Kullanıcı hesabı özelliklerini değiştirmek için UserAccountControl bayraklarını kullanma
Bu makalede, kullanıcı hesabı özelliklerini değiştirmek için UserAccountControl özniteliğini kullanmaya ilişkin bilgiler açıklanmaktadır.
Şunlar için geçerlidir: Windows Server 2012 R2 , Windows Server 2016, Windows Server 2019, Windows Server 2022
Orijinal KB numarası: 305144
Özet
Bir kullanıcı hesabının özelliklerini açtığınızda, Hesap sekmesine tıklayın ve ardından Hesap seçenekleri iletişim kutusundaki onay kutularını seçin veya temizleyin; UserAccountControl özniteliğine sayısal değerler atanır. Özniteliğe atanan değer, Windows'a hangi seçeneklerin etkinleştirildiğini bildirir.
Kullanıcı hesaplarını görüntülemek için Başlat'a tıklayın, Programlar'ın üzerine gelin, Yönetimsel Araçlar'ın üzerine gelin ve ardından Active Directory Kullanıcıları ve Bilgisayarları'na tıklayın.
Özellik bayraklarının listesi
Ldp.exe aracını veya Adsiedit.msc ek bileşenini kullanarak bu öznitelikleri görüntüleyebilir ve düzenleyebilirsiniz.
Aşağıdaki tabloda, atayabileceğiniz olası bayraklar listelenir. Bir kullanıcı veya bilgisayar nesnesinde bazı değerleri ayarlayamazsınız, çünkü bu değerler yalnızca dizin hizmeti tarafından ayarlanabilir ya da sıfırlanabilir. Ldp.exe, değerleri onaltılık olarak gösterir. Adsiedit.msc, değerleri ondalık olarak görüntüler. Bayraklar kümülatiftir. Bir kullanıcının hesabını devre dışı bırakmak için UserAccountControl özniteliğini 0x0202 (0x002 + 0x0200) olarak ayarlayın. Ondalık olarak, 514 (2 + 512) olur.
Not
Active Directory'yi hem Ldp.exe hem de Adsiedit.msc'de doğrudan düzenleyebilirsiniz. Yalnızca deneyimli yöneticiler Active Directory'yi düzenlemek için bu araçları kullanmalıdır. Her iki araç da özgün Windows yükleme medyanızdan Destek araçlarını yükledikten sonra kullanılabilir.
| Özellik bayrağı | Onaltılık değer | Ondalık değer |
|---|---|---|
| BETİK | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| LOCKOUT | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE Bu izni, UserAccountControl özniteliğini doğrudan değiştirerek atayamazsınız. İzinin program aracılığıyla nasıl ayarlanacağı hakkında bilgi için, Özellik bayrağı açıklamaları bölümüne bakın. |
0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 |
Not
Windows Server 2003 tabanlı bir etki alanında, LOCK_OUT ve PASSWORD_EXPIRED, ms-DS-User-Account-Control-Computed adlı yeni bir öznitelikle değiştirilmiştir. Bu yeni öznitelik hakkında daha fazla bilgi için bkz. ms-DS-User-Account-Control-Computed özniteliği.
Özellik bayrağı açıklamaları
SCRIPT - Oturum açma betiği çalıştırılır.
ACCOUNTDISABLE - Kullanıcı hesabı devre dışı bırakılır.
HOMEDIR_REQUIRED - Giriş klasörü gereklidir.
PASSWD_NOTREQD - Parola gerekmez.
PASSWD_CANT_CHANGE - Kullanıcı parolayı değiştiremez. Bu, kullanıcının nesnesi üzerinde bir izindir. Bu izni program aracılığıyla ayarlama hakkında bilgi için bkz. Kullanıcı Parolayı Değiştiremez (LDAP Sağlayıcısı) ayarını değiştirme.
ENCRYPTED_TEXT_PASSWORD_ALLOWED - Kullanıcı şifreli bir parola gönderebilir.
TEMP_DUPLICATE_ACCOUNT - Birincil hesabı başka bir etki alanında olan kullanıcılar için bir hesaptır. Bu hesap bu etki alanına kullanıcı erişimi sağlar, ancak bu etki alanına güvenen herhangi bir etki alanına erişim sağlamaz. Bazen yerel kullanıcı hesabı olarak da adlandırılır.
NORMAL_ACCOUNT - Tipik kullanıcıyı temsil eden varsayılan bir hesap türüdür.
INTERDOMAIN_TRUST_ACCOUNT - Diğer etki alanlarına güvenen bir sistem etki alanı için bir hesaba güvenme iznidir.
WORKSTATION_TRUST_ACCOUNT - Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional veya Windows 2000 Server çalıştıran ve bu etki alanının üyesi olan bir bilgisayarın bilgisayar hesabıdır.
SERVER_TRUST_ACCOUNT - Bu etki alanının üyesi olan bir etki alanı denetleyicisinin bilgisayar hesabıdır.
DONT_EXPIRE_PASSWD - Hesapta hiçbir zaman süresi dolmaması gereken parolayı temsil eder.
MNS_LOGON_ACCOUNT - Bu bir MNS oturum açma hesabıdır.
SMARTCARD_REQUIRED - Bu bayrak ayarlandığında kullanıcıyı akıllı kart kullanarak oturum açmaya zorlar.
TRUSTED_FOR_DELEGATION - Bu bayrak ayarlandığında, Kerberos temsilcisi için altında bir hizmetin çalıştığı hizmet hesabına (kullanıcı veya bilgisayar hesabı) güvenilir. Bu tür bir hizmet, hizmeti isteyen bir istemcinin kimliğine bürünebilir. Bir hizmeti Kerberos temsilcisi olarak etkinleştirmek için bu bayrağı hizmet hesabının userAccountControl özelliğinde ayarlamanız gerekir.
NOT_DELEGATED - Bu bayrak ayarlandığında, hizmet hesabı Kerberos temsilcisi için güvenilir olarak ayarlansa bile, kullanıcının güvenlik bağlamı bir hizmete devredilmez.
USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) Bu sorumluyu anahtarlar için yalnızca Veri Şifreleme Standardı (DES) şifreleme türlerini kullanacak şekilde kısıtlayın.
DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) Bu hesap, oturum açmak için Kerberos ön kimlik doğrulaması gerektirmez.
PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) Kullanıcının parolasının süresi doldu.
TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) Hesap temsilci seçme için etkinleştirildi. Bu, güvenlik duyarlılığı olan bir ayardır. Bu seçeneğin etkinleştirildiği hesaplar sıkı bir şekilde denetlenmelidir. Bu ayar, hesap altında çalışan bir hizmetin, bir istemcinin kimliğini varsaymasına ve ağdaki diğer uzak sunucularda o kullanıcı olarak kimlik doğrulaması yapmasına olanak tanır.
PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008/Windows Server 2008 R2) Hesap salt okunur bir etki alanı denetleyicisidir (RODC). Bu, güvenlik duyarlılığı olan bir ayardır. RODC'den bu ayarın kaldırılması söz konusu sunucudaki güvenliği tehlikeye atar,.
UserAccountControl değerleri
Belirli nesneler için varsayılan UserAccountControl değerleri şunlardır:
- Tipik kullanıcı: 0x200 (512)
- Etki alanı denetleyicisi: 0x82000 (532480)
- İş istasyonu/sunucu: 0x1000 (4096)
- Güven: 0x820 (2080)
Not
Güven nesneleri geleneksel parola ilkesini ve parola özniteliklerini kullanıcı ve bilgisayar nesneleriyle aynı şekilde kullanmadığından, Windows güven hesabı userAccountControl öznitelik değeri PASSWD_NOTREQD parola kullanmaktan muaf tutulur.
Güven gizli dizileri, etki alanları arası güven hesaplarında güvenin yönünü gösteren özel özniteliklerle temsil edilir. Gelen güven gizli dizileri, güvenin "güvenilen" tarafında trustAuthIncoming özniteliğinde depolanır. Giden güven gizli dizileri, güvenin "güvenen" ucundaki trustAuthOutgoing özniteliğinde depolanır.
- İki yönlü güvenler için, güvenin her tarafındaki INTERDOMAIN_TRUST_ACCOUNT nesnesinin her ikisi de ayarlanmış olur.
- Güven gizli dizileri, güvenen etki alanındaki birincil etki alanı denetleyicisi (PDC) öykünücüsü Esnek Tek Ana İşlem (FSMO) rolü olan etki alanı denetleyicisi tarafından korunur.
- Bu nedenle PASSWD_NOTREQD UserAccountControl özniteliği varsayılan olarak INTERDOMAIN_TRUST_ACCOUNT hesaplarda ayarlanır.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin