Verwendung der UserAccountControl-Flags zum Bearbeiten der Eigenschaften eines Benutzerkontos

Gilt für: Windows Server 2008 R2Windows Server 2008Microsoft Windows Server 2003

Zusammenfassung


Wenn Sie die Eigenschaften für ein Benutzerkonto öffnen, klicken Sie auf die Registerkarte Konto und aktivieren oder deaktivieren Sie die Kontrollkästchen im Dialogfeld Optionen , werden numerische Werte UserAccountControl-Attribut zugewiesen. Der Wert, der dem Attribut zugewiesen wird, sagt Windows, welche Optionen aktiviert wurden.Um Benutzerkonten anzuzeigen, klicken Sie auf Start, zeigen Sie auf Programme, Verwaltungund klicken Sie dann auf Active Directory-Benutzer und -Computer.

Weitere Informationen


Sie können diese Attribute sehen und bearbeiten, indem Sie das Tool Ldp.exe oder das Adsiedit.msc-Snap-in verwenden.Die folgende Tabelle listet die Flags auf, denen Sie zuweisen können. Sie können die Werte für einen Benutzer oder Computer definieren, weil diese Werte festgelegt oder vom Verzeichnisdienst zurückgesetzt. Hinweis Ldp.exe zeigt die Werte im Hexadezimalformat. Adsiedit.msc zeigt die Werte Dezimal. Die Flags sind kumulativ. Um ein Benutzerkonto zu deaktivieren, setzen Sie das Attribut "UserAccountControl" auf 0x0202 (0x002 + 0x0200). In dezimaler Form ist das 514 (2 + 512).Hinweis Sie können das Active Directory sowohl mit Ldp.exe als auch mit Adsiedit.msc direkt bearbeiten. Nur erfahrene Administratoren sollten diese Tools verwenden, um Active Directory zu bearbeiten. Beide Programme stehen nach der Installation der Supporttools von Ihrem original Windows-Installationsmedium zur Verfügung.
Flag-Eigenschaft Wert hexadezimal Wert dezimal
SCRIPT 0x0001 1
ACCOUNTDISABLE 0x0002 2
HOMEDIR_REQUIRED 0x0008 8
LOCKOUT 0x0010 16
PASSWD_NOTREQD 0x0020 32
PASSWD_CANT_CHANGE Hinweis Diese Berechtigung kann nicht durch direktes Editieren des "UserAccountControl"-Attributs verändert werden Informationen zum programmgesteuerten Berechtigungssatz finden Sie im Abschnitt "Beschreibungen Flag". 0x0040 64
ENCRYPTED_TEXT_PWD_ALLOWED 0x0080 128
TEMP_DUPLICATE_ACCOUNT 0x0100 256
NORMAL_ACCOUNT 0x0200 512
INTERDOMAIN_TRUST_ACCOUNT 0x0800 2048
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
SERVER_TRUST_ACCOUNT 0x2000 8192
DONT_EXPIRE_PASSWORD 0x10000 65536
MNS_LOGON_ACCOUNT 0x20000 131072
SMARTCARD_REQUIRED 0x40000 262144
TRUSTED_FOR_DELEGATION 0x80000 524288
NOT_DELEGATED 0x100000 1048576
USE_DES_KEY_ONLY 0x200000 2097152
DONT_REQ_PREAUTH 0x400000 4194304
PASSWORD_EXPIRED 0x800000 8388608
TRUSTED_TO_AUTH_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0x04000000 67108864
Hinweis In Windows Server 2003-Domäne wurden LOCK_OUT und PASSWORD_EXPIRED durch ein neues Attribut namens ms-DS-User-Account-Control-Computed ersetzt. Weitere Informationen zu diesem neuen Attribut finden Sie auf der folgenden Website:

Flag Beschreibungen

  • Skript - wird das Anmeldeskript ausgeführt werden.
  • ACCOUNTDISABLE - das Benutzerkonto ist deaktiviert.
  • HOMEDIR_REQUIRED - Basisordner ist erforderlich.
  • PASSWD_NOTREQD - Es ist kein Kennwort erforderlich.
  • PASSWD_CANT_CHANGE - der Benutzer kann das Kennwort nicht ändern. Dies ist eine Berechtigung für das Benutzerobjekt. Informationen zum programmgesteuerten Festlegen dieser Berechtigung die folgenden-Website:
  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - der Benutzer kann ein verschlüsseltes Kennwort senden.
  • TEMP_DUPLICATE_ACCOUNT - Dies ist ein Konto für einen Benutzer, dessen primäres Konto sich in einer anderen Domäne befindet. Dieses Konto gewährt den Zugriff auf diese Domäne, aber nicht auf Domänen, die dieser Domäne vertrauen. Dies wird manchmal als ein lokales Benutzerkonto bezeichnet.
  • NORMAL_ACCOUNT - ist dies ein Konto, das einen normalen Benutzer darstellt.
  • INTERDOMAIN_TRUST_ACCOUNT - ist eine Genehmigung, ein Konto für eine Domäne zu vertrauen, die anderen Domänen vertraut.
  • WORKSTATION_TRUST_ACCOUNT - ist dies ein Computerkonto für einen Computer mit Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional oder Windows 2000 Server, der Mitglied dieser Domäne ist.
  • SERVER_TRUST_ACCOUNT - ist dies ein Computerkonto für einen Domänencontroller, der Mitglied dieser Domäne ist.
  • DONT_EXPIRE_PASSWD - stellt das Kennwort für das Konto nie ablaufen soll.
  • MNS_LOGON_ACCOUNT - ist dies ein MNS Anmeldekonto.
  • SMARTCARD_REQUIRED - Wenn diese Option festgelegt ist, muss sich der Anwender mit einer Smartcard anmelden.
  • TRUSTED_FOR_DELEGATION - Wenn dieses Flag festgelegt ist, wird das Dienstkonto (dem Benutzer- oder Computerkonto), unter dem ein Dienst ausgeführt wird, für Kerberos-Delegierung. Dieser Service kann einen Client die Dienstanfragen imitieren. Um einen Dienst für Kerberos-Delegierung zu aktivieren, müssen Sie dieses Flag auf die UserAccountControl -Eigenschaft für das Dienstkonto festlegen.
  • NOT_DELEGATED - Wenn dieses Flag festgelegt ist, der Sicherheitskontext des Benutzers nicht delegiert Dienst, auch wenn das Dienstkonto als festgelegt für Delegierungszwecke.
  • USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) beschränken Sie diesen Prinzipal nur Data Encryption Standard (DES) Verschlüsselungstypen für Schlüssel verwenden.
  • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) dieses Konto erfordert keine Kerberos-Vorauthentifizierung für die Anmeldung.
  • PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) Das Kennwort des Benutzers ist abgelaufen.
  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) dem Konto wird für Delegierungszwecke aktiviert. Dies ist eine sicherheitskritische Einstellung. Konten, die Wenn diese Option aktiviert haben, sollten genau kontrolliert werden. Mit dieser Einstellung können einen Dienst unter dem Konto die Identität des Clients annehmen und als dieser Benutzer auf anderen Remoteservern im Netzwerk authentifizieren.
  • PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008-Windows Server 2008 R2) das Konto ist eine schreibgeschützte Domänencontroller (RODC). Dies ist eine sicherheitskritische Einstellung. Diese Einstellung entfernt von einem RODC beschäftigt auf diesem Server.

UserAccountControl-Werte

Diese sind Werte die Standardwerte UserAccountControl für bestimmte Objekte:
Normale Benutzer: 0 x 200 (512)Domänencontroller: 0x82000 (532480)Workstation/Server: 0 x 1000 (4096)