Makale numarası: 305144 - Son Gözden Geçirme: 29 Ocak 2008 Salı - Gözden geçirme: 10.5

UserAccountControl bayraklarını kullanarak kullanıcı hesabı özelliklerini yönetme

Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.

Bu Sayfada

Hepsini aç | Hepsini kapa

™zet

Bir kullanıcı hesabının özelliklerini açıp Hesap sekmesini tıklattıktan sonra Hesap seçenekleri iletişim kutusundaki onay kutularını seçer veya seçimlerini kaldırırsanız, UserAccountControl özniteliğine sayısal değerler atanır. Özniteliğe atanan değer, hangi seçeneklerin etkinleştirilmiş olduğunu Windows'a bildirir.

Kullanıcı hesaplarını görüntülemek için, Başlat'ı tıklatın, Programlar'ın üzerine gelin, Yönetimsel Araçlar'ın üzerine gelin ve sonra da Active Directory Kullanıcıları ve Bilgisayarları'nı tıklatın.
Üste

Daha fazla bilgi

Ldp.exe aracını veya Adsiedit.msc ek bileşenini kullanarak bu öznitelikleri görüntüleyebilir ve düzenleyebilirsiniz.

Aşağıdaki tabloda, atayabileceğiniz olası bayraklar listelenmektedir. Bazı değerler yalnızca dizin hizmeti tarafından ayarlanabildiği veya sıfırlanabildiği için bu değerleri bir kullanıcı veya bilgisayar nesnesinde ayarlayamazsınız. Ldp.exe değerleri onaltılık biçimde gösterir. Adsiedit.msc ise değerleri ondalık biçiminde görüntüler. Bayraklar birikimlidir. Bir kullanıcının hesabını devre dışı bırakmak için, UserAccountControl özniteliğini 0x0202 (0x002 + 0x0200) olarak ayarlayın. Ondalık düzende, bu değer 514'tür (2 + 512).

Not Active Directory'yi hem Ldp.exe aracında hem de Adsiedit.msc ek bileşeninde doğrudan düzenleyebilirsiniz. Yalnızca deneyimli yöneticiler Active Directory'yi düzenlemek için bu araçları kullanmalıdır. Her iki araç da özgün Windows yükleme medyasından Destek araçları yüklendikten sonra kullanılabilir.
Bu tabloyu kapaBu tabloyu aç
Özellik bayrağıOnaltılık değerOndalık değer
SCRIPT0x00011
ACCOUNTDISABLE0x00022
HOMEDIR_REQUIRED0x00088
LOCKOUT0x001016
PASSWD_NOTREQD0x002032
PASSWD_CANT_CHANGE
Not Bu izni doğrudan UserAccountControl özniteliğini değiştirerek atayamazsınız. İzni program aracılığıyla ayarlama konusunda bilgi için, "Özellik bayrağı açıklamaları" bölümüne bakın. 		0x004064
ENCRYPTED_TEXT_PWD_ALLOWED0x0080128
TEMP_DUPLICATE_ACCOUNT0x0100256
NORMAL_ACCOUNT0x0200512
INTERDOMAIN_TRUST_ACCOUNT0x08002048
WORKSTATION_TRUST_ACCOUNT0x10004096
SERVER_TRUST_ACCOUNT0x20008192
DONT_EXPIRE_PASSWORD0x1000065536
MNS_LOGON_ACCOUNT0x20000131072
SMARTCARD_REQUIRED0x40000262144
TRUSTED_FOR_DELEGATION0x80000524288
NOT_DELEGATED0x1000001048576
USE_DES_KEY_ONLY0x2000002097152
DONT_REQ_PREAUTH0x4000004194304
PASSWORD_EXPIRED0x8000008388608
TRUSTED_TO_AUTH_FOR_DELEGATION0x100000016777216

Not Windows Server 2003 tabanlı bir etki alanında, LOCK_OUT ve PASSWORD_EXPIRED yerine, ms-DS-User-Account-Control-Computed adlı yeni bir öznitelik kullanılmaktadır. Bu yeni öznitelik hakkında daha fazla bilgi için, aşağıdaki Web sitesini ziyaret edin:
http://msdn2.microsoft.com/en-us/library/ms677840.aspx (http://msdn2.microsoft.com/en-us/library/ms677840.aspx)
Üste

Özellik bayrağı açıklamaları

  • SCRIPT - Oturum açma komut dosyası çalıştırılır.
  • ACCOUNTDISABLE - Kullanıcı hesabı devre dışı bırakılır.
  • HOMEDIR_REQUIRED - Giriş klasörü gerekli kılınır.
  • PASSWD_NOTREQD - Parola istenmez.
  • PASSWD_CANT_CHANGE - Kullanıcı parolayı değiştiremez. Bu, kullanıcı nesnesine atanan bir izindir. Bu iznin program aracılığıyla ayarlanması hakkında bilgi için aşağıdaki Web sitesini ziyaret edin:
    http://msdn2.microsoft.com/en-us/library/aa746398.aspx (http://msdn2.microsoft.com/en-us/library/aa746398.aspx)
  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - Kullanıcı bir şifrelenmiş parola gönderebilir.
  • TEMP_DUPLICATE_ACCOUNT - Bu, birincil hesabı başka bir etki alanında olan kullanıcılara yönelik bir hesaptır. Bu hesap, kullanıcının bu etki alanına erişebilmesini ancak bu etki alanına güvenen diğer etki alanlarına erişememesini sağlar. Buna bazı durumlarda yerel kullanıcı hesabı da denir.
  • NORMAL_ACCOUNT - Bu, tipik bir kullanıcıyı gösteren varsayılan hesap türüdür.
  • INTERDOMAIN_TRUST_ACCOUNT - Bu, diğer etki alanlarına güvenen bir sistem etki alanının bir hesaba güvenmesini sağlayan bir izindir.
  • WORKSTATION_TRUST_ACCOUNT - Bu, Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional veya Windows 2000 Server çalıştıran ve bu etki alanının üyesi olan bir bilgisayar için bilgisayar hesabıdır.
  • SERVER_TRUST_ACCOUNT - Bu, bu etki alanının üyesi olan bir etki alanı denetleyicisi için bilgisayar hesabıdır.
  • DONT_EXPIRE_PASSWD - Hesap için kullanım süresi hiçbir zaman dolmayacak parolayı gösterir.
  • MNS_LOGON_ACCOUNT - Bu bir MNS oturum açma hesabıdır.
  • SMARTCARD_REQUIRED - Bu bayrak ayarlandığında, kullanıcıyı bir akıllı kart kullanarak oturum açmaya zorlar.
  • TRUSTED_FOR_DELEGATION - Bu bayrak ayarlandığında, bir hizmetin altında çalıştığı hizmet hesabına (kullanıcı veya bilgisayar hesabı) Kerberos temsilcisi olarak güvenilir. Bu tür bir hizmet, söz konusu hizmeti isteyen bir istemcinin kimliğine bürünebilir. Bir hizmeti Kerberos temsilcisi olarak etkinleştirmek için, hizmet hesabının userAccountControl özelliğinde bu bayrağı ayarlamalısınız.
  • NOT_DELEGATED - Bu bayrak ayarlandığında, hizmet hesabı Kerberos temsilcisi olarak güvenilir biçimde ayarlanmış olsa da, kullanıcının güvenlik bağlamı hizmet için temsilci olarak atanmaz.
  • USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) Bu sorumluyu, anahtarlar için yalnızca Veri Şifreleme Standardı (DES) şifreleme türlerini kullanacak biçimde kısıtlayın.
  • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) Bu hesap, oturum açmak için Kerberos ön kimlik doğrulaması gerektirmez.
  • PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) Kullanıcının parolası zaman aşımına uğramıştır.
  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) Hesap, temsilci atama için etkinleştirilmiştir. Bu, güvenlik açısından önemli bir ayardır. Bu seçeneğin etkinleştirilmiş olduğu hesaplar sıkı bir biçimde denetlenmelidir. Bu ayar, hesabın altında çalışan bir hizmetin, bir istemcinin kimliğini alarak ağdaki diğer uzak sunucularda bu kullanıcı olarak kimliğinin doğrulanmasına olanak verir.
Üste

UserAccountControl değerleri

Bunlar, belirli nesneler için varsayılan UserAccountControl değerleridir:
Normal kullanıcı : 0x200 (512)
Etki alanı denetleyicisi: 0x82000 (532480)
İş istasyonu/sunucu: 0x1000 (4096)
Üste
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Üste
Anahtar Kelimeler: 
kbinfo kbenv KB305144
Üste