Como utilizar os sinalizadores UserAccountControl para manipular propriedades de conta de usuário
Aplica-se a: Windows Server 2008 R2Windows Server 2008Microsoft Windows Server 2003
Resumo
Quando você abre as propriedades de uma conta de usuário, clique na guia conta e em seguida, marque ou desmarque as caixas de seleção na caixa de diálogo Opções de conta , os valores numéricos são atribuídos ao atributo UserAccountControl. O valor atribuído ao atributo informa ao Windows quais opções foram habilitadas. Para visualizar as contas de usuário, clique em Iniciar, aponte para programas, aponte para Ferramentas administrativase, em seguida, clique em Active Directory Users and Computers.
Informações adicionais
Você pode exibir e editar esses atributos usando a ferramenta de Ldp.exe ou o snap-in ADSIEdit. msc. A tabela a seguir lista os sinalizadores possíveis que você pode atribuir. Pode não ser possível definir alguns dos valores em um objeto de usuário ou computador porque esses valores devem ser definidos ou redefinidos apenas através do serviço de diretório. Observe que Ldp.exe mostra os valores em hexadecimal. ADSIEdit. msc exibe os valores em decimal. Os sinalizadores são cumulativos. Para desativar uma conta de usuário, defina o atributo UserAccountControl para 0x0202 (0x002 + 0x0200). Em decimal, isso é 514 (2 + 512). Observação: Você pode editar diretamente o Active Directory no Ldp.exe e ADSIEdit. msc. Apenas administradores experientes devem usar essas ferramentas para editar o Active Directory. Ambas as ferramentas estão disponíveis depois que você instalar as ferramentas de suporte da mídia de instalação original do Windows.
Sinalizador de propriedade |
Valor em hexadecimal |
Valor decimal |
---|---|---|
SCRIPT |
0x0001 |
1 |
ACCOUNTDISABLE |
0x0002 |
2 |
HOMEDIR_REQUIRED |
0x0008 |
8 |
BLOQUEIO |
0x0010 |
16 |
PASSWD_NOTREQD |
0x0020 |
32 |
PASSWD_CANT_CHANGE Observação: Você não pode atribuir essa permissão modificando diretamente o atributo UserAccountControl . Para obter informações sobre como definir a permissão de forma programática, consulte a seção "Descrições de sinalizador de propriedade". |
0x0040 |
64 |
ENCRYPTED_TEXT_PWD_ALLOWED |
0x0080 |
128 |
TEMP_DUPLICATE_ACCOUNT |
0x0100 |
256 |
NORMAL_ACCOUNT |
0x0200 |
512 |
INTERDOMAIN_TRUST_ACCOUNT |
0x0800 |
2048 |
WORKSTATION_TRUST_ACCOUNT |
0x1000 |
4096 |
SERVER_TRUST_ACCOUNT |
0x2000 |
8192 |
DONT_EXPIRE_PASSWORD |
0x10000 |
65536 |
MNS_LOGON_ACCOUNT |
0x20000 |
131072 |
SMARTCARD_REQUIRED |
0x40000 |
262144 |
TRUSTED_FOR_DELEGATION |
0x80000 |
524288 |
NOT_DELEGATED |
0x100000 |
1048576 |
USE_DES_KEY_ONLY |
0x200000 |
2097152 |
DONT_REQ_PREAUTH |
0x400000 |
4194304 |
PASSWORD_EXPIRED |
0x800000 |
8388608 |
TRUSTED_TO_AUTH_FOR_DELEGATION |
0x1000000 |
16777216 |
PARTIAL_SECRETS_ACCOUNT |
0x04000000 |
67108864 |
Observação: Em um domínio baseado no Windows Server 2003, LOCK_OUT e PASSWORD_EXPIRED foram substituídos por um atributo chamado ms-DS-User-Account-Control-Computed. Para obter mais informações sobre esse novo atributo, visite o seguinte site:
Descrições de sinalizador de propriedade
SCRIPT - script de logon será executado.
ACCOUNTDISABLE - a conta de usuário está desabilitada.
HOMEDIR_REQUIRED - a pasta base é necessária.
PASSWD_NOTREQD - nenhuma senha é necessária.
PASSWD_CANT_CHANGE - o usuário não pode alterar a senha. Isso é uma permissão no objeto do usuário. Para obter informações sobre como definir essa permissão, por programação, visite o seguinte site:
Modificação de usuário não pode alterar a senha (provedor LDAP)
ENCRYPTED_TEXT_PASSWORD_ALLOWED - o usuário pode enviar uma senha criptografada.
TEMP_DUPLICATE_ACCOUNT - esta é uma conta para os usuários cujas contas primárias estão em outro domínio. Essa conta fornece acesso de usuário a este domínio, mas não a qualquer domínio que confia neste domínio. Isso às vezes é conhecido como uma conta de usuário local.
NORMAL_ACCOUNT - este é um tipo de conta padrão que representa um usuário típico.
INTERDOMAIN_TRUST_ACCOUNT - esta é uma permissão para uma conta de um domínio do sistema que confia em outros domínios de confiança.
WORKSTATION_TRUST_ACCOUNT - esta é uma conta de computador para um computador que está executando o Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional ou Windows 2000 Server e é um membro deste domínio.
SERVER_TRUST_ACCOUNT - esta é uma conta de computador para um controlador de domínio que seja membro deste domínio.
DONT_EXPIRE_PASSWD - representa a senha nunca expirará na conta.
MNS_LOGON_ACCOUNT - esta é uma conta de logon MNS.
SMARTCARD_REQUIRED - quando este sinalizador estiver definido, ele força o usuário a fazer logon usando um cartão inteligente.
TRUSTED_FOR_DELEGATION - quando este sinalizador estiver definido, a conta de serviço (a conta de usuário ou computador), na qual um serviço é executado é confiável para delegação de Kerberos. Tais serviços podem representar um cliente solicitando o serviço. Para ativar um serviço para a delegação Kerberos, você deve definir esse sinalizador na propriedade userAccountControl da conta do serviço.
NOT_DELEGATED - quando este sinalizador estiver definido, o contexto de segurança do usuário não é delegado a um serviço, mesmo que a conta de serviço é definida como confiável para delegação de Kerberos.
USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) restringir essa entidade usar tipos de criptografia padrão de criptografia de dados (DES) somente para chaves.
DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) essa conta não exigir pré-autenticação Kerberos para efetuar logon.
PASSWORD_EXPIRED - senha da (Windows 2000/Windows Server 2003) o usuário expirou.
TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) a conta está habilitada para delegação. Essa é uma configuração de segurança. Contas que tenham esta opção habilitada devem ser bem controladas. Essa configuração permite que um serviço que é executado sob a conta assume a identidade do cliente e se autenticar como usuário para outros servidores remotos na rede.
PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008/Windows Server 2008 R2) a conta é um controlador de domínio somente leitura (RODC). Essa é uma configuração de segurança. Removendo essa configuração em um RODC comprometimentos de segurança no servidor.
Valores
de UserAccountControl
Estes são os valores de UserAccountControl padrão para certos objetos:
Usuário típico: 0x200 (512) Controlador de domínio: 0x82000 (532480) Estação de trabalho/servidor: 0x1000 (4096)