Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để sử dụng UserAccountControl cờ để thao tác thuộc tính trương mục người dùng

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:305144
TÓM TẮT
Khi bạn mở thuộc tính cho một tài khoản người dùng, bấm vào các Tài khoản tab, và sau đó chọn hoặc xoá hộp kiểm ở các Tuỳ chọn tài khoản hộp thoại, các giá trị số được gán cho các UserAccountControl thuộc tính. Giá trị được gán cho các thuộc tính cho Cửa sổ tùy chọn nào được bật.

Để xem các tài khoản người dùng, nhấp vào Bắt đầu, điểm đến Chương trình, điểm đến Công cụ quản trị, sau đó bấm Người dùng thư mục hoạt động và Máy vi tính.
THÔNG TIN THÊM
Bạn có thể xem và chỉnh sửa các thuộc tính này bằng cách sử dụng một trong hai các Công cụ LDP.exe hoặc Adsiedit.msc-theo.

Danh sách bảng sau đây lá cờ có thể mà bạn có thể chỉ định. Bạn không thể đặt một số giá trị trên một người sử dụng hoặc máy tính đối tượng vì những giá trị này có thể được thiết lập hoặc đặt lại chỉ bằng các dịch vụ thư mục. Lưu ý rằng Ldp.exe hiển thị các giá trị trong hệ thập lục phân. Adsiedit.msc hiển thị các giá trị trong hệ thập phân. Những lá cờ được tích lũy. Để vô hiệu hóa tài khoản của người dùng, đặt các UserAccountControl thuộc tính cho 0x0202 (0x002 + 0x0200). Trong thập phân, đây là 514 (2 + 512).

Chú ý Bạn có thể trực tiếp chỉnh sửa thư mục đang hoạt động trong cả hai Ldp.exe và Adsiedit.msc. chỉ có kinh nghiệm quản trị viên nên sử dụng những công cụ để chỉnh sửa Thư mục hoạt động. Cả hai công cụ có sẵn sau khi bạn cài đặt các công cụ hỗ trợ từ bản gốc của bạn chứa trình cài đặt Windows.
Quốc kỳ bất động sảnCó giá trị trong hệ thập lục phânCó giá trị trong thập phân
KỊCH BẢN0x00011
ACCOUNTDISABLE0x00022
HOMEDIR_REQUIRED0x00088
KHÓA0x001016
PASSWD_NOTREQD0x002032
PASSWD_CANT_CHANGE
Chú ý Bạn không thể chỉ định quyền này bằng cách sửa đổi trực tiếp các UserAccountControl thuộc tính. Thông tin về cách thiết lập sự cho phép lập trình, hãy xem phần "Mô tả cờ bất động sản".
0x004064
ENCRYPTED_TEXT_PWD_ALLOWED0x0080128
TEMP_DUPLICATE_ACCOUNT0x0100256
NORMAL_ACCOUNT0x0200512
INTERDOMAIN_TRUST_ACCOUNT0x08002048
WORKSTATION_TRUST_ACCOUNT0x10004096
SERVER_TRUST_ACCOUNT0x20008192
DONT_EXPIRE_PASSWORD0x1000065536
MNS_LOGON_ACCOUNT0x20000131072
SMARTCARD_REQUIRED0x40000262144
TRUSTED_FOR_DELEGATION0x80000524288
NOT_DELEGATED0x1000001048576
USE_DES_KEY_ONLY0x2000002097152
DONT_REQ_PREAUTH0x4000004194304
PASSWORD_EXPIRED0x8000008388608
TRUSTED_TO_AUTH_FOR_DELEGATION0x100000016777216
PARTIAL_SECRETS_ACCOUNT0x04000000 67108864

Chú ý Trong một phạm vi dựa trên Windows Server 2003, LOCK_OUT và PASSWORD_EXPIRED đã được thay thế bằng một thuộc tính mới được gọi là ms-DS-User-Account-Control-Computed. Để biết thêm chi tiết về thuộc tính mới này, ghé thăm Web site sau:

Mô tả cờ bất động sản

  • Kịch bản - kịch bản đăng nhập sẽ được chạy.
  • ACCOUNTDISABLE - trương mục người dùng bị vô hiệu hóa.
  • HOMEDIR_REQUIRED - thư mục nhà là bắt buộc.
  • PASSWD_NOTREQD - không có mật khẩu không cần thiết.
  • PASSWD_CANT_CHANGE - người dùng không thể thay đổi mật khẩu. Điều này là một phép trên đối tượng người sử dụng. Thông tin về làm thế nào để lập trình thiết lập này sự cho phép, ghé thăm Web site sau:
  • ENCRYPTED_TEXT_PASSWORD_ALLOWED - người dùng có thể gửi một mật khẩu được mật mã hóa.
  • TEMP_DUPLICATE_ACCOUNT - đây là một tài khoản cho người dùng có tài khoản chính là ở vùng khác. Trương mục này cung cấp cho người dùng truy cập vào đây tên miền, nhưng không phải bất kỳ tên miền tín thác tên miền này. Đây là đôi khi được gọi là một tài khoản người dùng cục bộ.
  • NORMAL_ACCOUNT - đây là mặc định một tài khoản loại đó đại diện cho một người sử dụng điển hình.
  • INTERDOMAIN_TRUST_ACCOUNT - đây là một giấy phép để tin tưởng một tài khoản cho một tên miền hệ thống tín thác các tên miền khác.
  • WORKSTATION_TRUST_ACCOUNT - đây là một tài khoản máy tính cho một máy tính đang chạy Microsoft Windows NT 4.0 máy trạm, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional hoặc Windows 2000 Máy chủ và là thành viên của tên miền này.
  • SERVER_TRUST_ACCOUNT - đây là một tài khoản máy tính cho một điều khiển vùng là một thành viên của tên miền này.
  • DONT_EXPIRE_PASSWD - đại diện cho mật khẩu nên không bao giờ hết hạn trong tài khoản.
  • MNS_LOGON_ACCOUNT - đây là một tài khoản đăng nhập MNS.
  • SMARTCARD_REQUIRED - khi lá cờ này được thiết lập, nó buộc các người sử dụng để đăng nhập vào bằng cách sử dụng thẻ thông minh.
  • TRUSTED_FOR_DELEGATION - khi lá cờ này được thiết lập, các dịch vụ tài khoản (người dùng hay máy tính tài khoản) theo đó một dịch vụ chạy là đáng tin cậy cho Kerberos đoàn. Bất kỳ dịch vụ nào như vậy có thể mạo danh một khách hàng yêu cầu các dịch vụ. Để kích hoạt một dịch vụ cho Kerberos đoàn đại biểu, bạn phải đặt này đánh dấu vào các userAccountControl bất động sản của tài khoản dịch vụ.
  • NOT_DELEGATED - khi lá cờ này được thiết lập, bối cảnh an ninh của người sử dụng không phải giao cho một dịch vụ ngay cả khi tài khoản dịch vụ được thiết lập như tin tưởng cho đoàn đại biểu Kerberos.
  • USE_DES_KEY_ONLY-(Windows 2000/Windows Server 2003) Hạn chế này chủ yếu dùng chỉ mật mã hóa dữ liệu mã hóa tiêu chuẩn (DES) các loại cho các phím.
  • DONT_REQUIRE_PREAUTH-(Windows 2000/Windows Server 2003) Trương mục này không đòi hỏi Kerberos pre-authentication đăng nhập ngày.
  • PASSWORD_EXPIRED-(Windows 2000/Windows Server 2003) các mật khẩu của người dùng đã hết hạn.
  • TRUSTED_TO_AUTH_FOR_DELEGATION-(Windows 2000/Windows Server 2003) các tài khoản được kích hoạt cho đoàn đại biểu. Đây là một thiết lập bảo mật-nhạy cảm. Tài khoản có tùy chọn này được kích hoạt nên được kiểm soát chặt chẽ. Thiết đặt này cho phép một dịch vụ chạy dưới tài khoản giả định danh tính của một khách hàng và xác thực như người dùng đó để các máy chủ từ xa khác trên mạng.
  • PARTIAL_SECRETS_ACCOUNT-(Windows Server 2008/Windows Server 2008 R2) tài khoản là điều khiển vùng chỉ đọc (RODC). Đây là một thiết lập bảo mật-nhạy cảm. Gỡ bỏ cài đặt này từ một RODC thỏa hiệp bảo mật trên máy chủ đó.

Các giá trị UserAccountControl

Đây là mặc định UserAccountControl giá trị cho các đối tượng nhất định:
Điển hình người dùng: 0x200 (512)
Điều khiển vùng: 0x82000 (532480)
Trạm làm việc/máy chủ: 0x1000 (4096)
hết hạn thay đổi điều khiển

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 305144 - Xem lại Lần cuối: 08/27/2011 17:33:00 - Bản sửa đổi: 2.0

, , , , , , , , , , ,

  • kbenv kbinfo kbmt KB305144 KbMtvi
Phản hồi