사용자 계정 속성을 조작하기 위해 UserAccountControl 플래그를 사용하는 방법

요약

사용자 계정의 속성을 열고 계정 탭을 클릭 한 다음 선택 하거나 확인란의 선택을 취소 하면
계정 옵션 대화 상자, 숫자 값 UserAccountControl 특성에 할당 됩니다. 특성에 할당 된 값 옵션을 사용할 수 있게 Windows를 알려 줍니다.

사용자 계정 정보를 보려면 클릭
시작, 프로그램, 관리 도구차례로 가리킨 다음 Active Directory 사용자 및 컴퓨터를클릭.

자세한 내용

볼 수 있으며 도구 Ldp.exe 또는 Adsiedit.msc 스냅인을 사용 하 여 이러한 속성을 편집할 수 있습니다.

다음 표에서 가능한 플래그를 지정할 수 있습니다. 설정할 수 없습니다 값의 일부를 사용자 또는 컴퓨터 개체에 이러한 값을 설정 하거나 디렉터리 서비스에 의해 다시 설정할 수 있습니다. 참고 Ldp.exe를 16 진수에서 값이 나와 있습니다. Adsiedit.msc 10 진수에서 값을 표시 합니다. 플래그는 누적 됩니다. 사용자의 계정을 사용 하지 않으려면, 0x0202 (0x002 + 0x0200)에 UserAccountControl 특성을 설정 합니다. 10 진수 514 (2 + 512)입니다.

참고: Adsiedit.msc Ldp.exe 및 Active Directory를 직접 편집할 수 있습니다. Active Directory 편집 하려면 숙련 된 관리자만 이러한 도구를 사용 해야 합니다. 두 도구 모두 원래 Windows 설치 미디어에서 지원 도구를 설치한 후 사용할 수 있습니다.
속성 플래그16 진수 값10 진수 값
스크립트0x00011
ACCOUNTDISABLE0x00022
HOMEDIR_REQUIRED0x00088
잠금0x001016
PASSWD_NOTREQD0x002032
PASSWD_CANT_CHANGE
참고: UserAccountControl 특성을 직접 수정 하 여이 사용 권한을 할당할 수 없습니다. 사용 권한을 프로그래밍 방식으로 설정 하는 방법에 대 한 내용은 "속성 플래그 설명" 절을 참조.
0x004064
ENCRYPTED_TEXT_PWD_ALLOWED0x0080128
TEMP_DUPLICATE_ACCOUNT0x0100256
NORMAL_ACCOUNT0x0200512
INTERDOMAIN_TRUST_ACCOUNT0x08002048
WORKSTATION_TRUST_ACCOUNT0x10004096
SERVER_TRUST_ACCOUNT0x20008192
DONT_EXPIRE_PASSWORD0x1000065536
MNS_LOGON_ACCOUNT0x20000131072
SMARTCARD_REQUIRED0x40000262144
TRUSTED_FOR_DELEGATION0x80000524288
NOT_DELEGATED0x1000001048576
USE_DES_KEY_ONLY0x2000002097152
DONT_REQ_PREAUTH0x4000004194304
PASSWORD_EXPIRED0x8000008388608
TRUSTED_TO_AUTH_FOR_DELEGATION0x100000016777216
PARTIAL_SECRETS_ACCOUNT0x04000000 67108864

참고: Windows Server 2003 기반 도메인에서 LOCK_OUT 및 PASSWORD_EXPIRED 대체 되었습니다 ms-DS-User-Account-Control-Computed 라고 하는 새 특성을 사용 하 여. 이 새 특성에 대 한 자세한 내용은 다음 웹 사이트를 방문.

속성 플래그 설명

  • 스크립트-로그온 스크립트가 실행 됩니다.
  • ACCOUNTDISABLE-사용자 계정이 비활성화 됩니다.
  • HOMEDIR_REQUIRED-홈 폴더가 필요 합니다.
  • PASSWD_NOTREQD-암호가 필요 없습니다.
  • PASSWD_CANT_CHANGE-사용자 암호를 변경할 수 없습니다. 사용자 개체에 대 한 사용 권한입니다. 이 사용 권한을 프로그래밍 방식으로 설정 하는 방법에 대 한 내용은 다음 웹 사이트를 방문.
  • ENCRYPTED_TEXT_PASSWORD_ALLOWED-사용자는 암호화 된 암호를 보낼 수 있습니다.
  • TEMP_DUPLICATE_ACCOUNT-주 계정이 다른 도메인에는 사용자 계정입니다. 이 계정은이 도메인에 대 한 사용자 액세스를 제공 하지만 하지이 도메인 트러스트 된 도메인에. 이 로컬 사용자 계정이 라고도 합니다.
  • NORMAL_ACCOUNT-이것은 일반 사용자를 나타내는 기본 계정 유형을입니다.
  • INTERDOMAIN_TRUST_ACCOUNT-이것은 시스템 다른 도메인에서 트러스트 된 도메인의 계정을 신뢰 하도록 허용 합니다.
  • WORKSTATION_TRUST_ACCOUNT-이것은 Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional 또는 Windows 2000 Server를 실행 하 고이 도메인의 구성원 인 컴퓨터에 대 한 컴퓨터 계정입니다.
  • SERVER_TRUST_ACCOUNT-이 도메인의 구성원 인 도메인 컨트롤러의 컴퓨터 계정을 이것이.입니다.
  • DONT_EXPIRE_PASSWD-계정에서 만료 되지 않도록 해야 하는 암호를 나타냅니다.
  • MNS_LOGON_ACCOUNT-MNS 로그온 계정입니다.
  • SMARTCARD_REQUIRED-이 플래그가 설정 된 경우 사용자가 스마트 카드를 사용 하 여 로그온을 강제로.
  • TRUSTED_FOR_DELEGATION-이 플래그가 설정 된 경우 서비스가 실행 되는 서비스 계정 (사용자 또는 컴퓨터 계정) Kerberos 위임에 트러스트 되었습니다. 이러한 서비스는 서비스를 요청 하는 클라이언트를 가장할 수 있습니다. Kerberos 위임에 대 한 서비스를 사용 하려면 서비스 계정의 userAccountControl 속성에 대해이 플래그를 설정 해야 합니다.
  • NOT_DELEGATED-이 플래그가 설정 되 면 사용자의 보안 컨텍스트가 위임 되지 않습니다 Kerberos 위임에 트러스트 서비스 계정으로 설정 된 경우에 서비스.
  • USE_DES_KEY_ONLY-(Windows 2000/Windows Server 2003) 제한 데이터 암호화 표준 (DES) 암호화 유형만 키에 대 한 사용 하 여이 보안 주체입니다.
  • DONT_REQUIRE_PREAUTH-(Windows 2000/Windows Server 2003)이이 계정 로그온에 대 한 Kerberos 사전 인증을 필요 하지 않습니다.
  • PASSWORD_EXPIRED-(Windows 2000/Windows Server 2003) 사용자의 암호가 만료 되었습니다.
  • TRUSTED_TO_AUTH_FOR_DELEGATION-(Windows 2000/Windows Server 2003) 계정 위임에 사용 됩니다. 보안 관련 설정입니다. 이 옵션을 사용 하는 계정은 강력히 제어 해야 합니다. 이 설정은 서비스를 계정에서 실행 되는 클라이언트의 id를 가정 하 고 네트워크에서 다른 원격 서버에 해당 사용자로 인증할 수 있습니다.
  • PARTIAL_SECRETS_ACCOUNT-(Windows Server 2008 또는 Windows Server 2008 R2) 계정에 읽기 전용 도메인 컨트롤러 (RODC)입니다. 보안 관련 설정입니다. 해당 서버의 RODC 손상 보안 프로그램에서이 설정을 제거합니다.

UserAccountControl 값

다음은 특정 개체의 기본 UserAccountControl 값입니다.
일반 사용자: 0x200 (512)
도메인 컨트롤러: 0x82000 (532480)
워크스테이션/서버: 0x1000 (4096)
속성

문서 ID: 305144 - 마지막 검토: 2017. 2. 6. - 수정: 1

피드백