Como usar os sinalizadores UserAccountControl para manipular as propriedades de conta de usuário

Ao abrir as propriedades de uma conta de usuário, clique no Conta TAB e, em seguida, selecione ou desmarque as caixas de seleção na Opções de conta caixa de diálogo valores numéricos são atribuídos a o UserAccountControl atributo. Informa o valor que é atribuído ao atributo Windows quais opções foram habilitadas.

Para visualizar as contas de usuário, clique em Iniciar, aponte para Programas, aponte para Ferramentas administrativase, em seguida, clique em Usuários do Active Directory e Computadores.

Você pode exibir e editar esses atributos usando o Ferramenta LDP. exe ou o snap-in adsiedit. msc.

A tabela a seguir lista sinalizadores de possíveis que podem ser atribuídos. Não é possível definir alguns dos valores em um usuário ou um objeto de computador porque esses valores podem ser definidos ou redefinir somente pela serviço de diretório. Observe que o Ldp. exe mostra os valores em hexadecimal. ADSIEdit. msc exibe os valores decimais. Os sinalizadores são cumulativos. Para desabilitar uma conta de usuário, defina o UserAccountControl o atributo para o 0x0202 (0x002 + 0x0200). Em decimal, isso é 514 (2 + 512).

Observação Você pode editar diretamente o Active Directory em ambos os Ldp. exe e ADSIEdit. msc. sofreu apenas os administradores devem usar essas ferramentas para editar Active Directory. Ambas as ferramentas estão disponíveis depois de instalar as ferramentas de suporte a partir de sua mídia de instalação do Windows original.
Observação Em um domínio baseado no Windows Server 2003, LOCK_OUT e PASSWORD_EXPIRED foram substituídos por um novo atributo chamado ms-DS-User-Account-Control-Computed. Para obter mais informações sobre esse novo atributo, visite o seguinte Web site:

Descrições de sinalizador de propriedade

• SCRIPT - script de logon será executado.
• ACCOUNTDISABLE - A conta de usuário está desabilitada.
• HOMEDIR_REQUIRED - A pasta base é necessária.
• PASSWD_NOTREQD - nenhuma senha é necessária.
• PASSWD_CANT_CHANGE - O usuário não pode alterar a senha. Isso é uma permissão no objeto do usuário. Para obter informações sobre como definir isso programaticamente permissão, visite o seguinte Web site:
  http://msdn2.microsoft.com/en-us/library/aa746398.aspx (http://msdn2.microsoft.com/en-us/library/aa746398.aspx)
• ENCRYPTED_TEXT_PASSWORD_ALLOWED - O usuário pode enviar um senha criptografada.
• TEMP_DUPLICATE_ACCOUNT - esta é uma conta para usuários cujo conta principal está em outro domínio. Essa conta fornece acesso de usuário a este o domínio, mas não a qualquer domínio que confia neste domínio. Às vezes isso é conhecido como uma conta de usuário local.
• NORMAL_ACCOUNT - este é um padrão tipo de conta representa um usuário típico.
• INTERDOMAIN_TRUST_ACCOUNT - esta é uma permissão para confiar em um conta para um domínio do sistema que confia em outros domínios.
• WORKSTATION_TRUST_ACCOUNT - esta é uma conta de computador para um computador que esteja executando o Microsoft Windows NT Workstation 4. 0, Microsoft Windows NT 4. 0 Server, Microsoft Windows 2000 Professional ou Windows 2000 Servidor e é um membro deste domínio.
• SERVER_TRUST_ACCOUNT - esta é uma conta de computador para um controlador de domínio que seja membro deste domínio.
• DONT_EXPIRE_PASSWD - representa a senha, deve nunca expiram na conta.
• MNS_LOGON_ACCOUNT - esta é uma conta de logon MNS.
• SMARTCARD_REQUIRED - quando este sinalizador estiver definido, ele força a usuário faça logon usando um cartão inteligente.
• TRUSTED_FOR_DELEGATION - quando este sinalizador estiver definido, o serviço. conta (a conta de usuário ou computador) na qual um serviço é executado é confiável para a delegação Kerberos. Tais serviços podem representar uma solicitação de cliente o serviço. Para ativar um serviço para a delegação Kerberos, você deve configurar isso sinalizar sobre o userAccountControl propriedade da conta do serviço.
• NOT_DELEGATED - quando este sinalizador estiver definido, o contexto de segurança do usuário não é delegado a um serviço, mesmo que a conta de serviço é definida como confiável para delegação de Kerberos.
• USE_DES_KEY_ONLY-(Windows 2000/Windows Server 2003) Restringir este principal para usar somente a criptografia Data Encryption Standard (DES) tipos de chaves.
• DONT_REQUIRE_PREAUTH-(Windows 2000/Windows Server 2003) Essa conta não exige pré-autenticação Kerberos para o log no.
• PASSWORD_EXPIRED-(Windows 2000/Windows Server 2003) A senha do usuário expirou.
• TRUSTED_TO_AUTH_FOR_DELEGATION-(Windows 2000/Windows Server 2003) A conta está habilitada para delegação. Essa é uma configuração de sensível à segurança. Contas que tenham esta opção habilitada devem ser bem controladas. Esta configuração permite que um serviço que é executado sob a conta assume a identidade do cliente e se autenticar como esse usuário para outros servidores remotos na rede.
• PARTIAL_SECRETS_ACCOUNT-(Windows Server 2008/Windows Server 2008 R2) A conta é um controlador de domínio somente leitura (RODC). Essa é uma configuração de sensível à segurança. Removendo essa configuração de segurança de comprometimentos uma RODC nesse servidor.

Valores de UserAccountControl

Estes são o padrão. UserAccountControl valores determinados objetos: