UserAccountControl フラグを使用して、ユーザー アカウントのプロパティを操作する方法

適用対象: Windows Server 2008 R2Windows Server 2008Microsoft Windows Server 2003 詳細

概要


ユーザー アカウントのプロパティを開き、アカウント] タブをクリックとしを選択するか、[アカウント オプション] ダイアログ ボックスでチェック ボックスをオフ、 UserAccountControl属性に数値が割り当てられます。属性に割り当てられている値は、どのオプションが有効になっているを Windows に通知します。ユーザー アカウントを表示するのには [スタート] ボタン、プログラム] をポイント[管理ツール] をポイントし、[ Active Directory ユーザーとコンピューター

詳細情報


Ldp.exe ツールまたは Adsiedit.msc スナップインを使用してこれらの属性を閲覧および編集することができます。次の表は、使用可能なフラグを割り当てることができます。これらの値を設定またはディレクトリ サービスのみがリセットすることができますので、ユーザーまたはコンピューター オブジェクトの一部の値を設定できません。Ldp.exe の値が 16 進数で表示されるに注意してください。ファイル名を指定では、10 進数で値が表示されます。フラグは累積されます。ユーザーのアカウントを無効にするには、UserAccountControl属性を0x0202 (0x002 + 0x0200) に設定します。10 進数、これは、514 (2 + 512) です。注: Ldp.exe とファイル名を指定の両方の Active Directory を直接編集することができます。経験豊富な管理者だけでは、Active Directory を編集するのにはこれらのツールを使用する必要があります。両方のツールは、オリジナルの Windows インストール メディアのサポート ツールをインストールした後に使用できます。
プロパティ フラグ 16 進値 10 進値
SCRIPT 0x0001 1
ACCOUNTDISABLE 0x0002 2
HOMEDIR_REQUIRED 0x0008 8
ロックアウト 0x0010 16
PASSWD_NOTREQD 0x0020 32
PASSWD_CANT_CHANGE 注: UserAccountControl属性を直接変更することによって、このアクセス許可を割り当てることはできません。プログラムでアクセス許可を設定する方法の詳細については、「プロパティ フラグの説明」セクションを参照してください。 0x0040 64
ENCRYPTED_TEXT_PWD_ALLOWED 0x0080 128
TEMP_DUPLICATE_ACCOUNT 0x0100 256
NORMAL_ACCOUNT 0x0200 512
INTERDOMAIN_TRUST_ACCOUNT 0x0800 2048
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
SERVER_TRUST_ACCOUNT 0x2000 8192
DONT_EXPIRE_PASSWORD 0x10000 65536
MNS_LOGON_ACCOUNT 0x20000 131072
SMARTCARD_REQUIRED 0x40000 262144
TRUSTED_FOR_DELEGATION 0x80000 524288
NOT_DELEGATED 0x100000 1048576
USE_DES_KEY_ONLY 0x200000 2097152
DONT_REQ_PREAUTH 0x400000 4194304
PASSWORD_EXPIRED 0x800000 8388608
TRUSTED_TO_AUTH_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0x04000000 67108864
注: Windows Server 2003 ベースのドメインでは、については、PASSWORD_EXPIRED に置き換えられました、新しい属性を参照してください。この新しい属性の詳細については、次の Web サイトを参照してください。

プロパティ フラグの説明

  • SCRIPT - ログオン スクリプトが実行されます。
  • ACCOUNTDISABLE - ユーザー アカウントは無効です。
  • HOMEDIR_REQUIRED - ホーム フォルダーが必要です。
  • PASSWD_NOTREQD - パスワードは必要ありません。
  • PASSWD_CANT_CHANGE - ユーザーは、パスワードを変更することはできません。これは、ユーザーのオブジェクトに対するアクセス許可です。プログラムでこのアクセス許可を設定する方法については、次の Web サイトを参照してください。
  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - ユーザーは、暗号化されたパスワードを送信できます。
  • TEMP_DUPLICATE_ACCOUNT - これは、別のドメインでは、プライマリ アカウントがユーザーのアカウントです。このアカウントには、このドメインへのユーザー アクセスが用意されていますが、いない任意のドメインにこのドメインを信頼します。これは、ローカル ユーザー アカウントと呼ばれます。
  • NORMAL_ACCOUNT - これは、一般的なユーザーを表す既定のアカウントの種類です。
  • INTERDOMAIN_TRUST_ACCOUNT - これは、他のドメインを信頼しているシステム ドメインのアカウントを信頼するように許可します。
  • WORKSTATION_TRUST_ACCOUNT - これは、Microsoft Windows NT 4.0 ワークステーション、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional、または Windows 2000 Server を実行しているし、このドメインのメンバーであるコンピューターのコンピューター アカウントです。
  • SERVER_TRUST_ACCOUNT - これは、このドメインのメンバーであるドメイン コント ローラーのコンピューター アカウントです。
  • DONT_EXPIRE_PASSWD - は、アカウントの無期限のパスワードを表します。
  • MNS_LOGON_ACCOUNT - これは、MNS ログオン アカウントです。
  • SMARTCARD_REQUIRED - このフラグが設定されている場合、スマート カードを使用してログオンするユーザーを強制します。
  • TRUSTED_FOR_DELEGATION - このフラグが設定されている場合、サービスを実行するサービス アカウント (ユーザーまたはコンピューター アカウント) は、Kerberos の委任に対して信頼されています。このようなサービスを要求するクライアントを偽装できます。Kerberos の委任のためにサービスを有効にするには、サービス アカウントのuserAccountControlプロパティにこのフラグを設定する必要があります。
  • NOT_DELEGATED: このフラグを設定すると、ユーザーのセキュリティ コンテキストに委任されませんサービスとして、サービス アカウントが設定されていて信頼できる Kerberos 委任のためです。
  • USE_DES_KEY_ONLY - (Windows 2000 または Windows Server 2003) キーのデータ暗号化標準 (DES) 暗号化の種類のみを使用するには、このプリンシパルを制限します。
  • DONT_REQUIRE_PREAUTH - (Windows 2000 または Windows Server 2003) このアカウントにはログオンするために Kerberos 事前認証が不要です。
  • PASSWORD_EXPIRED - (Windows 2000 または Windows Server 2003)、ユーザーのパスワードの有効期限が切れています。
  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000 または Windows Server 2003) アカウントは委任を有効にします。これは、セキュリティ上重要な設定です。このオプションを有効にするアカウントは、厳密に管理する必要があります。この設定には、サービス アカウントで実行がクライアントの id を想定し、ネットワーク上の他のリモート サーバーにそのユーザーとして認証することができます。
  • PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008 または Windows Server 2008 R2) アカウントは、読み取り専用ドメイン コント ローラー (RODC) です。これは、セキュリティ上重要な設定です。そのサーバー上の RODC の侵害セキュリティから、この設定を削除しています。

UserAccountControl 値

これらは、特定のオブジェクトの既定のUserAccountControlの値です。
一般的なユーザー: 0x200 (512)ドメイン コント ローラー: 0x82000 (532480)ワークステーション/サーバー: 0x1000 (4096)