AD:UserAccountControl基本属性、功能对照、常见功能组合
可以使用Ldp.exe工具或Adsiedit.msc管理单元对UserAccountControl值进行设置,以下是userAccountControl的基本属性:
| 属性标志 | 十六进制 | 十进制 | 说明 |
|---|---|---|---|
| SCRIPT | 0x0001 | 1 | 运行登录脚本 |
| ACCOUNTDISABLE | 0x0002 | 2 | 账户禁用 |
| HOMEDIR_REQUIRED | 0x0008 | 8 | 账户需要HOME目录 |
| LOCKOUT | 0x0010 | 16 | 账户被锁定 |
| PASSWD_NOTREQD | 0x0020 | 32 | 无需密码 |
| PASSWD_CANT_CHANGE | 0x0040 | 64 | 用户不可更改密码(只读) |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 | 允许发送加密密码 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 | 启用临时本地账户 |
| NORMAL_ACCOUNT | 0x0200 | 512 | 典型用户 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 | 信任域间可信账户 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 | 工作站计算机 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 | 域控制器 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 | 密码永不过期 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 | 多数节点集(MNS)登录 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 | 需要智能卡登录 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 | 允许进行Kerberos委派 |
| NOT_DELEGATED | 0x100000 | 1048576 | 禁止安全正文的委派 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 | 强制使用DES加密的密钥 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 | 登录时无需Kerberos验证 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 | 密码已过期 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
下表是userAccountControl 常见组合值:
| 十六进制值 | 十进制值 | 说明 |
|---|---|---|
| 0x200 | 512 | 账户正常 |
| 0x202 | 514 | 账户禁用 |
| 0x220 | 544 | 账户正常,下次登录需要设置密码 |
| 0x10200 | 66048 | 密码永不过期 |
| 0x40200 | 262656 | 需要智能卡登录 |
| 0x82000 | 532480 | 域控制器(可进行Kerberos委派) |
References:
[1] How to use the UserAccountControl flags to manipulate user account properties
[2] Contents for Guy’s Scripting Ezine 23 – Enabling User Accounts
版权声明
本文出自 Lesca 技术宅,转载时请注明出处及相应链接。
本文永久链接: https://www.lesca.cn/archives/common-useraccountcontrol-values.html
Tingel
2013-01-16 at 17:34
我查询UserAccountControl的值,我在实际使用过程比较奇怪,544是正在使用,而546就已经禁用。
不是官网所说的512和514.
知道为什么吗?
lesca
2013-02-06 at 12:02
544-512=32(0x20)
查表可知,0x20对应“无需密码”