Como usar os sinalizadores UserAccountControl para manipular as propriedades de conta de usuário

Traduções deste artigo Traduções deste artigo
ID do artigo: 305144 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Ao abrir as propriedades de uma conta de usuário, clique no Conta TAB e, em seguida, selecione ou desmarque as caixas de seleção na Opções de conta caixa de diálogo valores numéricos são atribuídos a o UserAccountControl atributo. Informa o valor que é atribuído ao atributo Windows quais opções foram habilitadas.

Para visualizar as contas de usuário, clique em Iniciar, aponte para Programas, aponte para Ferramentas administrativase, em seguida, clique em Usuários do Active Directory e Computadores.

Mais Informações

Você pode exibir e editar esses atributos usando o Ferramenta LDP. exe ou o snap-in adsiedit. msc.

A tabela a seguir lista sinalizadores de possíveis que podem ser atribuídos. Não é possível definir alguns dos valores em um usuário ou um objeto de computador porque esses valores podem ser definidos ou redefinir somente pela serviço de diretório. Observe que o Ldp. exe mostra os valores em hexadecimal. ADSIEdit. msc exibe os valores decimais. Os sinalizadores são cumulativos. Para desabilitar uma conta de usuário, defina o UserAccountControl o atributo para o 0x0202 (0x002 + 0x0200). Em decimal, isso é 514 (2 + 512).

Observação Você pode editar diretamente o Active Directory em ambos os Ldp. exe e ADSIEdit. msc. sofreu apenas os administradores devem usar essas ferramentas para editar Active Directory. Ambas as ferramentas estão disponíveis depois de instalar as ferramentas de suporte a partir de sua mídia de instalação do Windows original.
Recolher esta tabelaExpandir esta tabela
Sinalizador de propriedadeO valor hexadecimalO valor decimal
SCRIPT0x00011
ACCOUNTDISABLE0x00022
HOMEDIR_REQUIRED0X00088
BLOQUEIO0x001016
PASSWD_NOTREQD0x002032
PASSWD_CANT_CHANGE
Observação Não é possível atribuir essa permissão diretamente modificando o UserAccountControl atributo. Para obter informações sobre como definir a permissão de forma programática, consulte a seção "Descrições de sinalizador de propriedade".
0x004064
ENCRYPTED_TEXT_PWD_ALLOWED0x0080128
TEMP_DUPLICATE_ACCOUNT0x0100256
NORMAL_ACCOUNT0x0200512
INTERDOMAIN_TRUST_ACCOUNT0x08002048
WORKSTATION_TRUST_ACCOUNT0x10004096
SERVER_TRUST_ACCOUNT0x20008192
DONT_EXPIRE_PASSWORD0x1000065536
MNS_LOGON_ACCOUNT0x20000131072
SMARTCARD_REQUIRED0x40000262144
TRUSTED_FOR_DELEGATION0x80000524288
NOT_DELEGATED0x1000001048576
USE_DES_KEY_ONLY0x2000002097152
DONT_REQ_PREAUTH0x4000004194304
PASSWORD_EXPIRED0x8000008388608
TRUSTED_TO_AUTH_FOR_DELEGATION0x100000016777216
PARTIAL_SECRETS_ACCOUNT0x04000000 67108864

Observação Em um domínio baseado no Windows Server 2003, LOCK_OUT e PASSWORD_EXPIRED foram substituídos por um novo atributo chamado ms-DS-User-Account-Control-Computed. Para obter mais informações sobre esse novo atributo, visite o seguinte Web site:
http://msdn2.microsoft.com/en-us/library/ms677840.aspx

Descrições de sinalizador de propriedade

  • SCRIPT - script de logon será executado.
  • ACCOUNTDISABLE - A conta de usuário está desabilitada.
  • HOMEDIR_REQUIRED - A pasta base é necessária.
  • PASSWD_NOTREQD - nenhuma senha é necessária.
  • PASSWD_CANT_CHANGE - O usuário não pode alterar a senha. Isso é uma permissão no objeto do usuário. Para obter informações sobre como definir isso programaticamente permissão, visite o seguinte Web site:
    http://msdn2.microsoft.com/en-us/library/aa746398.aspx
  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - O usuário pode enviar um senha criptografada.
  • TEMP_DUPLICATE_ACCOUNT - esta é uma conta para usuários cujo conta principal está em outro domínio. Essa conta fornece acesso de usuário a este o domínio, mas não a qualquer domínio que confia neste domínio. Às vezes isso é conhecido como uma conta de usuário local.
  • NORMAL_ACCOUNT - este é um padrão tipo de conta representa um usuário típico.
  • INTERDOMAIN_TRUST_ACCOUNT - esta é uma permissão para confiar em um conta para um domínio do sistema que confia em outros domínios.
  • WORKSTATION_TRUST_ACCOUNT - esta é uma conta de computador para um computador que esteja executando o Microsoft Windows NT Workstation 4. 0, Microsoft Windows NT 4. 0 Server, Microsoft Windows 2000 Professional ou Windows 2000 Servidor e é um membro deste domínio.
  • SERVER_TRUST_ACCOUNT - esta é uma conta de computador para um controlador de domínio que seja membro deste domínio.
  • DONT_EXPIRE_PASSWD - representa a senha, deve nunca expiram na conta.
  • MNS_LOGON_ACCOUNT - esta é uma conta de logon MNS.
  • SMARTCARD_REQUIRED - quando este sinalizador estiver definido, ele força a usuário faça logon usando um cartão inteligente.
  • TRUSTED_FOR_DELEGATION - quando este sinalizador estiver definido, o serviço. conta (a conta de usuário ou computador) na qual um serviço é executado é confiável para a delegação Kerberos. Tais serviços podem representar uma solicitação de cliente o serviço. Para ativar um serviço para a delegação Kerberos, você deve configurar isso sinalizar sobre o userAccountControl propriedade da conta do serviço.
  • NOT_DELEGATED - quando este sinalizador estiver definido, o contexto de segurança do usuário não é delegado a um serviço, mesmo que a conta de serviço é definida como confiável para delegação de Kerberos.
  • USE_DES_KEY_ONLY-(Windows 2000/Windows Server 2003) Restringir este principal para usar somente a criptografia Data Encryption Standard (DES) tipos de chaves.
  • DONT_REQUIRE_PREAUTH-(Windows 2000/Windows Server 2003) Essa conta não exige pré-autenticação Kerberos para o log no.
  • PASSWORD_EXPIRED-(Windows 2000/Windows Server 2003) A senha do usuário expirou.
  • TRUSTED_TO_AUTH_FOR_DELEGATION-(Windows 2000/Windows Server 2003) A conta está habilitada para delegação. Essa é uma configuração de sensível à segurança. Contas que tenham esta opção habilitada devem ser bem controladas. Esta configuração permite que um serviço que é executado sob a conta assume a identidade do cliente e se autenticar como esse usuário para outros servidores remotos na rede.
  • PARTIAL_SECRETS_ACCOUNT-(Windows Server 2008/Windows Server 2008 R2) A conta é um controlador de domínio somente leitura (RODC). Essa é uma configuração de sensível à segurança. Removendo essa configuração de segurança de comprometimentos uma RODC nesse servidor.

Valores de UserAccountControl

Estes são o padrão. UserAccountControl valores determinados objetos:
Usuário típico: 0x200 (512)
Controlador de domínio: 0x82000 (532480)
Servidor/estação de trabalho: 0x1000 (4096)

Propriedades

ID do artigo: 305144 - Última revisão: quarta-feira, 8 de junho de 2011 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard
Palavras-chave: 
kbenv kbinfo kbmt KB305144 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 305144

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com