如何使用 UserAccountControl 标志操纵用户帐户属性

文章翻译 文章翻译
文章编号: 305144 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

在打开用户帐户的属性后,单击帐户选项卡,然后选中或清除“帐户选项”对话框中的复选框,则会将数值分配给 UserAccountControl 属性。分配给该属性的值通知 Windows 已启用了哪些选项。

要查看用户帐户,请单击开始,指向程序,指向管理工具,然后单击“Active Directory 用户和计算机”。

更多信息

可以使用 Ldp.exe 工具或 Adsiedit.msc 管理单元来查看和编辑这些属性。

下表列出了可以分配的标志。不能针对用户或计算机对象设置某些值,原因是这些值只能由目录服务设置或重置。请注意,Ldp.exe 显示十六进制值,而 Adsiedit.msc 显示十进制值。标志是累积性的。若要禁用用户的帐户,请将 UserAccountControl 属性设置为 0x0202 (0x002 + 0x0200)。在十进制中,它是 514 (2 + 512)。

注意:可以在 Ldp.exe 和 Adsiedit.msc 中直接编辑 Active Directory。应该仅由经验丰富的管理员使用这些工具来编辑 Active Directory。在使用原始 Windows 安装媒体安装支持工具后,即可使用这两个工具。
收起该表格展开该表格
属性标志十六进制值十进制值
SCRIPT0x00011
ACCOUNTDISABLE0x00022
HOMEDIR_REQUIRED0x00088
LOCKOUT0x001016
PASSWD_NOTREQD0x002032
PASSWD_CANT_CHANGE0x004064
ENCRYPTED_TEXT_PWD_ALLOWED0x0080128
TEMP_DUPLICATE_ACCOUNT0x0100256
NORMAL_ACCOUNT0x0200512
INTERDOMAIN_TRUST_ACCOUNT0x08002048
WORKSTATION_TRUST_ACCOUNT0x10004096
SERVER_TRUST_ACCOUNT0x20008192
DONT_EXPIRE_PASSWORD0x1000065536
MNS_LOGON_ACCOUNT0x20000131072
SMARTCARD_REQUIRED0x40000262144
TRUSTED_FOR_DELEGATION0x80000524288
NOT_DELEGATED0x1000001048576
USE_DES_KEY_ONLY0x2000002097152
DONT_REQ_PREAUTH0x4000004194304
PASSWORD_EXPIRED0x8000008388608
TRUSTED_TO_AUTH_FOR_DELEGATION0x100000016777216

属性标志说明

  • SCRIPT - 将运行登录脚本。
  • ACCOUNTDISABLE - 禁用用户帐户。
  • HOMEDIR_REQUIRED - 需要主文件夹。
  • PASSWD_NOTREQD - 不需要密码。
  • PASSWD_CANT_CHANGE - 用户不能更改密码。可以读取此标志,但不能直接设置它。
  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - 用户可以发送加密的密码。
  • TEMP_DUPLICATE_ACCOUNT - 此帐户属于其主帐户位于另一个域中的用户。此帐户为用户提供访问该域的权限,但不提供访问信任该域的任何域的权限。有时将这种帐户称为“本地用户帐户”。
  • NORMAL_ACCOUNT - 这是表示典型用户的默认帐户类型。
  • INTERDOMAIN_TRUST_ACCOUNT - 对于信任其他域的系统域,此属性允许信任该系统域的帐户。
  • WORKSTATION_TRUST_ACCOUNT - 这是运行 Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional 或 Windows 2000 Server 并且属于该域的计算机的计算机帐户。
  • SERVER_TRUST_ACCOUNT - 这是属于该域的域控制器的计算机帐户。
  • DONT_EXPIRE_PASSWD - 表示在该帐户上永远不会过期的密码。
  • MNS_LOGON_ACCOUNT - 这是 MNS 登录帐户。
  • SMARTCARD_REQUIRED - 设置此标志后,将强制用户使用智能卡登录。
  • TRUSTED_FOR_DELEGATION - 设置此标志后,将信任运行服务的服务帐户(用户或计算机帐户)进行 Kerberos 委派。任何此类服务都可模拟请求该服务的客户端。若要允许服务进行 Kerberos 委派,必须在服务帐户的 userAccountControl 属性上设置此标志。
  • NOT_DELEGATED - 设置此标志后,即使将服务帐户设置为信任其进行 Kerberos 委派,也不会将用户的安全上下文委派给该服务。
  • USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) 将此用户限制为仅使用数据加密标准 (DES) 加密类型的密钥。
  • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 此帐户在登录时不需要进行 Kerberos 预先验证。
  • PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) 用户的密码已过期。
  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 允许该帐户进行委派。这是一个与安全相关的设置。应严格控制启用此选项的帐户。此设置允许该帐户运行的服务冒充客户端的身份,并作为该用户接受网络上其他远程服务器的身份验证。

UserAccountControl 值

这些值是某些对象的默认 UserAccountControl 值:
典型用户:0x200 (512)
域控制器:0x82000 (532480)
工作站/服务器:0x1000 (4096)

属性

文章编号: 305144 - 最后修改: 2007年12月3日 - 修订: 8.2
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
关键字:?
kbinfo kbenv KB305144
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com