控制用户帐户行为的标志。
| 条目 | 值 |
|---|---|
| CN | User-Account-Control |
| Ldap-Display-Name | userAccountControl |
| 大小 | 4 个字节。 |
| 更新权限 | 此值由系统设置。 |
| 更新频率 | 每次帐户策略更改时。 |
| Attribute-Id | 1.2.840.113556.1.4.8 |
| System-Id-Guid | bf967a68-0de6-11d0-a285-00aa003049e2 |
| 语法 | 枚举 |
实现形式
- Windows 2000 Server
- Windows Server 2003
- Windows Server 2003 R2
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
Windows 2000 Server
| 条目 | 值 |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | False |
| Is-Single-Valued | True |
| 已编制索引 | True |
| 在全局目录中 | True |
| NT 安全描述符 | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 在此范围中使用的类: | 用户 |
Windows Server 2003
| 条目 | 值 |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | False |
| Is-Single-Valued | True |
| 已编制索引 | True |
| 在全局目录中 | True |
| NT 安全描述符 | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 在此范围中使用的类: | 用户 |
Windows Server 2003 R2
| 条目 | 值 |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | False |
| Is-Single-Valued | True |
| 已编制索引 | True |
| 在全局目录中 | True |
| NT 安全描述符 | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 在此范围中使用的类: | 用户 |
Windows Server 2008
| 条目 | 值 |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | False |
| Is-Single-Valued | True |
| 已编制索引 | True |
| 在全局目录中 | True |
| NT 安全描述符 | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 在此范围中使用的类: | 用户 |
Windows Server 2008 R2
| 条目 | 值 |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | False |
| Is-Single-Valued | True |
| 已编制索引 | True |
| 在全局目录中 | True |
| NT 安全描述符 | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 在此范围中使用的类: | 用户 |
Windows Server 2012
| 条目 | 值 |
|---|---|
| Link-Id | - |
| MAPI-Id | - |
| System-Only | False |
| Is-Single-Valued | True |
| 已编制索引 | True |
| 在全局目录中 | True |
| NT 安全描述符 | O:BAG:BAD:S: |
| Range-Lower | - |
| Range-Upper | - |
| Search-Flags | 0x00000019 |
| System-Flags | 0x00000012 |
| 在此范围中使用的类: | 用户 |
注解
此属性值可以是零,也可以是以下一个或多个值的组合。
| 十六进制值 | 标识符(在 iads.h 中定义) | 说明 |
|---|---|---|
| 0x00000001 | ADS_UF_SCRIPT | 将执行登录脚本。 |
| 0x00000002 | ADS_UF_ACCOUNTDISABLE | 此用户帐户被禁用。 |
| 0x00000008 | ADS_UF_HOMEDIR_REQUIRED | 主目录是必需的。 |
| 0x00000010 | ADS_UF_LOCKOUT | 帐户当前已锁定。 |
| 0x00000020 | ADS_UF_PASSWD_NOTREQD | 不需要密码。 |
| 0x00000040 | ADS_UF_PASSWD_CANT_CHANGE | 用户无法更改密码。 注意: 无法通过直接修改 UserAccountControl 属性来分配PASSWD_CANT_CHANGE的权限设置。 有关详细信息和演示如何阻止用户更改密码的代码示例,请参阅 “用户无法更改密码”。 : |
| 0x00000080 | ADS_UF_ENCRYPTED_TEXT_PASSWORD_ALLOWED | 用户可以发送加密的密码。 |
| 0x00000100 | ADS_UF_TEMP_DUPLICATE_ACCOUNT | 这是主帐户位于另一个域中的用户的帐户。 此帐户提供对此域的用户访问权限,但不能访问信任此域的任何域。 也称为本地用户帐户。 |
| 0x00000200 | ADS_UF_NORMAL_ACCOUNT | 这是表示典型用户的默认帐户类型。 |
| 0x00000800 | ADS_UF_INTERDOMAIN_TRUST_ACCOUNT | 这是信任其他域的系统域的信任帐户的许可证。 |
| 0x00001000 | ADS_UF_WORKSTATION_TRUST_ACCOUNT | 这是此域成员的计算机的计算机帐户。 |
| 0x00002000 | ADS_UF_标准版RVER_TRUST_ACCOUNT | 这是作为此域成员的系统备份域控制器的计算机帐户。 |
| 0x00004000 | 空值 | 未使用。 |
| 0x00008000 | 空值 | 未使用。 |
| 0x00010000 | ADS_UF_DONT_EXPIRE_PASSWD | 此帐户的密码永远不会过期。 |
| 0x00020000 | ADS_UF_MNS_LOGON_ACCOUNT | 这是一个 MNS 登录帐户。 |
| 0x00040000 | ADS_UF_SMARTCARD_REQUIRED | 用户必须使用智能卡登录。 |
| 0x00080000 | ADS_UF_TRUSTED_FOR_DELEGATION | 运行服务的服务帐户(用户或计算机帐户)对于 Kerberos 委派是受信任的。 任何此类服务都可以模拟请求服务的客户端。 |
| 0x00100000 | ADS_UF_NOT_DELEGATED | 即使服务帐户设置为 Kerberos 委派受信任,用户的安全上下文也不会委托给服务。 |
| 0x00200000 | ADS_UF_U标准版_DES_KEY_ONLY | 将此主体限制为仅对密钥使用数据加密标准 (DES) 加密类型。 |
| 0x00400000 | ADS_UF_DONT_REQUIRE_PREAUTH | 此帐户不需要 Kerberos 预身份验证进行登录。 |
| 0x00800000 | ADS_UF_PASSWORD_EXPIRED | 用户密码已过期。 此标志由系统使用 Pwd-Last-Set 属性和域策略中的数据创建。 |
| 0x01000000 | ADS_UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION | 帐户已启用委派。 这是一个安全敏感设置;应严格控制启用此选项的帐户。 此设置使帐户下运行的服务能够假定客户端标识,并将该用户作为该用户向网络上的其他远程服务器进行身份验证。 |