Como utilizar os sinalizadores UserAccountControl para manipular propriedades de contas de utilizador

Traduções de Artigos Traduções de Artigos
Artigo: 305144 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Quando abre as propriedades de uma conta de utilizador, clica no separador Conta (Account) e selecciona ou desmarca as caixas de verificação da caixa de diálogo Opções de conta (Account options), são atribuídos valores numéricos ao atributo UserAccountControl. O valor atribuído ao atributo indica ao Windows quais as opções que foram activadas.

Para ver contas de utilizador, clique em Iniciar (Start), aponte para Programas (Programs), aponte para Ferramentas administrativas (Administrative Tools) e clique em Utilizadores e computadores do Active Directory (Active Directory Users and Computers).

Mais Informação

Pode visualizar e editar estes atributos utilizando a ferramenta Ldp.exe ou o snap-in Adsiedit.msc.

A tabela que se segue apresenta possíveis sinalizadores que pode atribuir. Não consegue definir alguns dos valores num objecto de utilizador ou de computador porque estes valores apenas podem ser definidos ou repostos pelo serviço de directório. Note que a ferramenta Ldp.exe mostra os valores em hexadecimal. O Adsiedit.msc apresenta os valores em decimal. Os sinalizadores são cumulativos. Para desactivar a conta de um utilizador, defina o atributo UserAccountControl com 0x0202 (0x002 + 0x0200). Em decimal, 514 (2 + 512).

Nota: pode editar directamente o Active Directory no Ldp.exe e no Adsiedit.msc. Estas ferramentas só devem ser utilizadas para editar o Active Directory por administradores experientes. Ambas as ferramentas estão disponíveis depois de instalar as ferramentas de suporte a partir do suporte de instalação original do Windows.
Reduzir esta tabelaExpandir esta tabela
SinalizadorValor em hexadecimalValor em decimal
SCRIPT0x00011
ACCOUNTDISABLE0x00022
HOMEDIR_REQUIRED0x00088
LOCKOUT0x001016
PASSWD_NOTREQD0x002032
PASSWD_CANT_CHANGE
Nota: não pode atribuir esta permissão modificando directamente o atributo UserAccountControl. Para obter informações sobre como definir a permissão através de programação, consulte a secção "Descrições dos sinalizadores".
0x004064
ENCRYPTED_TEXT_PWD_ALLOWED0x0080128
TEMP_DUPLICATE_ACCOUNT0x0100256
NORMAL_ACCOUNT0x0200512
INTERDOMAIN_TRUST_ACCOUNT0x08002048
WORKSTATION_TRUST_ACCOUNT0x10004096
SERVER_TRUST_ACCOUNT0x20008192
DONT_EXPIRE_PASSWORD0x1000065536
MNS_LOGON_ACCOUNT0x20000131072
SMARTCARD_REQUIRED0x40000262144
TRUSTED_FOR_DELEGATION0x80000524288
NOT_DELEGATED0x1000001048576
USE_DES_KEY_ONLY0x2000002097152
DONT_REQ_PREAUTH0x4000004194304
PASSWORD_EXPIRED0x8000008388608
TRUSTED_TO_AUTH_FOR_DELEGATION0x100000016777216

Nota: num domínio baseado no Windows Server 2003, LOCK_OUT e PASSWORD_EXPIRED foram substituídos por um novo atributo denominado ms-DS-User-Account-Control-Computed. Para obter mais informações sobre este novo atributo, visite o seguinte Web site:
http://msdn.microsoft.com/library/en-us/adschema/adschema/a_msds_user_account_control_computed.asp

Descrições dos sinalizadores

  • SCRIPT - O script de início de sessão será executado.
  • ACCOUNTDISABLE - A conta de utilizador está desactivada.
  • HOMEDIR_REQUIRED - A pasta inicial é necessária.
  • PASSWD_NOTREQD - Não é necessária uma palavra-passe.
  • PASSWD_CANT_CHANGE - O utilizador não pode alterar a palavra-passe. Esta é uma permissão do objecto do utilizador. Para obter informações sobre como definir esta permissão através de programação, visite o seguinte Web site:
    http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adsi/adsi/modifying_user_cannot_change_password_ldap_provider.asp
  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - O utilizador pode enviar uma palavra-passe encriptada.
  • TEMP_DUPLICATE_ACCOUNT - Esta é uma conta para utilizadores cuja conta principal pertence a outro domínio. Esta conta proporciona acesso de utilizador a este domínio, mas não a qualquer domínio que considere este fidedigno. Uma conta deste tipo é, por vezes, designada por conta de utilizador local.
  • NORMAL_ACCOUNT - Este é um tipo de conta predefinido que representa um utilizador normal.
  • INTERDOMAIN_TRUST_ACCOUNT - Isto é uma permissão para considerar fidedigna uma conta de um domínio de sistema que considere fidedignos outros domínios.
  • WORKSTATION_TRUST_ACCOUNT - Esta é uma conta de computador para um computador com o Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional ou Windows 2000 Server que seja membro deste domínio.
  • SERVER_TRUST_ACCOUNT - Esta é uma conta de computador para um controlador de domínio que seja membro deste domínio.
  • DONT_EXPIRE_PASSWD - Representa a palavra-passe, que nunca deve expirar na conta.
  • MNS_LOGON_ACCOUNT - Esta é uma conta de início de sessão MNS.
  • SMARTCARD_REQUIRED - Quando este sinalizador está definido, força o utilizador a iniciar sessão utilizando um smart card.
  • TRUSTED_FOR_DELEGATION - Quando este sinalizador está definido, a conta de serviço (a conta de utilizador ou de computador) na qual um serviço é executado é considerada fidedigna para delegação Kerberos. Um tal serviço pode representar um cliente que peça o serviço. Para activar um serviço para delegação Kerberos, tem de definir este sinalizador na propriedade userAccountControl da conta de serviço.
  • NOT_DELEGATED - Quando este sinalizador está definido, o contexto de segurança do utilizador não é delegado a um serviço, mesmo que a conta de serviço esteja definida como fidedigna para delegação Kerberos.
  • USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) Restringe este principal à utilização apenas de tipos de encriptação DES (Data Encryption Standard) para chaves.
  • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) Esta conta não requer pré-autenticação Kerberos para iniciar sessão.
  • PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) A palavra-passe do utilizador expirou.
  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) A conta pode ser delegada. Esta é uma definição crítica de segurança. Contas com esta opção activada devem ser rigorosamente controladas. Esta definição permite que um serviço que seja executado nesta conta assuma a identidade de um cliente e seja autenticado como esse utilizador noutros servidores remotos da rede.

Valores de UserAccountControl

Estes são os valores predefinidos de UserAccountControl para os objectos indicados:
Utilizador normal: 0x200 (512)
Controlador de domínio: 0x82000 (532480)
Estação de trabalho/servidor: 0x1000 (4096)

Propriedades

Artigo: 305144 - Última revisão: 3 de dezembro de 2007 - Revisão: 10.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palavras-chave: 
kbinfo kbenv KB305144

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com