如何使用 UserAccountControl 旗標操作使用者帳戶的內容

文章翻譯 文章翻譯
文章編號: 305144 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

當您開啟使用者帳戶的內容時,按一下 [帳戶] 索引標籤,然後選取或清除 [帳戶選項] 對話方塊的核取方塊,然後為 UserAccountControl 屬性指派數值。 屬性的指派值會告訴 Windows 已經啟用哪一個選項。

若要檢視使用者帳戶,請按一下 [開始],指向 [程式集],再指向 [系統管理工具],然後按一下 [Active Directory 使用者和電腦]

其他相關資訊

您可以使用 Ldp.exe 工具或 Adsiedit.msc 嵌入式管理單元檢視並編輯這些屬性。

下列的資料表列出可以指派的旗標。 您無法在使用者或電腦物件上設定這些值,因為只有目錄服務才能進行設定或重設。 請注意,Ldp.exe 會以十六進位的格式顯示這些值。 Adsiedit.msc 則會以十進位格式顯示。 這些旗標會累計。 如果要停用使用者帳戶,請將 UserAccountControl 屬性設定為 0x0202 (0x002 + 0x0200)。 以十進位格式表示即為 514 (2 + 512)。

注意: 您可以在 Ldp.exe 和 Adsiedit.msc 直接編輯 Active Directory。只有有經驗的管理員可以使用這些工具編輯 Active Directory。 當您從原始的 Windows 安裝媒體安裝支援工具之後,就可以使用這兩項工具。
摺疊此表格展開此表格
屬性旗標十六進位值十進位值
SCRIPT0x00011
ACCOUNTDISABLE0x00022
HOMEDIR_REQUIRED0x00088
LOCKOUT0x001016
PASSWD_NOTREQD0x002032
PASSWD_CANT_CHANGE0x004064
ENCRYPTED_TEXT_PWD_ALLOWED0x0080128
TEMP_DUPLICATE_ACCOUNT0x0100256
NORMAL_ACCOUNT0x0200512
INTERDOMAIN_TRUST_ACCOUNT0x08002048
WORKSTATION_TRUST_ACCOUNT0x10004096
SERVER_TRUST_ACCOUNT0x20008192
DONT_EXPIRE_PASSWORD0x1000065536
MNS_LOGON_ACCOUNT0x20000131072
SMARTCARD_REQUIRED0x40000262144
TRUSTED_FOR_DELEGATION0x80000524288
NOT_DELEGATED0x1000001048576
USE_DES_KEY_ONLY0x2000002097152
DONT_REQ_PREAUTH0x4000004194304
PASSWORD_EXPIRED0x8000008388608
TRUSTED_TO_AUTH_FOR_DELEGATION0x100000016777216

屬性旗標說明

  • SCRIPT - 要執行的登入指令檔。
  • ACCOUNTDISABLE - 使用者帳戶已停用。
  • HOMEDIR_REQUIRED - 需要主資料夾。
  • PASSWD_NOTREQD - 不需要密碼。
  • PASSWD_CANT_CHANGE - 使用者不能變更密碼。 您可以讀取但不能直接設定這個旗標。
  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - 使用者可以傳送已加密密碼。
  • TEMP_DUPLICATE_ACCOUNT - 主帳戶在其他網域的使用者帳戶。 這個帳戶提供這個網域的使用者存取,而不是信任這個網域的任何網域。 有時候也可以當作本機使用者帳戶。
  • NORMAL_ACCOUNT - 代表典型使用者的預設帳戶類型。
  • INTERDOMAIN_TRUST_ACCOUNT - 信任其他網域之系統網域的信任帳戶許可。
  • WORKSTATION_TRUST_ACCOUNT - 正在執行 Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional 或 Windows 2000 Server,同時也是這個網域成員電腦的電腦帳戶。
  • SERVER_TRUST_ACCOUNT - 屬於這個網域成員的網域控制站的電腦帳戶。
  • DONT_EXPIRE_PASSWD - 永不到期的帳戶密碼。
  • MNS_LOGON_ACCOUNT - MNS 登入帳戶。
  • SMARTCARD_REQUIRED - 設定這個旗標之後,會強制使用者使用智慧卡登入。
  • TRUSTED_FOR_DELEGATION - 設定這個旗標之後,執行服務的服務帳戶 (使用者或電腦帳戶) 可以信任 Kerberos 委派。 任何這類服務都可以模擬要求服務的用戶端。 如果要啟用服務進行 Kerberos 委派,您必須在服務帳戶的 userAccountControl 屬性設定這個旗標。
  • NOT_DELEGATED - 設定這個旗標之後,使用者安全性內容便不會委派給服務,即使服務帳戶設定為可以信任 Kerberos 委派。
  • USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) 限制這個原則只能使用 Data Encryption Standard (DES) 加密類型的金鑰。
  • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 這個帳戶不會要求 Kerberos 預先驗證以進行登入。
  • PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) 使用者密碼已到期。
  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 帳戶已啟用可進行委派。 這是一項有安全性顧慮的設定。 應該嚴格控制已啟用此選項的帳戶。 這項設定允許在帳戶下執行的服務取得用戶端身分和驗證,對網路上其他的遠端電腦扮演該使用者。

UserAccountControl Values

下列是某些物件的預設 UserAccountControl 值:
典型使用者: 0x200 (512)
網域控制站: 0x82000 (532480)
工作站 / 伺服器: 0x1000 (4096)

屬性

文章編號: 305144 - 上次校閱: 2003年10月15日 - 版次: 3.4
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
關鍵字:?
kbinfo kbenv KB305144
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com