如何使用 UserAccountControl 标志操纵用户帐户属性
转载: http://support.microsoft.com/kb/305144
概要
在打开用户帐户的属性后,单击帐户选项卡,然后选中或清除“帐户选项”对话框中的复选框,则会将数值分配给 UserAccountControl 属性。分配给该属性的值通知 Windows 已启用了哪些选项。
要查看用户帐户,请单击开始,指向程序,指向管理工具,然后单击“Active Directory 用户和计算机”。
更多信息
可以使用 Ldp.exe 工具或 Adsiedit.msc 管理单元来查看和编辑这些属性。
下表列出了可以分配的标志。不能针对用户或计算机对象设置某些值,原因是这些值只能由目录服务设置或重置。请注意,Ldp.exe 显示十六进制值,而 Adsiedit.msc 显示十进制值。标志是累积性的。若要禁用用户的帐户,请将 UserAccountControl 属性设置为 0x0202 (0x002 + 0x0200)。在十进制中,它是 514 (2 + 512)。
注意:可以在 Ldp.exe 和 Adsiedit.msc 中直接编辑 Active Directory。应该仅由经验丰富的管理员使用这些工具来编辑 Active Directory。在使用原始 Windows 安装媒体安装支持工具后,即可使用这两个工具。
在这里加上一点代码:
DirectoryEntry entry = new DirectoryEntry(path, user, password, AuthenticationTypes.Secure);
entry.Properties["userAccountControl"].Value = 512;
属性标志 |
十六进制值 |
十进制值 |
SCRIPT |
0x0001 |
1 |
ACCOUNTDISABLE |
0x0002 |
2 |
HOMEDIR_REQUIRED |
0x0008 |
8 |
LOCKOUT |
0x0010 |
16 |
PASSWD_NOTREQD |
0x0020 |
32 |
PASSWD_CANT_CHANGE |
0x0040 |
64 |
ENCRYPTED_TEXT_PWD_ALLOWED |
0x0080 |
128 |
TEMP_DUPLICATE_ACCOUNT |
0x0100 |
256 |
NORMAL_ACCOUNT |
0x0200 |
512 |
INTERDOMAIN_TRUST_ACCOUNT |
0x0800 |
2048 |
WORKSTATION_TRUST_ACCOUNT |
0x1000 |
4096 |
SERVER_TRUST_ACCOUNT |
0x2000 |
8192 |
DONT_EXPIRE_PASSWORD |
0x10000 |
65536 |
MNS_LOGON_ACCOUNT |
0x20000 |
131072 |
SMARTCARD_REQUIRED |
0x40000 |
262144 |
TRUSTED_FOR_DELEGATION |
0x80000 |
524288 |
NOT_DELEGATED |
0x100000 |
1048576 |
USE_DES_KEY_ONLY |
0x200000 |
2097152 |
DONT_REQ_PREAUTH |
0x400000 |
4194304 |
PASSWORD_EXPIRED |
0x800000 |
8388608 |
TRUSTED_TO_AUTH_FOR_DELEGATION |
0x1000000 |
16777216 |
属性标志说明
• |
SCRIPT - 将运行登录脚本。 |
• |
ACCOUNTDISABLE - 禁用用户帐户。 |
• |
HOMEDIR_REQUIRED - 需要主文件夹。 |
• |
PASSWD_NOTREQD - 不需要密码。 |
• |
PASSWD_CANT_CHANGE - 用户不能更改密码。可以读取此标志,但不能直接设置它。 |
• |
ENCRYPTED_TEXT_PASSWORD_ALLOWED - 用户可以发送加密的密码。 |
• |
TEMP_DUPLICATE_ACCOUNT - 此帐户属于其主帐户位于另一个域中的用户。此帐户为用户提供访问该域的权限,但不提供访问信任该域的任何域的权限。有时将这种帐户称为“本地用户帐户”。 |
• |
NORMAL_ACCOUNT - 这是表示典型用户的默认帐户类型。 |
• |
INTERDOMAIN_TRUST_ACCOUNT - 对于信任其他域的系统域,此属性允许信任该系统域的帐户。 |
• |
WORKSTATION_TRUST_ACCOUNT - 这是运行 Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional 或 Windows 2000 Server 并且属于该域的计算机的计算机帐户。 |
• |
SERVER_TRUST_ACCOUNT - 这是属于该域的域控制器的计算机帐户。 |
• |
DONT_EXPIRE_PASSWD - 表示在该帐户上永远不会过期的密码。 |
• |
MNS_LOGON_ACCOUNT - 这是 MNS 登录帐户。 |
• |
SMARTCARD_REQUIRED - 设置此标志后,将强制用户使用智能卡登录。 |
• |
TRUSTED_FOR_DELEGATION - 设置此标志后,将信任运行服务的服务帐户(用户或计算机帐户)进行 Kerberos 委派。任何此类服务都可模拟请求该服务的客户端。若要允许服务进行 Kerberos 委派,必须在服务帐户的 userAccountControl 属性上设置此标志。 |
• |
NOT_DELEGATED - 设置此标志后,即使将服务帐户设置为信任其进行 Kerberos 委派,也不会将用户的安全上下文委派给该服务。 |
• |
USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) 将此用户限制为仅使用数据加密标准 (DES) 加密类型的密钥。 |
• |
DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 此帐户在登录时不需要进行 Kerberos 预先验证。 |
• |
PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) 用户的密码已过期。 |
• |
TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 允许该帐户进行委派。这是一个与安全相关的设置。应严格控制启用此选项的帐户。此设置允许该帐户运行的服务冒充客户端的身份,并作为该用户接受网络上其他远程服务器的身份验证。 |
UserAccountControl 值
这些值是某些对象的默认 UserAccountControl 值:
典型用户:0x200 (512)
域控制器:0x82000 (532480)
工作站/服务器:0x1000 (4096)
DirectoryEntry entry = new DirectoryEntry(path, user, password, AuthenticationTypes.Secure);
entry.Properties["userAccountControl"].Value = 512;
转载于:https://www.cnblogs.com/LeimOO/archive/2008/11/07/1328940.html
如何使用 UserAccountControl 标志操纵用户帐户属性相关推荐
- linux批处理创建mysql用户_域用户和组帐户的管理之一次同时添加多个用户帐户篇...
如果利用AD图形界面来创建大量用户帐户的话,将浪费很多时间用于重复操作相同的步骤.此时可以利用系统内置的工作csvde.exe.ldifde.exe.dsadd.exe等程序来节省创建用户帐户的时间. ...
- 将最小特权原则应用到 Windows XP 上的用户帐户
将最小特权原则应用到 Windows XP 上的用户帐户 发布日期: 2006年07月03日 若要查看有关本指南的评论或讨论,请访问 [url]http://blogs.technet.com/sec ...
- 将最小特权原则应用到Windows XP用户帐户
引言 联网技术的最新发展(如与 Internet 间的永久连接)给各种规模的组织带来了极大的机遇.不幸的是,计算机与网络(尤其是 Internet)之间的连接增加了遭到恶意软件和外部攻击者攻击的风险, ...
- 设置本地用户帐户的过期日期
描述 绑定到名为 atl-win2k-01 的计算机上的本地用户帐户,并且将帐号配置为在 2003 年 3 月 1 日过期. 有关使用本地用户帐户的详细信息,请单击此处. 支持平台 Windows X ...
- 必须重启计算机才能关闭用户控制,Win10如何彻底关闭用户帐户控制?Win10关闭用户控制方法...
用户帐户控制,可以限制一些病毒程序运行,有效保护电脑安全,降低中毒的风险,一般启用用户帐户控制,对于执行程序会多了一个步骤,就是要多点一些用户帐户控制的提示窗口,允许用户执行程序.那么如何可以彻底关闭 ...
- TF31003:您的用户帐户没有连接到 Team Foundation Server 的权限
TF31003:您的用户帐户没有连接到 Team Foundation Server {0} 的权限.请与 Team Foundation Server 管理员联系,请求其向您的帐户添加适当的权限. ...
- [转]Linux系统中用户帐户清洁与安全方法
http://www.sina.com.cn 2008年12月25日 13:07 比特网ChinaByte 安全性是一个庞大和具有挑战性的主题,但每个负责服务器端工作的人都应当知道基本步骤.Cam ...
- DB2: 为DB2数据库创建新用户帐户并为其分配特定特权
目标 到目前为止,一直使用实例管理员帐户(SYSADM)来执行所有数据库命令.这个帐户对所有实用程序.数据和数据库对象具有完全访问权.因此,为了避免无意或有意的数据损失,必须要保护这个帐户.在大多数情 ...
- xp删除管理员账户_在Windows XP中从登录屏幕删除用户帐户
xp删除管理员账户 So you login to your computer every single day, but there's more than one account to choos ...
最新文章
- ARM:钒和铁替代固氮酶的前世今生
- 11月2日科技联播:销量不及预期苹果市值跌破万亿美元;腾讯表示封杀抖音因微信规则...
- mysql 按月自动建表
- Android Activity的启动模式及对生命周期的影响
- Beyond Compare 3 许可证密钥被撤销
- AngularJS开发指南14:AngularJS的服务详解
- 【附可运行代码】剑指 Offer 16. 数值的整数次方
- php png 输出,PHP直接输出一张图片代码写法
- 计算概论(A)/基础编程练习1(8题)/3:晶晶赴约会
- 一起学习linux之lamp脚本
- - 动规讲解基础讲解八——正整数分组
- 浮点数:一种有漏洞的抽象【译】
- python函数求导_python_exp
- 18、TWS和IB中的错误处理信息
- python unpack函数_python的struct.unpack函数
- 【Element-UI】在vue中将组件调整为英文(国际化)
- MMR 排序多样化重排序算法
- AndroidSwipeLayout:最强大的 Swipe Layout
- torchsummary的用法
- k8s集群-master节点迁移
热门文章
- java 线程 通过interrupted_Java线程的传说(1)——中断线程Interrupted的用处
- linux scp移动文件夹,linux scp远程拷贝文件及文件夹
- mysql copy pending_mysql 案例 ~ 主从复制延迟之并行复制
- java rest httpclient_java http请求建议使用webClient,少用RestTemplate,不用HttpClient
- Acwing--朴素dijkstra
- mysql数据库建表失败_mysql数据库文件太大导致建表失败,如何避免
- android手机内存这么大,专业解读:为什么安卓手机的内存越来越大?
- MySQL面试题 | 附答案解析(一)
- C++:随笔6---new\delete\虚方法\抽象方法
- C++:随笔2--I/O实践