Como utilizar os sinalizadores UserAccountControl para manipular propriedades de conta de usuário

Aplica-se a: Windows Server 2008 R2Windows Server 2008Microsoft Windows Server 2003

Resumo


Quando você abre as propriedades de uma conta de usuário, clique na guia conta e em seguida, marque ou desmarque as caixas de seleção na caixa de diálogo Opções de conta , os valores numéricos são atribuídos ao atributo UserAccountControl. O valor atribuído ao atributo informa ao Windows quais opções foram habilitadas.Para visualizar as contas de usuário, clique em Iniciar, aponte para programas, aponte para Ferramentas administrativase, em seguida, clique em Active Directory Users and Computers.

Informações adicionais


Você pode exibir e editar esses atributos usando a ferramenta de Ldp.exe ou o snap-in ADSIEdit. msc.A tabela a seguir lista os sinalizadores possíveis que você pode atribuir. Pode não ser possível definir alguns dos valores em um objeto de usuário ou computador porque esses valores devem ser definidos ou redefinidos apenas através do serviço de diretório. Observe que Ldp.exe mostra os valores em hexadecimal. ADSIEdit. msc exibe os valores em decimal. Os sinalizadores são cumulativos. Para desativar uma conta de usuário, defina o atributo UserAccountControl para 0x0202 (0x002 + 0x0200). Em decimal, isso é 514 (2 + 512).Observação: Você pode editar diretamente o Active Directory no Ldp.exe e ADSIEdit. msc. Apenas administradores experientes devem usar essas ferramentas para editar o Active Directory. Ambas as ferramentas estão disponíveis depois que você instalar as ferramentas de suporte da mídia de instalação original do Windows.
Sinalizador de propriedade Valor em hexadecimal Valor decimal
SCRIPT 0x0001 1
ACCOUNTDISABLE 0x0002 2
HOMEDIR_REQUIRED 0x0008 8
BLOQUEIO 0x0010 16
PASSWD_NOTREQD 0x0020 32
PASSWD_CANT_CHANGE Observação: Você não pode atribuir essa permissão modificando diretamente o atributo UserAccountControl . Para obter informações sobre como definir a permissão de forma programática, consulte a seção "Descrições de sinalizador de propriedade". 0x0040 64
ENCRYPTED_TEXT_PWD_ALLOWED 0x0080 128
TEMP_DUPLICATE_ACCOUNT 0x0100 256
NORMAL_ACCOUNT 0x0200 512
INTERDOMAIN_TRUST_ACCOUNT 0x0800 2048
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
SERVER_TRUST_ACCOUNT 0x2000 8192
DONT_EXPIRE_PASSWORD 0x10000 65536
MNS_LOGON_ACCOUNT 0x20000 131072
SMARTCARD_REQUIRED 0x40000 262144
TRUSTED_FOR_DELEGATION 0x80000 524288
NOT_DELEGATED 0x100000 1048576
USE_DES_KEY_ONLY 0x200000 2097152
DONT_REQ_PREAUTH 0x400000 4194304
PASSWORD_EXPIRED 0x800000 8388608
TRUSTED_TO_AUTH_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0x04000000 67108864
Observação: Em um domínio baseado no Windows Server 2003, LOCK_OUT e PASSWORD_EXPIRED foram substituídos por um atributo chamado ms-DS-User-Account-Control-Computed. Para obter mais informações sobre esse novo atributo, visite o seguinte site:

Descrições de sinalizador de propriedade

  • SCRIPT - script de logon será executado.
  • ACCOUNTDISABLE - a conta de usuário está desabilitada.
  • HOMEDIR_REQUIRED - a pasta base é necessária.
  • PASSWD_NOTREQD - nenhuma senha é necessária.
  • PASSWD_CANT_CHANGE - o usuário não pode alterar a senha. Isso é uma permissão no objeto do usuário. Para obter informações sobre como definir essa permissão, por programação, visite o seguinte site:
  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - o usuário pode enviar uma senha criptografada.
  • TEMP_DUPLICATE_ACCOUNT - esta é uma conta para os usuários cujas contas primárias estão em outro domínio. Essa conta fornece acesso de usuário a este domínio, mas não a qualquer domínio que confia neste domínio. Isso às vezes é conhecido como uma conta de usuário local.
  • NORMAL_ACCOUNT - este é um tipo de conta padrão que representa um usuário típico.
  • INTERDOMAIN_TRUST_ACCOUNT - esta é uma permissão para uma conta de um domínio do sistema que confia em outros domínios de confiança.
  • WORKSTATION_TRUST_ACCOUNT - esta é uma conta de computador para um computador que está executando o Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional ou Windows 2000 Server e é um membro deste domínio.
  • SERVER_TRUST_ACCOUNT - esta é uma conta de computador para um controlador de domínio que seja membro deste domínio.
  • DONT_EXPIRE_PASSWD - representa a senha nunca expirará na conta.
  • MNS_LOGON_ACCOUNT - esta é uma conta de logon MNS.
  • SMARTCARD_REQUIRED - quando este sinalizador estiver definido, ele força o usuário a fazer logon usando um cartão inteligente.
  • TRUSTED_FOR_DELEGATION - quando este sinalizador estiver definido, a conta de serviço (a conta de usuário ou computador), na qual um serviço é executado é confiável para delegação de Kerberos. Tais serviços podem representar um cliente solicitando o serviço. Para ativar um serviço para a delegação Kerberos, você deve definir esse sinalizador na propriedade userAccountControl da conta do serviço.
  • NOT_DELEGATED - quando este sinalizador estiver definido, o contexto de segurança do usuário não é delegado a um serviço, mesmo que a conta de serviço é definida como confiável para delegação de Kerberos.
  • USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) restringir essa entidade usar tipos de criptografia padrão de criptografia de dados (DES) somente para chaves.
  • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) essa conta não exigir pré-autenticação Kerberos para efetuar logon.
  • PASSWORD_EXPIRED - senha da (Windows 2000/Windows Server 2003) o usuário expirou.
  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) a conta está habilitada para delegação. Essa é uma configuração de segurança. Contas que tenham esta opção habilitada devem ser bem controladas. Essa configuração permite que um serviço que é executado sob a conta assume a identidade do cliente e se autenticar como usuário para outros servidores remotos na rede.
  • PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008/Windows Server 2008 R2) a conta é um controlador de domínio somente leitura (RODC). Essa é uma configuração de segurança. Removendo essa configuração em um RODC comprometimentos de segurança no servidor.

Valores de UserAccountControl

Estes são os valores de UserAccountControl padrão para certos objetos:
Usuário típico: 0x200 (512)Controlador de domínio: 0x82000 (532480)Estação de trabalho/servidor: 0x1000 (4096)