Использование флагов UserAccountControl для управления свойствами учетной записи пользователя

  • Статья

В этой статье содержится информация об использовании атрибута UserAccountControl для управления свойствами учетной записи пользователя.

Область применения: Windows Server 2012 R2 , Windows Server 2016, Windows Server 2019, Windows Server 2022
Оригинальный номер базы знаний: 305144

Аннотация

При открытии свойств учетной записи пользователя откройте вкладку "Учетная запись", а затем установите или снимите флажки в диалоговом окне "Параметры учетной записи", числовые значения присваиваются атрибуту UserAccountControl. Значение, назначенное атрибуту, сообщает системе Windows о том, какие параметры были активированы.

Чтобы посмотреть учетные записи пользователя, нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory — пользователи и компьютеры.

Список флагов свойств

Эти атрибуты можно просмотреть и изменить с помощью средства Ldp.exe или оснастки Adsiedit.msc.

В следующей таблице перечислены возможные флаги, которые можно назначить. Вы не можете задать некоторые значения для объекта пользователя или компьютера, так как эти значения могут быть заданы или сброшены только службой каталогов. Значения Ldp.exe отображаются в шестнадцатеричном формате. Значения Adsiedit.msc отображает в десятичном формате. Флаги являются накопительными. Чтобы отключить учетную запись пользователя, задайте для атрибута UserAccountControl значение 0x0202 (0x002 + 0x0200). В десятичном формате это 514 (2 + 512).

Примечание.

Active Directory можно редактировать непосредственно в Ldp.exe и Adsiedit.msc. Только опытные администраторы должны использовать эти средства для изменения Active Directory. Оба средства доступны после установки средств поддержки с исходного установщика Windows.

Флаг свойства Значение в шестнадцатеричном формате Значение в десятичном формате
SCRIPT 0x0001 1
ACCOUNTDISABLE 0x0002 2
HOMEDIR_REQUIRED 0x0008 8
LOCKOUT 0x0010 16
PASSWD_NOTREQD 0x0020 32
PASSWD_CANT_CHANGE

Это разрешение нельзя назначить путем непосредственного изменения атрибута UserAccountControl. Сведения о том, как задать разрешение программным способом, см. в разделе Описание флагов свойств.		 0x0040 64
ENCRYPTED_TEXT_PWD_ALLOWED 0x0080 128
TEMP_DUPLICATE_ACCOUNT 0x0100 256
NORMAL_ACCOUNT. 0x0200 512
INTERDOMAIN_TRUST_ACCOUNT 0x0800 2048
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
SERVER_TRUST_ACCOUNT 0x2000 8192
DONT_EXPIRE_PASSWORD 0x10000 65536
MNS_LOGON_ACCOUNT 0x20000 131072
SMARTCARD_REQUIRED 0x40000 262144
TRUSTED_FOR_DELEGATION 0x80000 524288
NOT_DELEGATED 0x100000 1048576
USE_DES_KEY_ONLY 0x200000 2097152
DONT_REQ_PREAUTH 0x400000 4194304
PASSWORD_EXPIRED 0x800000 8388608
TRUSTED_TO_AUTH_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0x04000000 67108864

Примечание.

В домене под управлением Windows Server 2003 LOCK_OUT и PASSWORD_EXPIRED были заменены новым атрибутом ms-DS-User-Account-Control-Computed. Дополнительные сведения об этом новом атрибуте см. в описании атрибута ms-DS-User-Account-Control-Computed.

Описания флагов свойств

  • SCRIPT — сценарий входа будет выполняться.

  • ACCOUNTDISABLE — учетная запись пользователя отключена.

  • HOMEDIR_REQUIRED — требуется домашняя папка.

  • PASSWD_NOTREQD - пароль не требуется.

  • PASSWD_CANT_CHANGE — пользователь не может изменить пароль. Это разрешение на объект пользователя. Сведения о том, как программно задать это разрешение, см. в разделе Изменение "Пользователь не может изменить пароль" (поставщик LDAP)".

  • ENCRYPTED_TEXT_PASSWORD_ALLOWED — пользователь может отправить зашифрованный пароль.

  • TEMP_DUPLICATE_ACCOUNT — это учетная запись для пользователей, основная учетная запись которых находится в другом домене. Эта учетная запись предоставляет пользователю доступ к этому домену, но не к доменам, которые доверяют этому домену. Иногда его называют локальной учетной записью пользователя.

  • NORMAL_ACCOUNT — это тип учетной записи по умолчанию, представляющий обычного пользователя.

  • INTERDOMAIN_TRUST_ACCOUNT — это разрешение на доверие учетной записи для системного домена, который доверяет другим доменам.

  • WORKSTATION_TRUST_ACCOUNT — это учетная запись компьютера под управлением рабочей станции Microsoft Windows NT 4.0, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional или Windows 2000 Server, который является членом этого домена.

  • SERVER_TRUST_ACCOUNT — это учетная запись компьютера для контроллера домена, который является членом этого домена.

  • DONT_EXPIRE_PASSWD — представляет пароль учетной записи, срок действия которого не должен истекать.

  • MNS_LOGON_ACCOUNT — это учетная запись для входа в MNS.

  • SMARTCARD_REQUIRED. Если этот флаг установлен, пользователь должен войти в систему с помощью смарт-карты.

  • TRUSTED_FOR_DELEGATION. Если этот флаг установлен, учетная запись службы (учетная запись пользователя или компьютера), под которой выполняется служба, является доверенной для делегирования Kerberos. Любая такая служба может олицетворять клиента, запрашивающего службу. Чтобы включить службу для делегирования Kerberos, необходимо установить этот флаг в свойстве userAccountControl учетной записи службы.

  • NOT_DELEGATED. Если этот флаг установлен, контекст безопасности пользователя не делегирован службе, даже если учетная запись службы настроена как доверенная для делегирования Kerberos.

  • USE_DES_KEY_ONLY - (Windows 2000 или Windows Server 2003) ограничить этот субъект использованием только типов шифрования DES (стандарт шифрования данных) для ключей.

  • DONT_REQUIRE_PREAUTH - (Windows 2000 или Windows Server 2003) эта учетная запись не требует предварительной проверки подлинности Kerberos для входа в систему.

  • PASSWORD_EXPIRED - (Windows 2000 или Windows Server 2003) истек срок действия пароля пользователя.

  • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000 или Windows Server 2003) учетная запись включена для делегирования. Это параметр чувствителен к обеспечению безопасности. Учетные записи, для которых включен этот параметр, должны строго контролироваться. Этот параметр позволяет службе, которая выполняется под учетной записью, использовать удостоверение клиента и выполнять проверку подлинности от имени этого пользователя на других удаленных серверах в сети.

  • PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008 или Windows Server 2008 R2) — учетная запись является контроллером домена только для чтения (RODC). Это параметр чувствителен к обеспечению безопасности. Удаление этого параметра из RODC скомпрометирует безопасность на этом сервере.

Значения UserAccountControl

Ниже приведены значения UserAccountControl по умолчанию для определенных объектов:

  • Обычный пользователь: 0x200 (512)
  • Контроллер домена: 0x82000 (532480)
  • Рабочая станция или сервер: 0x1000 (4096)
  • Доверие: 0x820 (2080)

Примечание.

Учетная запись доверия Windows не может использовать пароль через PASSWD_NOTREQD значение атрибута UserAccountControl, так как объекты доверия не используют традиционную политику паролей и атрибуты пароля так же, как объекты пользователя и компьютера.

Секреты доверия представлены специальными атрибутами в междоменовых учетных записях доверия, указывающими направление доверия. Входящие секреты доверия хранятся в атрибуте trustAuthIncoming на стороне доверия. Исходящие секреты доверия хранятся в атрибуте trustAuthOutgoing на конце доверия.

  • Для двустороннего отношения доверия INTERDOMAIN_TRUST_ACCOUNT объект на каждой стороне доверия будет иметь оба значения.
  • Секреты доверия поддерживаются контроллером домена, который является ролью основного контроллера домена (PDC) эмулятора Гибкой операции с одним хозяином (FSMO) в доверенном домене.
  • По этой причине атрибут UserAccountControl PASSWD_NOTREQD по умолчанию задается для INTERDOMAIN_TRUST_ACCOUNT учетных записей.