Flags für UserAccountControl-Eigenschaften - Windows Server (2024)

  • Artikel

In diesem Artikel werden Informationen zur Verwendung des UserAccountControl-Attributs zum Bearbeiten von Benutzerkontoeigenschaften beschrieben.

Ursprüngliche KB-Nummer: 305144

Zusammenfassung

Wenn Sie die Eigenschaften für ein Benutzerkonto öffnen, klicken Sie auf die Registerkarte Konto, und dann aktivieren oder deaktivieren Sie die Kontrollkästchen im Dialogfeld Kontooptionen. Numerische Werte werden dem Attribut UserAccountControl zugewiesen. Der dem Attribut zugewiesene Wert teilt Windows mit, welche Optionen aktiviert wurden.

Um Benutzerkonten anzuzeigen, klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer.

Liste der Eigenschaftsflags

Sie können diese Attribute anzeigen und bearbeiten, indem Sie entweder das Tool „Ldp.exe“ oder das Snap-In „Adsiedit.msc“ verwenden.

In der folgenden Tabelle sind mögliche Flags aufgeführt, die Sie zuweisen können. Einige der Werte für ein Benutzer- oder Computerobjekt können Sie nicht festlegen, da diese Werte nur vom Verzeichnisdienst festgelegt oder zurückgesetzt werden können. „Ldp.exe“ zeigt die Werte hexadezimal an. „Adsiedit.msc“ zeigt die Werte als Dezimalwert an. Die Flags sind kumulativ. Um das Konto eines Benutzers zu deaktivieren, legen Sie das Attribut UserAccountControl auf 0x0202 (die Summe 0x002 + 0x0200) fest. Im Dezimalwert ist dies 514 (512 + 2).

Hinweis

Sie können Active Directory sowohl in „Ldp.exe“ als auch in „Adsiedit.msc“ direkt bearbeiten. Nur erfahrene Admins sollten diese Tools zum Bearbeiten von Active Directory verwenden. Beide Tools sind verfügbar, nachdem Sie die Supporttools von Ihren ursprünglichen Windows-Installationsmedien installiert haben.

EigenschaftsflagWert als HexadezimalzahlWert als Dezimalzahl
SCRIPT0x00011
ACCOUNTDISABLE0x00022
HOMEDIR_REQUIRED0x00088
LOCKOUT0x001016
PASSWD_NOTREQD0x002032
PASSWD_CANT_CHANGE

Sie können diese Berechtigung nicht zuweisen, indem Sie das Attribut UserAccountControl direkt ändern. Informationen zum programmgesteuerten Festlegen der Berechtigung finden Sie im Abschnitt Beschreibungen der Eigenschaftsflags.

0x004064
ENCRYPTED_TEXT_PWD_ALLOWED0x0080128
TEMP_DUPLICATE_ACCOUNT0x0100256
NORMAL_ACCOUNT.0x0200512
INTERDOMAIN_TRUST_ACCOUNT0x08002048
WORKSTATION_TRUST_ACCOUNT0x10004096
SERVER_TRUST_ACCOUNT0x20008192
DONT_EXPIRE_PASSWORD0x1000065536
MNS_LOGON_ACCOUNT0x20000131072
SMARTCARD_REQUIRED0x40000262144
TRUSTED_FOR_DELEGATION0x80000524288
NOT_DELEGATED0x1000001048576
USE_DES_KEY_ONLY0x2000002097152
DONT_REQ_PREAUTH0x4000004194304
PASSWORD_EXPIRED0x8000008388608
TRUSTED_TO_AUTH_FOR_DELEGATION0x100000016777216
PARTIAL_SECRETS_ACCOUNT0x0400000067108864

Hinweis

In einer Windows Server 2003-basierten Domäne wurden LOCK_OUT und PASSWORD_EXPIRED durch ein neues Attribut namens „ms-DS-User-Account-Control-Computed“ ersetzt. Weitere Informationen zu diesem neuen Attribut finden Sie unter Attribut ms-DS-User-Account-Control-Computed.

Beschreibungen des Eigenschaftsflags

  • SCRIPT – Das Anmeldeskript wird ausgeführt.

  • ACCOUNTDISABLE – Das Benutzerkonto ist deaktiviert.

  • HOMEDIR_REQUIRED – Der Startordner ist erforderlich.

  • PASSWD_NOTREQD – Es ist kein Kennwort erforderlich.

  • PASSWD_CANT_CHANGE – Der Benutzer kann das Kennwort nicht ändern. Es handelt sich um eine Berechtigung für das Objekt des Benutzers. Informationen zum programmgesteuerten Festlegen dieser Berechtigung finden Sie unter Ändernder Benutzer kann Kennwort nicht ändern (LDAP-Anbieter).

  • ENCRYPTED_TEXT_PASSWORD_ALLOWED – Der Benutzer kann ein verschlüsseltes Kennwort senden.

  • TEMP_DUPLICATE_ACCOUNT – Es handelt sich um ein Konto für Benutzer, deren primäres Konto sich in einer anderen Domäne befindet. Dieses Konto bietet Benutzern Zugriff auf diese Domäne, aber nicht auf eine Domäne, die dieser Domäne vertraut. Es wird manchmal als lokales Benutzerkonto bezeichnet.

  • NORMAL_ACCOUNT – Es handelt sich um einen Standardkontotyp, der einen typischen Benutzer darstellt.

  • INTERDOMAIN_TRUST_ACCOUNT – Es ist eine Genehmigung, einem Konto für eine Systemdomäne zu vertrauen, die anderen Domänen vertraut.

  • WORKSTATION_TRUST_ACCOUNT – Es handelt sich um ein Computerkonto für einen Computer, auf dem Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional oder Windows 2000 Server ausgeführt wird, und der Mitglied dieser Domäne ist.

  • SERVER_TRUST_ACCOUNT – Es handelt sich um ein Computerkonto für einen Domänencontroller, der Mitglied dieser Domäne ist.

  • DONT_EXPIRE_PASSWD – Stellt das Kennwort dar, das für das Konto nie ablaufen sollte.

  • MNS_LOGON_ACCOUNT – Es handelt sich um ein MNS-Anmeldekonto.

  • SMARTCARD_REQUIRED – Wenn dieses Flag gesetzt ist, wird der Benutzer gezwungen, sich mit einer Smartcard anzumelden.

  • TRUSTED_FOR_DELEGATION – Wenn dieses Flag gesetzt ist, wird das Dienstkonto (das Benutzer- oder Computerkonto), unter dem ein Dienst ausgeführt wird, als vertrauenswürdig für die Kerberos-Delegierung eingestuft. Ein solcher Dienst kann die Identität eines Clients annehmen, der den Dienst anfordert. Um einen Dienst für die Kerberos-Delegierung zu aktivieren, müssen Sie dieses Flag auf die userAccountControl-Eigenschaft des Dienstkontos anwenden.

  • NOT_DELEGATED – Wenn dieses Flag gesetzt ist, wird der Sicherheitskontext des Benutzers nicht an einen Dienst delegiert, selbst wenn das Dienstkonto als vertrauenswürdig für die Kerberos-Delegierung festgelegt ist.

  • USE_DES_KEY_ONLY – (Windows 2000/Windows Server 2003) Beschränkt diesen Prinzipal so, dass nur DES-Verschlüsselungstypen (Data Encryption Standard) für Schlüssel verwendet werden.

  • DONT_REQUIRE_PREAUTH – (Windows 2000/Windows Server 2003) Für dieses Konto ist für die Anmeldung keine Kerberos-Vorauthentifizierung erforderlich.

  • PASSWORD_EXPIRED – (Windows 2000/Windows Server 2003) Das Kennwort des Benutzers ist abgelaufen.

  • TRUSTED_TO_AUTH_FOR_DELEGATION – (Windows 2000/Windows Server 2003) Das Konto ist für die Delegierung aktiviert. Dies ist eine sicherheitssensible Einstellung. Konten, für die diese Option aktiviert ist, sollten streng kontrolliert werden. Mit dieser Einstellung kann ein Dienst, der unter dem Konto ausgeführt wird, die Identität eines Clients annehmen und sich als dieser Benutzer bei anderen Remoteservern im Netzwerk authentifizieren.

  • PARTIAL_SECRETS_ACCOUNT – (Windows Server 2008/Windows Server 2008 R2) Das Konto ist ein schreibgeschützter Domänencontroller (RODC). Dies ist eine sicherheitssensible Einstellung. Das Entfernen dieser Einstellung aus einem RODC beeinträchtigt die Sicherheit auf diesem Server.

Werte von UserAccountControl

Hier sind die Standardwerte von UserAccountControl für bestimmte Objekte:

  • Typischer Benutzer: 0x200 (512)
  • Domänencontroller: 0x82000 (532480)
  • Workstation/Server: 0x1000 (4096)
  • Trust: 0x820 (2080)

Hinweis

Ein Windows-Vertrauenskonto ist von einem Kennwort durch den UserAccountControl-Attributwert „PASSWD_NOTREQD“ ausgenommen, da Vertrauensobjekte die traditionelle Kennwortrichtlinie und die Kennwortattribute nicht auf dieselbe Weise verwenden wie Benutzer- und Computerobjekte.

Vertrauensgeheimnisse werden durch spezielle Attribute für die vertrauensübergreifenden Konten dargestellt, die die Richtung der Vertrauensstellung angeben. Eingehende Vertrauensgeheimnisse werden im trustAuthIncoming-Attribut auf der „vertrauenswürdigen“ Seite eines Trust gespeichert. Ausgehende Vertrauensgeheimnisse werden im trustAuthOutgoing-Attribut am „vertrauenden“ Ende eines Trust gespeichert.

  • Bei zweiseitigen Trusts wird das INTERDOMAIN_TRUST_ACCOUNT-Objekt auf jeder Seite des Trusts beide Einstellungen haben.
  • Vertrauensgeheimnisse werden von dem Domänencontroller verwaltet, der die Rolle des primären Domänencontrollers (PDC) Emulator Flexible Single Master Operation (FSMO) in der vertrauenswürdigen Domäne einnimmt.
  • Aus diesem Grund ist das PASSWD_NOTREQD UserAccountControl-Attribut standardmäßig auf INTERDOMAIN_TRUST_ACCOUNT-Konten festgelegt.
Flags für UserAccountControl-Eigenschaften - Windows Server (2024)
Top Articles
Latest Posts
Recommended Articles
Article information

Author: Lidia Grady

Last Updated:

Views: 5686

Rating: 4.4 / 5 (45 voted)

Reviews: 92% of readers found this page helpful

Author information

Name: Lidia Grady

Birthday: 1992-01-22

Address: Suite 493 356 Dale Fall, New Wanda, RI 52485

Phone: +29914464387516

Job: Customer Engineer

Hobby: Cryptography, Writing, Dowsing, Stand-up comedy, Calligraphy, Web surfing, Ghost hunting

Introduction: My name is Lidia Grady, I am a thankful, fine, glamorous, lucky, lively, pleasant, shiny person who loves writing and wants to share my knowledge and understanding with you.