Comment utiliser les indicateurs UserAccountControl pour manipuler les propriétés du compte d’utilisateur


Résumé


Lorsque vous ouvrez les propriétés d’un compte d’utilisateur, cliquez sur l’onglet compte , puis activez ou désactivez les cases à cocher dans le
Boîte de dialogue options de compte , les valeurs numériques sont affectées à l’attribut UserAccountControl . La valeur qui est assignée à l’attribut indique à Windows les options qui ont été activées.

Pour afficher les comptes d’utilisateurs, cliquez sur
Démarrer, pointez sur programmes, pointez sur Outils d’administration, puis cliquez sur ordinateurs et utilisateurs Active Directory.

Plus d'informations


Vous pouvez afficher et modifier ces attributs à l'aide de l'outil Ldp.exe ou du composant logiciel enfichable Adsiedit.msc.

Le tableau suivant présente les indicateurs que vous pouvez affecter. Vous ne pouvez pas définir certaines valeurs sur un objet utilisateur ou ordinateur car ces valeurs peuvent être définies ou réinitialisées uniquement par le service d’annuaire. Notez que Ldp.exe affiche les valeurs au format hexadécimal. Tandis que Adsiedit.msc affiche les valeurs décimales. Les valeurs sont cumulatives. Pour désactiver un compte d’utilisateur, définissez l’attribut UserAccountControl sur 0 x 0202 (0 x 002 + 0 x 0200). En décimal, il s’agit de 514 (2 + 512).

Remarque Vous pouvez modifier directement Active Directory dans Ldp.exe et Adsiedit.msc. Seuls les administrateurs expérimentés doivent utiliser ces outils pour modifier Active Directory. Ces deux outils sont disponibles après avoir installé les outils de Support de votre support d’installation Windows d’origine.
Indicateur de propriétéValeur hexadécimaleValeur décimale
SCRIPT0x00011
ACCOUNTDISABLE0x00022
HOMEDIR_REQUIRED0x00088
LOCKOUT0x001016
PASSWD_NOTREQD0x002032
PASSWD_CANT_CHANGE
Remarque Vous ne pouvez pas affecter cette autorisation en modifiant directement l’attribut UserAccountControl . Pour plus d’informations sur la façon de définir l’autorisation par programme, consultez la section « Description des indicateurs de propriété ».
0x004064
ENCRYPTED_TEXT_PWD_ALLOWED0x0080128
TEMP_DUPLICATE_ACCOUNT0x0100256
NORMAL_ACCOUNT0x0200512
INTERDOMAIN_TRUST_ACCOUNT0x08002048
WORKSTATION_TRUST_ACCOUNT0x10004096
SERVER_TRUST_ACCOUNT0x20008192
DONT_EXPIRE_PASSWORD0x1000065536
MNS_LOGON_ACCOUNT0x20000131072
SMARTCARD_REQUIRED0x40000262144
TRUSTED_FOR_DELEGATION0x80000524288
NOT_DELEGATED0x1000001048576
USE_DES_KEY_ONLY0x2000002097152
DONT_REQ_PREAUTH0x4000004194304
PASSWORD_EXPIRED0x8000008388608
TRUSTED_TO_AUTH_FOR_DELEGATION0x100000016777216
PARTIAL_SECRETS_ACCOUNT0x04000000 67108864

Remarque Dans un domaine Windows Server 2003, LOCK_OUT et PASSWORD_EXPIRED ont été remplacés par un nouvel attribut appelé ms-DS-User-Account-Control-Computed. Pour plus d’informations sur ce nouvel attribut, reportez-vous au site Web suivant :

Description des indicateurs de propriété

  • SCRIPT - le script d’ouverture de session va être exécuté.
  • ACCOUNTDISABLE - le compte d’utilisateur est désactivé.
  • HOMEDIR_REQUIRED : le dossier de base est requis.
  • PASSWD_NOTREQD - Aucun mot de passe n’est requis.
  • PASSWD_CANT_CHANGE - l’utilisateur ne peut pas modifier le mot de passe. Il s’agit d’une autorisation sur l’objet utilisateur. Pour plus d’informations sur la définition par programme de cette autorisation, reportez-vous au site Web suivant :
  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - l’utilisateur peut envoyer un mot de passe crypté.
  • TEMP_DUPLICATE_ACCOUNT - il s’agit d’un compte pour les utilisateurs dont le compte principal est dans un autre domaine. Ce compte fournit l’accès à ce domaine, mais pas à un domaine qui approuve ce domaine. Cela est parfois appelé un compte d’utilisateur local.
  • NORMAL_ACCOUNT - il s’agit d’un type de compte par défaut qui représente un utilisateur typique.
  • INTERDOMAIN_TRUST_ACCOUNT - il s’agit d’une autorisation d’approuver un compte pour un domaine de système qui approuve d’autres domaines.
  • WORKSTATION_TRUST_ACCOUNT - il s’agit d’un compte d’ordinateur pour un ordinateur qui exécute Microsoft Windows NT Workstation 4.0, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professionnel ou Windows 2000 Server et qui est membre de ce domaine.
  • SERVER_TRUST_ACCOUNT - il s’agit d’un compte d’ordinateur d’un contrôleur de domaine qui est membre de ce domaine.
  • DONT_EXPIRE_PASSWD - Indique que le mot de passe n'expire jamais sur le compte.
  • MNS_LOGON_ACCOUNT - il s’agit d’un compte d’ouverture de session MNS.
  • SMARTCARD_REQUIRED - lorsque cet indicateur est défini, il force l’utilisateur à ouvrir une session à l’aide d’une carte à puce.
  • TRUSTED_FOR_DELEGATION - Lorsque cet indicateur est défini, le compte de service (le compte utilisateur ou ordinateur) sous lequel s’exécute un service est approuvé pour la délégation Kerberos. Un tel service peut emprunter l’identité d’un client demandant le service. Pour activer un service pour la délégation Kerberos, vous devez définir cet indicateur dans la propriété userAccountControl du compte de service.
  • NOT_DELEGATED - Lorsque cet indicateur est défini, le contexte de sécurité de l’utilisateur n’est pas délégué à un service, même si le compte de service est défini comme approuvé pour la délégation Kerberos.
  • USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) restreint utiliser uniquement les types de cryptage Standard DES (Data Encryption) pour les clés.
  • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) ce compte ne nécessite pas la pré-authentification Kerberos pour l’ouverture de session.
  • PASSWORD_EXPIRED - mot de passe de l'utilisateur a expire (Windows 2000/Windows Server 2003).
  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) le compte est activé pour la délégation. Il s’agit d’un paramètre de sécurité sensibles. Comptes ayant cette option activée doivent être étroitement contrôlés. Ce paramètre permet à un service s’exécute sous le compte d’assumer l’identité d’un client qu’authentifier en tant qu’utilisateur vers des serveurs distants sur le réseau.
  • PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008/Windows Server 2008 R2) le compte est un contrôleur de domaine en lecture seule (RODC). Il s’agit d’un paramètre de sécurité sensibles. Suppression de ce paramètre à partir d’une RODC compromet la sécurité sur ce serveur.

Valeurs UserAccountControl

Voici les valeurs UserAccountControl par défaut pour certains objets :
Utilisateur par défaut : 0 x 200 (512)
Contrôleur de domaine : 0x82000 (532480)
Station de travail/serveur : 0 x 1000 (4096)