Freigeben über


User-Account-Control-Attribut

Flags, die das Verhalten des Benutzerkontos steuern.

Eingabe Wert
CN Benutzerkontensteuerung
Ldap-Display-Name userAccountControl
Size 4 Bytes.
Updateberechtigung Dieser Wert wird vom System festgelegt.
Aktualisierungshäufigkeit Jedes Mal, wenn sich die Kontorichtlinie ändert.
Attribute-Id 1.2.840.113556.1.4.8
System-ID-Guid bf967a68-0de6-11d0-a285-00aa003049e2
Syntax Enumeration

Implementierungen

Windows 2000 Server

Eingabe Wert
Link-ID -
MAPI-Id -
System-Only False
Is-Single-Valued True
Ist indiziert True
Im globalen Katalog True
NT-Security-Descriptor O:BAG:BAD:S:
Range-Lower -
Range-Upper -
Search-Flags 0x00000019
System-Flags 0x00000012
Klassen, die in verwendet werden Benutzer

Windows Server 2003

Eingabe Wert
Link-ID -
MAPI-Id -
System-Only False
Is-Single-Valued True
Ist indiziert True
Im globalen Katalog True
NT-Security-Descriptor O:BAG:BAD:S:
Range-Lower -
Range-Upper -
Search-Flags 0x00000019
System-Flags 0x00000012
Klassen, die in verwendet werden Benutzer

Windows Server 2003 R2

Eingabe Wert
Link-ID -
MAPI-Id -
System-Only False
Is-Single-Valued True
Ist indiziert True
Im globalen Katalog True
NT-Security-Descriptor O:BAG:BAD:S:
Range-Lower -
Range-Upper -
Search-Flags 0x00000019
System-Flags 0x00000012
Klassen, die in verwendet werden Benutzer

Windows Server 2008

Eingabe Wert
Link-ID -
MAPI-Id -
System-Only False
Einwertig True
Ist indiziert True
Im globalen Katalog True
NT-Security-Descriptor O:BAG:BAD:S:
Range-Lower -
Range-Upper -
Search-Flags 0x00000019
System-Flags 0x00000012
Klassen, die in verwendet werden Benutzer

Windows Server 2008 R2

Eingabe Wert
Link-ID -
MAPI-Id -
System-Only False
Einwertig True
Ist indiziert True
Im globalen Katalog True
NT-Security-Descriptor O:BAG:BAD:S:
Range-Lower -
Range-Upper -
Search-Flags 0x00000019
System-Flags 0x00000012
Klassen, die in verwendet werden Benutzer

Windows Server 2012

Eingabe Wert
Link-ID -
MAPI-Id -
System-Only False
Einwertig True
Ist indiziert True
Im globalen Katalog True
NT-Security-Descriptor O:BAG:BAD:S:
Range-Lower -
Range-Upper -
Search-Flags 0x00000019
System-Flags 0x00000012
Klassen, die in verwendet werden Benutzer

Hinweise

Dieser Attributwert kann null oder eine Kombination aus einem oder mehreren der folgenden Werte sein.

Hexadezimalwert Bezeichner (in iads.h definiert) Beschreibung
0x00000001 ADS_UF_SCRIPT Das Anmeldeskript wird ausgeführt.
0x00000002 ADS_UF_ACCOUNTDISABLE Das Benutzerkonto ist deaktiviert.
0x00000008 ADS_UF_HOMEDIR_REQUIRED Das Basisverzeichnis ist erforderlich.
0x00000010 ADS_UF_LOCKOUT Das Konto ist derzeit gesperrt.
0x00000020 ADS_UF_PASSWD_NOTREQD Es ist kein Kennwort erforderlich.
0x00000040 ADS_UF_PASSWD_CANT_CHANGE Der Benutzer kann das Kennwort nicht ändern. Hinweis: Sie können die Berechtigungseinstellungen von PASSWD_CANT_CHANGE nicht durch direktes Ändern des UserAccountControl-Attributs zuweisen. Weitere Informationen und ein Codebeispiel, das zeigt, wie Sie verhindern, dass ein Benutzer das Kennwort ändert, finden Sie unter Benutzer kann kennwort nicht geändert werden.
:
0x00000080 ADS_UF_ENCRYPTED_TEXT_PASSWORD_ALLOWED Der Benutzer kann ein verschlüsseltes Kennwort senden.
0x00000100 ADS_UF_TEMP_DUPLICATE_ACCOUNT Dies ist ein Konto für Benutzer, deren primäres Konto sich in einer anderen Domäne befindet. Dieses Konto bietet Benutzern Zugriff auf diese Domäne, aber nicht auf eine Domäne, die dieser Domäne vertraut. Wird auch als lokales Benutzerkonto bezeichnet.
0x00000200 ADS_UF_NORMAL_ACCOUNT Dies ist ein Standardkontotyp, der einen typischen Benutzer darstellt.
0x00000800 ADS_UF_INTERDOMAIN_TRUST_ACCOUNT Dies ist eine Erlaubnis, einem Konto für eine Systemdomäne zu vertrauen, die anderen Domänen vertraut.
0x00001000 ADS_UF_WORKSTATION_TRUST_ACCOUNT Dies ist ein Computerkonto für einen Computer, der Mitglied dieser Domäne ist.
0x00002000 ADS_UF_SERVER_TRUST_ACCOUNT Dies ist ein Computerkonto für einen Systemsicherungsdomänencontroller, der Mitglied dieser Domäne ist.
0x00004000 Wird nicht verwendet.
0x00008000 Wird nicht verwendet.
0x00010000 ADS_UF_DONT_EXPIRE_PASSWD Das Kennwort für dieses Konto läuft nie ab.
0x00020000 ADS_UF_MNS_LOGON_ACCOUNT Dies ist ein MNS-Anmeldekonto.
0x00040000 ADS_UF_SMARTCARD_REQUIRED Der Benutzer muss sich mit einem intelligenten Karte anmelden.
0x00080000 ADS_UF_TRUSTED_FOR_DELEGATION Das Dienstkonto (Benutzer- oder Computerkonto), unter dem ein Dienst ausgeführt wird, wird für die Kerberos-Delegierung als vertrauenswürdig eingestuft. Ein solcher Dienst kann die Identität eines Clients annehmen, der den Dienst anfordert.
0x00100000 ADS_UF_NOT_DELEGATED Der Sicherheitskontext des Benutzers wird nicht an einen Dienst delegiert, auch wenn das Dienstkonto für die Kerberos-Delegierung als vertrauenswürdig festgelegt ist.
0x00200000 ADS_UF_USE_DES_KEY_ONLY Beschränken Sie diesen Prinzipal so, dass nur Die Verschlüsselungstypen des Data Encryption Standard (DES) für Schlüssel verwendet werden.
0x00400000 ADS_UF_DONT_REQUIRE_PREAUTH Für dieses Konto ist keine Kerberos-Vorauthentifizierung für die Anmeldung erforderlich.
0x00800000 ADS_UF_PASSWORD_EXPIRED Das Benutzerkennwort ist abgelaufen. Dieses Flag wird vom System mithilfe von Daten aus dem Pwd-Last-Set-Attribut und der Domänenrichtlinie erstellt.
0x01000000 ADS_UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION Das Konto ist für die Delegierung aktiviert. Dies ist eine sicherheitsrelevante Einstellung. Konten, für die diese Option aktiviert ist, sollten streng kontrolliert werden. Diese Einstellung ermöglicht es einem Dienst, der unter dem Konto ausgeführt wird, eine Clientidentität anzunehmen und sich als dieser Benutzer bei anderen Remoteservern im Netzwerk zu authentifizieren.