當您開啟使用者帳戶的內容時,按一下
[帳戶] 索引標籤,然後選取或清除
[帳戶選項] 對話方塊的核取方塊,然後為
UserAccountControl 屬性指派數值。 屬性的指派值會告訴 Windows 已經啟用哪一個選項。
若要檢視使用者帳戶,請按一下
[開始],指向
[程式集],再指向
[系統管理工具],然後按一下
[Active Directory 使用者和電腦]。
您可以使用 Ldp.exe 工具或 Adsiedit.msc 嵌入式管理單元檢視並編輯這些屬性。
下列的資料表列出可以指派的旗標。 您無法在使用者或電腦物件上設定這些值,因為只有目錄服務才能進行設定或重設。 請注意,Ldp.exe
會以十六進位的格式顯示這些值。 Adsiedit.msc 則會以十進位格式顯示。 這些旗標會累計。 如果要停用使用者帳戶,請將
UserAccountControl 屬性設定為 0x0202 (0x002 + 0x0200)。 以十進位格式表示即為 514 (2 +
512)。
注意: 您可以在 Ldp.exe 和 Adsiedit.msc 直接編輯 Active
Directory。只有有經驗的管理員可以使用這些工具編輯 Active Directory。 當您從原始的 Windows
安裝媒體安裝支援工具之後,就可以使用這兩項工具。
摺疊此表格展開此表格
| 屬性旗標 | 十六進位值 | 十進位值 |
|---|
| SCRIPT | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| LOCKOUT | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE | 0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
屬性旗標說明
- SCRIPT - 要執行的登入指令檔。
- ACCOUNTDISABLE - 使用者帳戶已停用。
- HOMEDIR_REQUIRED - 需要主資料夾。
- PASSWD_NOTREQD - 不需要密碼。
- PASSWD_CANT_CHANGE - 使用者不能變更密碼。
您可以讀取但不能直接設定這個旗標。
- ENCRYPTED_TEXT_PASSWORD_ALLOWED - 使用者可以傳送已加密密碼。
- TEMP_DUPLICATE_ACCOUNT - 主帳戶在其他網域的使用者帳戶。
這個帳戶提供這個網域的使用者存取,而不是信任這個網域的任何網域。 有時候也可以當作本機使用者帳戶。
- NORMAL_ACCOUNT - 代表典型使用者的預設帳戶類型。
- INTERDOMAIN_TRUST_ACCOUNT - 信任其他網域之系統網域的信任帳戶許可。
- WORKSTATION_TRUST_ACCOUNT - 正在執行 Microsoft Windows NT 4.0
Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional
或 Windows 2000 Server,同時也是這個網域成員電腦的電腦帳戶。
- SERVER_TRUST_ACCOUNT - 屬於這個網域成員的網域控制站的電腦帳戶。
- DONT_EXPIRE_PASSWD - 永不到期的帳戶密碼。
- MNS_LOGON_ACCOUNT - MNS 登入帳戶。
- SMARTCARD_REQUIRED - 設定這個旗標之後,會強制使用者使用智慧卡登入。
- TRUSTED_FOR_DELEGATION - 設定這個旗標之後,執行服務的服務帳戶 (使用者或電腦帳戶) 可以信任
Kerberos 委派。 任何這類服務都可以模擬要求服務的用戶端。 如果要啟用服務進行 Kerberos 委派,您必須在服務帳戶的 userAccountControl 屬性設定這個旗標。
- NOT_DELEGATED - 設定這個旗標之後,使用者安全性內容便不會委派給服務,即使服務帳戶設定為可以信任
Kerberos 委派。
- USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003)
限制這個原則只能使用 Data Encryption Standard (DES) 加密類型的金鑰。
- DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003)
這個帳戶不會要求 Kerberos 預先驗證以進行登入。
- PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003)
使用者密碼已到期。
- TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows
Server 2003) 帳戶已啟用可進行委派。 這是一項有安全性顧慮的設定。 應該嚴格控制已啟用此選項的帳戶。
這項設定允許在帳戶下執行的服務取得用戶端身分和驗證,對網路上其他的遠端電腦扮演該使用者。
UserAccountControl Values
下列是某些物件的預設
UserAccountControl 值:
典型使用者: 0x200 (512)
網域控制站: 0x82000 (532480)
工作站 / 伺服器: 0x1000 (4096)
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
回此頁最上方
