Como utilizar os sinalizadores UserAccountControl para manipular propriedades de contas de utilizador

Quando abre as propriedades de uma conta de utilizador, clica no separador Conta (Account) e selecciona ou desmarca as caixas de verificação da caixa de diálogo Opções de conta (Account options), são atribuídos valores numéricos ao atributo UserAccountControl. O valor atribuído ao atributo indica ao Windows quais as opções que foram activadas.

Para ver contas de utilizador, clique em Iniciar (Start), aponte para Programas (Programs), aponte para Ferramentas administrativas (Administrative Tools) e clique em Utilizadores e computadores do Active Directory (Active Directory Users and Computers).

Pode visualizar e editar estes atributos utilizando a ferramenta Ldp.exe ou o snap-in Adsiedit.msc.

A tabela que se segue apresenta possíveis sinalizadores que pode atribuir. Não consegue definir alguns dos valores num objecto de utilizador ou de computador porque estes valores apenas podem ser definidos ou repostos pelo serviço de directório. Note que a ferramenta Ldp.exe mostra os valores em hexadecimal. O Adsiedit.msc apresenta os valores em decimal. Os sinalizadores são cumulativos. Para desactivar a conta de um utilizador, defina o atributo UserAccountControl com 0x0202 (0x002 + 0x0200). Em decimal, 514 (2 + 512).

Nota: pode editar directamente o Active Directory no Ldp.exe e no Adsiedit.msc. Estas ferramentas só devem ser utilizadas para editar o Active Directory por administradores experientes. Ambas as ferramentas estão disponíveis depois de instalar as ferramentas de suporte a partir do suporte de instalação original do Windows.
Nota: num domínio baseado no Windows Server 2003, LOCK_OUT e PASSWORD_EXPIRED foram substituídos por um novo atributo denominado ms-DS-User-Account-Control-Computed. Para obter mais informações sobre este novo atributo, visite o seguinte Web site:

Descrições dos sinalizadores

• SCRIPT - O script de início de sessão será executado.
• ACCOUNTDISABLE - A conta de utilizador está desactivada.
• HOMEDIR_REQUIRED - A pasta inicial é necessária.
• PASSWD_NOTREQD - Não é necessária uma palavra-passe.
• PASSWD_CANT_CHANGE - O utilizador não pode alterar a palavra-passe. Esta é uma permissão do objecto do utilizador. Para obter informações sobre como definir esta permissão através de programação, visite o seguinte Web site:
  http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adsi/adsi/modifying_user_cannot_change_password_ldap_provider.asp (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adsi/adsi/modifying_user_cannot_change_password_ldap_provider.asp)
• ENCRYPTED_TEXT_PASSWORD_ALLOWED - O utilizador pode enviar uma palavra-passe encriptada.
• TEMP_DUPLICATE_ACCOUNT - Esta é uma conta para utilizadores cuja conta principal pertence a outro domínio. Esta conta proporciona acesso de utilizador a este domínio, mas não a qualquer domínio que considere este fidedigno. Uma conta deste tipo é, por vezes, designada por conta de utilizador local.
• NORMAL_ACCOUNT - Este é um tipo de conta predefinido que representa um utilizador normal.
• INTERDOMAIN_TRUST_ACCOUNT - Isto é uma permissão para considerar fidedigna uma conta de um domínio de sistema que considere fidedignos outros domínios.
• WORKSTATION_TRUST_ACCOUNT - Esta é uma conta de computador para um computador com o Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional ou Windows 2000 Server que seja membro deste domínio.
• SERVER_TRUST_ACCOUNT - Esta é uma conta de computador para um controlador de domínio que seja membro deste domínio.
• DONT_EXPIRE_PASSWD - Representa a palavra-passe, que nunca deve expirar na conta.
• MNS_LOGON_ACCOUNT - Esta é uma conta de início de sessão MNS.
• SMARTCARD_REQUIRED - Quando este sinalizador está definido, força o utilizador a iniciar sessão utilizando um smart card.
• TRUSTED_FOR_DELEGATION - Quando este sinalizador está definido, a conta de serviço (a conta de utilizador ou de computador) na qual um serviço é executado é considerada fidedigna para delegação Kerberos. Um tal serviço pode representar um cliente que peça o serviço. Para activar um serviço para delegação Kerberos, tem de definir este sinalizador na propriedade userAccountControl da conta de serviço.
• NOT_DELEGATED - Quando este sinalizador está definido, o contexto de segurança do utilizador não é delegado a um serviço, mesmo que a conta de serviço esteja definida como fidedigna para delegação Kerberos.
• USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) Restringe este principal à utilização apenas de tipos de encriptação DES (Data Encryption Standard) para chaves.
• DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) Esta conta não requer pré-autenticação Kerberos para iniciar sessão.
• PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) A palavra-passe do utilizador expirou.
• TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) A conta pode ser delegada. Esta é uma definição crítica de segurança. Contas com esta opção activada devem ser rigorosamente controladas. Esta definição permite que um serviço que seja executado nesta conta assuma a identidade de um cliente e seja autenticado como esse utilizador noutros servidores remotos da rede.

Valores de UserAccountControl

Estes são os valores predefinidos de UserAccountControl para os objectos indicados: