Use las marcas UserAccountControl para manipular las propiedades de la cuenta de usuario.

  • Artículo

En este artículo se describe información sobre el uso del atributo UserAccountControl para manipular las propiedades de la cuenta de usuario.

Se aplica a: Windows Server 2012 R2 , Windows Server 2016, Windows Server 2019, Windows Server 2022
Número KB original: 305144

Resumen

Al abrir las propiedades de una cuenta de usuario, haga clic en la pestaña Cuenta y luego active o desactive las casillas del cuadro de diálogo Opciones de cuenta, los valores numéricos se asignan al atributo UserAccountControl. El valor asignado al atributo indica a Windows qué opciones se han habilitado.

Para ver las cuentas de usuario, haga clic en Inicio, apunte a Programas, apunte a Herramientas administrativas y luego haga clic en Usuarios y equipos de Active Directory.

Lista de marcas de propiedad

Puede ver y editar estos atributos mediante la herramienta Ldp.exe o el complemento Adsiedit.msc.

En la tabla siguiente se enumeran las posibles marcas que puede asignar. No se pueden establecer algunos de los valores en un objeto de usuario o equipo porque el servicio de directorio solo puede establecer o restablecer estos valores. Ldp.exe muestra los valores en hexadecimal. Adsiedit.msc muestra los valores en decimal. Las marcas son acumulativas. Para deshabilitar la cuenta de un usuario, establezca el atributo UserAccountControl en 0x0202 (0x002 + 0x0200). En decimal, es 514 (2 + 512).

Nota:

Puede editar directamente Active Directory en Ldp.exe y Adsiedit.msc. Solo los administradores experimentados deben usar estas herramientas para editar Active Directory. Ambas herramientas están disponibles después de instalar las herramientas de soporte técnico desde el medio de instalación original de Windows.

Marca de propiedad Valor en hexadecimal Valor en decimal
SCRIPT 0x0001 1
ACCOUNTDISABLE 0x0002 2
HOMEDIR_REQUIRED 0x0008 8
LOCKOUT 0x0010 16
PASSWD_NOTREQD 0x0020 32
PASSWD_CANT_CHANGE

No se puede asignar este permiso al modificar directamente el atributo UserAccountControl. Para obtener información sobre cómo establecer el permiso mediante programación, vea la sección Descripciones de marcas de propiedad.		 0x0040 64
ENCRYPTED_TEXT_PWD_ALLOWED 0x0080 128
TEMP_DUPLICATE_ACCOUNT 0x0100 256
NORMAL_ACCOUNT 0x0200 512
INTERDOMAIN_TRUST_ACCOUNT 0x0800 2048
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
SERVER_TRUST_ACCOUNT 0x2000 8192
DONT_EXPIRE_PASSWORD 0x10000 65536
MNS_LOGON_ACCOUNT 0x20000 131072
SMARTCARD_REQUIRED 0x40000 262144
TRUSTED_FOR_DELEGATION 0x80000 524288
NOT_DELEGATED 0x100000 1048576
USE_DES_KEY_ONLY 0x200000 2097152
DONT_REQ_PREAUTH 0x400000 4194304
PASSWORD_EXPIRED 0x800000 8388608
TRUSTED_TO_AUTH_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0x04000000 67108864

Nota:

En un dominio basado en Windows Server 2003, LOCK_OUT y PASSWORD_EXPIRED se han reemplazado por un nuevo atributo denominado ms-DS-User-Account-Control-Computed. Para obtener más información sobre este nuevo atributo, vea Atributo ms-DS-User-Account-Control-Computed.

Descripciones de marcas de propiedad

  • SCRIPT: se ejecutará el script de inicio de sesión.

  • ACCOUNTDISABLE: la cuenta de usuario está deshabilitada.

  • HOMEDIR_REQUIRED: se requiere la carpeta principal.

  • PASSWD_NOTREQD: no se requiere ninguna contraseña.

  • PASSWD_CANT_CHANGE: el usuario no puede cambiar la contraseña. Es un permiso para el objeto del usuario. Para obtener información sobre cómo establecer este permiso mediante programación, consulte Modificar el usuario no puede cambiar la contraseña (proveedor LDAP).

  • ENCRYPTED_TEXT_PASSWORD_ALLOWED: el usuario puede enviar una contraseña cifrada.

  • TEMP_DUPLICATE_ACCOUNT: es una cuenta para los usuarios cuya cuenta principal está en otro dominio. Esta cuenta proporciona acceso de usuario a este dominio, pero no a ningún dominio que confíe en este dominio. A veces se conoce como una cuenta de usuario local.

  • NORMAL_ACCOUNT: es un tipo de cuenta predeterminado que representa un usuario típico.

  • INTERDOMAIN_TRUST_ACCOUNT: es un permiso para confiar en una cuenta para un dominio del sistema que confía en otros dominios.

  • WORKSTATION_TRUST_ACCOUNT: es una cuenta de equipo para un equipo que ejecuta Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional o Windows 2000 Server y es miembro de este dominio.

  • SERVER_TRUST_ACCOUNT: es una cuenta de equipo para un controlador de dominio que es miembro de este dominio.

  • DONT_EXPIRE_PASSWD: representa la contraseña, que nunca debe expirar en la cuenta.

  • MNS_LOGON_ACCOUNT: es una cuenta de inicio de sesión de MNS.

  • SMARTCARD_REQUIRED: cuando se establece esta marca, obliga al usuario a iniciar sesión con una tarjeta inteligente.

  • TRUSTED_FOR_DELEGATION: cuando se establece esta marca, la cuenta de servicio (la cuenta de usuario o equipo) en la que se ejecuta un servicio es de confianza para la delegación de Kerberos. Cualquier servicio de este tipo puede suplantar a un cliente que solicita el servicio. Para habilitar un servicio para la delegación Kerberos, debe establecer esta marca en la propiedad userAccountControl de la cuenta de servicio.

  • NOT_DELEGATED: cuando se establece esta marca, el contexto de seguridad del usuario no se delega en un servicio, aunque la cuenta de servicio esté establecida como de confianza para la delegación de Kerberos.

  • USE_DES_KEY_ONLY: (Windows 2000/Windows Server 2003) Restringir esta entidad de seguridad para usar solo los tipos de cifrado estándar de cifrado de datos (DES) para las claves.

  • DONT_REQUIRE_PREAUTH: (Windows 2000/Windows Server 2003) Esta cuenta no requiere autenticación previa de Kerberos para iniciar sesión.

  • PASSWORD_EXPIRED: (Windows 2000/Windows Server 2003) La contraseña del usuario ha expirado.

  • TRUSTED_TO_AUTH_FOR_DELEGATION: (Windows 2000/Windows Server 2003) La cuenta está habilitada para la delegación. Es una configuración confidencial de seguridad. Las cuentas que tienen esta opción habilitada deben controlarse estrechamente. Esta configuración permite a un servicio que se ejecuta en la cuenta asumir la identidad de un cliente y autenticarse como ese usuario en otros servidores remotos de la red.

  • PARTIAL_SECRETS_ACCOUNT: (Windows Server 2008/Windows Server 2008 R2) La cuenta es un controlador de dominio de solo lectura (RODC). Es una configuración confidencial de seguridad. Quitar esta configuración de un RODC pone en peligro la seguridad en ese servidor.

Valores de UserAccountControl

Estos son los valores predeterminados de UserAccountControl para determinados objetos:

  • Usuario típico: 0x200 (512)
  • Controlador de dominio: 0x82000 (532480)
  • Estación de trabajo o servidor: 0x1000 (4096)
  • Confianza: 0x820 (2080)

Nota:

Una cuenta de confianza de Windows está exenta de tener una contraseña a través de PASSWD_NOTREQD valor del atributo UserAccountControl porque los objetos de confianza no usan la directiva de contraseña tradicional y los atributos de contraseña de la misma manera que los objetos de usuario y equipo.

Los secretos de confianza se representan mediante atributos especiales en las cuentas de confianza entre dominios, lo que indica la dirección de la confianza. Los secretos de confianza entrantes se almacenan en el atributo trustAuthIncoming, en el lado "de confianza" de una confianza. Los secretos de confianza salientes se almacenan en el atributo trustAuthOutgoing, en el final "de confianza" de una confianza.

  • En el caso de las confianzas bidireccionales, el objeto INTERDOMAIN_TRUST_ACCOUNT de cada lado de la confianza tendrá ambos establecidos.
  • Los secretos de confianza los mantiene el controlador de dominio, que es el rol de operación de patrón único flexible (FSMO) del emulador de controlador de dominio principal (PDC) en el dominio de confianza.
  • Por este motivo, el atributo PASSWD_NOTREQD UserAccountControl se establece de forma predeterminada en las cuentas de INTERDOMAIN_TRUST_ACCOUNT.