없습니다. 프로그래밍 방식으로 사용 권한을 설정하는 방법에 대한 자세한 내용은 속성 플래그 설명 섹션을 참조하세요.
0x0040 64
ENCRYPTED_TEXT_PWD_ALLOWED 0x0080 128
TEMP_DUPLICATE_ACCOUNT 0x0100 256
NORMAL_ACCOUNT 0x0200 512
INTERDOMAIN_TRUST_ACCOUNT 0x0800 2048
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
SERVER_TRUST_ACCOUNT 0x2000 8192
DONT_EXPIRE_PASSWORD 0x10000 65536
MNS_LOGON_ACCOUNT 0x20000 131072
SMARTCARD_REQUIRED 0x40000 262144
TRUSTED_FOR_DELEGATION 0x80000 524288
NOT_DELEGATED 0x100000 1048576
USE_DES_KEY_ONLY 0x200000 2097152
DONT_REQ_PREAUTH 0x400000 4194304
PASSWORD_EXPIRED 0x800000 8388608
TRUSTED_TO_AUTH_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0x04000000 67108864

참고

Windows Server 2003 기반 도메인에서 LOCK_OUT 및 PASSWORD_EXPIRED ms-DS-User-Account-Control-Computed라는 새 특성으로 대체되었습니다. 이 새 특성에 대한 자세한 내용은 ms-DS-User-Account-Control-Computed 특성을 참조하세요.

속성 플래그 설명

  • SCRIPT - 로그온 스크립트가 실행됩니다.

  • ACCOUNTDISABLE - 사용자 계정을 사용할 수 없습니다.

  • HOMEDIR_REQUIRED - 홈 폴더가 필요합니다.

  • PASSWD_NOTREQD - 암호가 필요하지 않습니다.

  • PASSWD_CANT_CHANGE - 사용자가 암호를 변경할 수 없습니다. 사용자의 개체에 대한 권한입니다. 이 권한을 프로그래밍 방식으로 설정하는 방법에 대한 자세한 내용은 LDAP 공급자(사용자 암호 변경할 수 없음 수정)를 참조하세요.

  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - 사용자가 암호화된 암호를 보낼 수 있습니다.

  • TEMP_DUPLICATE_ACCOUNT - 기본 계정이 다른 도메인에 있는 사용자를 위한 계정입니다. 이 계정은 이 도메인에 대한 사용자 액세스를 제공하지만 이 도메인을 신뢰하는 도메인에는 액세스할 수 없습니다. 로컬 사용자 계정이라고도 합니다.

  • NORMAL_ACCOUNT - 일반적인 사용자를 나타내는 기본 계정 유형입니다.

  • INTERDOMAIN_TRUST_ACCOUNT - 다른 도메인을 신뢰하는 시스템 도메인에 대한 계정을 신뢰할 수 있는 권한입니다.

  • WORKSTATION_TRUST_ACCOUNT - Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional 또는 Windows 2000 Server를 실행하는 컴퓨터의 컴퓨터 계정이며 이 도메인의 구성원입니다.

  • SERVER_TRUST_ACCOUNT - 이 도메인의 구성원인 도메인 컨트롤러의 컴퓨터 계정입니다.

  • DONT_EXPIRE_PASSWD - 계정에서 만료되지 않아야 하는 암호를 나타냅니다.

  • MNS_LOGON_ACCOUNT - MNS 로그온 계정입니다.

  • SMARTCARD_REQUIRED - 이 플래그가 설정되면 사용자가 스마트 카드를 사용하여 로그온하도록 강제합니다.

  • TRUSTED_FOR_DELEGATION - 이 플래그가 설정되면 서비스가 실행되는 서비스 계정(사용자 또는 컴퓨터 계정)을 Kerberos 위임에 대해 신뢰할 수 있습니다. 이러한 서비스는 서비스를 요청하는 클라이언트를 가장할 수 있습니다. Kerberos 위임에 서비스를 사용하도록 설정하려면 서비스 계정의 userAccountControl 속성에서 이 플래그를 설정해야 합니다.

  • NOT_DELEGATED - 이 플래그를 설정하면 서비스 계정이 Kerberos 위임에 대해 신뢰할 수 있는 것으로 설정된 경우에도 사용자의 보안 컨텍스트가 서비스에 위임되지 않습니다.

  • USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) 키에 DES(데이터 암호화 표준) 암호화 유형만 사용하도록 이 보안 주체를 제한합니다.

  • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 이 계정에는 로그온을 위한 Kerberos 사전 인증이 필요하지 않습니다.

  • PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) 사용자의 암호가 만료되었습니다.

  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 위임에 사용할 수 있는 계정입니다. 보안에 민감한 설정입니다. 이 옵션을 사용하도록 설정된 계정은 엄격하게 제어해야 합니다. 이 설정을 통해 계정에서 실행되는 서비스는 클라이언트의 ID를 가정하고 네트워크의 다른 원격 서버에 해당 사용자로 인증할 수 있습니다.

  • PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008/Windows Server 2008 R2) 계정은 RODC(읽기 전용 도메인 컨트롤러)입니다. 보안에 민감한 설정입니다. RODC에서 이 설정을 제거하면 해당 서버의 보안이 손상됩니다.

UserAccountControl 값

다음은 특정 개체에 대한 기본 UserAccountControl 값입니다.

  • 일반 사용자: 0x200 (512)
  • 도메인 컨트롤러: 0x82000(532480)
  • 워크스테이션/서버: 0x1000(4096)
  • 신뢰: 0x820 (2080)

참고

트러스트 개체는 사용자 및 컴퓨터 개체와 동일한 방식으로 기존 암호 정책 및 암호 특성을 사용하지 않으므로 Windows 트러스트 계정은 PASSWD_NOTREQD UserAccountControl 특성 값을 통해 암호를 사용할 수 없습니다.

트러스트 비밀은 트러스트의 방향을 나타내는 도메인 간 트러스트 계정의 특수 특성으로 표시됩니다. 인바운드 트러스트 비밀은 트러스트의 "신뢰할 수 있는" 쪽에 있는 trustAuthIncoming 특성에 저장됩니다. 아웃바운드 트러스트 비밀은 트러스트의 "신뢰" 끝에 있는 trustAuthOutgoing 특성에 저장됩니다.

  • 양방향 트러스트의 경우 트러스트의 각 측면에 있는 INTERDOMAIN_TRUST_ACCOUNT 개체가 둘 다 설정됩니다.
  • 신뢰 비밀은 신뢰 도메인에서 PDC(기본 도메인 컨트롤러) 에뮬레이터 FSMO(유연한 단일 마스터 작업) 역할인 도메인 컨트롤러에 의해 유지 관리됩니다.
  • 이러한 이유로 PASSWD_NOTREQD UserAccountControl 특성은 기본적으로 INTERDOMAIN_TRUST_ACCOUNT 계정에 설정됩니다.