AD 用户属性userAccountControl的详细解释
2014-11-19 15:41
579 查看
经常使用CSVDE
DSADD工具批量修改导入汇出AD账号,一直对userAccountControl的详细含义不是很清楚,
userAccountControl记录了用户的AD账号的很多属性信息,是一组16进制数?
该属性标志是累积性的。若要禁用用户的帐户,请将 UserAccountControl
属性设置为 0x0202 (0x002 + 0x0200)。在十进制中,它是 514 (2 + 512)。
Microsoft官方网站有详尽的解释。
但有时汇出的资料并不完全都是下面的数值,经常会出现514、66048等不在下列列表中的数值。
哈哈。。。看到“该属性标志是累积性的”的意思大家应该明白了。514可以看成是512+2 ,66048可以看成是65536+512
对应最后的解释,所以:
514=512+2=账号存在且关闭
66045=65536+512=密码永不过期+账号正常
属性标志说明
SCRIPT - 将运行登录脚本。
ACCOUNTDISABLE - 禁用用户帐户。
HOMEDIR_REQUIRED - 需要主文件夹。
PASSWD_NOTREQD - 不需要密码。
PASSWD_CANT_CHANGE - 用户不能更改密码。可以读取此标志,但不能直接设置它。
ENCRYPTED_TEXT_PASSWORD_ALLOWED - 用户可以发送加密的密码。
TEMP_DUPLICATE_ACCOUNT - 此帐户属于其主帐户位于另一个域中的用户。此帐户为用户提供访问该域的权限,但不提供访问信任该域的任何域的权限。有时将这种帐户称为“本地用户帐户”。
NORMAL_ACCOUNT - 这是表示典型用户的默认帐户类型。
INTERDOMAIN_TRUST_ACCOUNT - 对于信任其他域的系统域,此属性允许信任该系统域的帐户。
WORKSTATION_TRUST_ACCOUNT - 这是运行 Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional 或 Windows 2000 Server 并且属于该域的计算机的计算机帐户。
SERVER_TRUST_ACCOUNT - 这是属于该域的域控制器的计算机帐户。
DONT_EXPIRE_PASSWD - 表示在该帐户上永远不会过期的密码。
MNS_LOGON_ACCOUNT - 这是 MNS 登录帐户。
SMARTCARD_REQUIRED - 设置此标志后,将强制用户使用智能卡登录。
TRUSTED_FOR_DELEGATION - 设置此标志后,将信任运行服务的服务帐户(用户或计算机帐户)进行 Kerberos 委派。任何此类服务都可模拟请求该服务的客户端。若要允许服务进行 Kerberos 委派,必须在服务帐户的userAccountControl
属性上设置此标志。
NOT_DELEGATED - 设置此标志后,即使将服务帐户设置为信任其进行 Kerberos 委派,也不会将用户的安全上下文委派给该服务。
USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) 将此用户限制为仅使用数据加密标准 (DES) 加密类型的密钥。
DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 此帐户在登录时不需要进行 Kerberos 预先验证。
PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) 用户的密码已过期。
TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 允许该帐户进行委派。这是一个与安全相关的设置。应严格控制启用此选项的帐户。此设置允许该帐户运行的服务冒充客户端的身份,并作为该用户接受网络上其他远程服务器的身份验证。
DSADD工具批量修改导入汇出AD账号,一直对userAccountControl的详细含义不是很清楚,
userAccountControl记录了用户的AD账号的很多属性信息,是一组16进制数?
该属性标志是累积性的。若要禁用用户的帐户,请将 UserAccountControl
属性设置为 0x0202 (0x002 + 0x0200)。在十进制中,它是 514 (2 + 512)。
Microsoft官方网站有详尽的解释。
但有时汇出的资料并不完全都是下面的数值,经常会出现514、66048等不在下列列表中的数值。
哈哈。。。看到“该属性标志是累积性的”的意思大家应该明白了。514可以看成是512+2 ,66048可以看成是65536+512
对应最后的解释,所以:
514=512+2=账号存在且关闭
66045=65536+512=密码永不过期+账号正常
| 属性标志 | 十六进制值 | 十进制值 |
| SCRIPT | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| LOCKOUT | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE | 0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
SCRIPT - 将运行登录脚本。
ACCOUNTDISABLE - 禁用用户帐户。
HOMEDIR_REQUIRED - 需要主文件夹。
PASSWD_NOTREQD - 不需要密码。
PASSWD_CANT_CHANGE - 用户不能更改密码。可以读取此标志,但不能直接设置它。
ENCRYPTED_TEXT_PASSWORD_ALLOWED - 用户可以发送加密的密码。
TEMP_DUPLICATE_ACCOUNT - 此帐户属于其主帐户位于另一个域中的用户。此帐户为用户提供访问该域的权限,但不提供访问信任该域的任何域的权限。有时将这种帐户称为“本地用户帐户”。
NORMAL_ACCOUNT - 这是表示典型用户的默认帐户类型。
INTERDOMAIN_TRUST_ACCOUNT - 对于信任其他域的系统域,此属性允许信任该系统域的帐户。
WORKSTATION_TRUST_ACCOUNT - 这是运行 Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional 或 Windows 2000 Server 并且属于该域的计算机的计算机帐户。
SERVER_TRUST_ACCOUNT - 这是属于该域的域控制器的计算机帐户。
DONT_EXPIRE_PASSWD - 表示在该帐户上永远不会过期的密码。
MNS_LOGON_ACCOUNT - 这是 MNS 登录帐户。
SMARTCARD_REQUIRED - 设置此标志后,将强制用户使用智能卡登录。
TRUSTED_FOR_DELEGATION - 设置此标志后,将信任运行服务的服务帐户(用户或计算机帐户)进行 Kerberos 委派。任何此类服务都可模拟请求该服务的客户端。若要允许服务进行 Kerberos 委派,必须在服务帐户的userAccountControl
属性上设置此标志。
NOT_DELEGATED - 设置此标志后,即使将服务帐户设置为信任其进行 Kerberos 委派,也不会将用户的安全上下文委派给该服务。
USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) 将此用户限制为仅使用数据加密标准 (DES) 加密类型的密钥。
DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 此帐户在登录时不需要进行 Kerberos 预先验证。
PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) 用户的密码已过期。
TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 允许该帐户进行委派。这是一个与安全相关的设置。应严格控制启用此选项的帐户。此设置允许该帐户运行的服务冒充客户端的身份,并作为该用户接受网络上其他远程服务器的身份验证。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- AD 用户属性userAccountControl的详细解释
- AD 用户属性userAccountControl的详细解释
- AD中用户帐户属性userAccountControl
- AD中用户帐户属性userAccountControl
- AD中用户帐户属性userAccountControl
- 如何使用 UserAccountControl 标志操纵用户帐户属性
- AD:UserAccountControl基本属性、功能对照、常见功能组合
- Windows Vista User Account Control (UAC) 全新安全模块“用户帐户控制”
- Windows Vista应用程序的开发中,对应UAC(User Account Control, 用户帐户控制)的开发需求 (三)
- UserAccountControl属性
- Windows Vista for Developers——第四部分:用户帐号控制(User Account Control,UAC)
- Windows Vista for Developers——第四部分:用户帐号控制(User Account Control,UAC)
- Winform应用程序加入UAC(User Account Control)用户账户控制
- Windows Vista应用程序的开发中,对应UAC(User Account Control, 用户帐户控制)的开发需求 (一)
- Win userAccountControl 基本属性
- AD账户userAccountControl属性值为544
- Windows Vista for Developers——第四部分:用户帐号控制(User Account Control,UAC)
- Windows Vista for Developers——第四部分:用户帐号控制(User Account Control,UAC)
- AD开发用户(User)属性完全手册(AD User)
- Windows Vista User Account Control (UAC) 全新安全模块“用户帐户控制”