UserAccountControl属性
我们都知道帐号有很多属性,那么我们是不是可以通过这些属性来控制帐号呢,或者通属性来查看这些帐号当前的状态呢。答案是肯定的。那么下面我们就来介绍下帐号常用的属性。
一、常见属性
常见属性就是我们打开一个UserAccount,在“属性”页里能看到的属性,例如姓、名、显示名称、办公室号码等,这些属性是不需要使用特殊的工具打开,就可以直接进行修改的。那么具体有些属性呢?下面的列表将会详细说明,并做汉英的对比。
标签名称 |
AD属性的中文显示名称 |
AD属性的英文显示名称 |
AD属性的栏位名称 |
一般/General |
姓 |
First name |
sn |
名 |
Last name |
givenName |
|
英文缩写 |
Initials |
initials |
|
显示名称 |
Display name |
displayName |
|
描述 |
description |
description |
|
办公室 |
Office |
physicalDeliveryOfficeName |
|
电话号码 |
Telephone Number |
telephoneNumber |
|
电子邮件 |
|||
网页 |
Web page |
wWWHomePage |
|
地址/Address |
国家/地区 |
Country/region |
c |
省/自治区 |
State/province |
st |
|
县/市 |
City |
l |
|
街道 |
Street |
streetAddress |
|
邮政编码 |
Zip/Postal Code |
postalCode |
|
邮政信箱 |
P.O. Box |
postOfficeBox |
|
账户/Account |
用户登陆名 |
User logon name |
userPrincipalName |
用户登陆名(Windows 2000前版) |
User logonname(pre-Windows 2000) |
sAMAccountName |
|
配置文件/Profile |
配置文件路径 |
Profile path |
profilePath |
登录脚本 |
Logon script |
scriptPath |
|
主文件夹 |
Home folder |
homeDirectory |
|
电话/Telephones |
家族电话 |
Home |
homePhone |
寻呼器 |
Pager |
pager |
|
移动电话 |
Mobile |
mobile |
|
传真 |
Fax |
facsimileTelephoneNumber |
|
IP电话 |
IP phone |
ipPhone |
|
注释 |
Notes |
info |
|
组织/Organization |
职务 |
Title |
title |
部门 |
Department |
department |
|
公司 |
Company |
company |
|
经理 |
Manager |
manager |
|
直接属下 |
Direct report |
directReports |
二、UserAccountControl属性
此属性必须使用特殊工具才能查看,可以使用 Ldp.exe 工具或 Adsiedit.msc 管理单元来查看和编辑这些属,在安装系统盘上Support Tools后可以使用。Ldp.exe显示的数值为十六进制,Adsiedit.msc显示的数值为十进制。
由于上述两个工具都可以直接对Active Directory编辑,应该由经验丰富的管理员来使用这些工具编辑ActiveDirectory。
当然,你也可以使用csvde.exe这类工具将帐号导出来进查看。如果需要定期的去检查这些帐号,可以将命令也BAT文件,让系统自动执行。
属性标志 |
十六进制 |
十进制 |
SCRIPT |
0x0001 |
1 |
ACCOUNTDISABLE |
0x0002 |
2 |
HOMEDIR_REQUIRED |
0x0008 |
8 |
LOCKOUT |
0x0010 |
16 |
PASSWD_NOTREQD |
0x0020 |
32 |
PASSWD_CANT_CHANGE |
0x0040 |
64 |
ENCRYPTED_TEXT_PWD_ALLOWED |
0x0080 |
128 |
TEMP_DUPLICATE_ACCOUNT |
0x0100 |
256 |
NORMAL_ACCOUNT |
0x0200 |
512 |
INTERDOMAIN_TRUST_ACCOUNT |
0x0800 |
2048 |
WORKSTATION_TRUST_ACCOUNT |
0x1000 |
4096 |
SERVER_TRUST_ACCOUNT |
0x2000 |
8192 |
DONT_EXPIRE_PASSWORD |
0x10000 |
65536 |
MNS_LOGON_ACCOUNT |
0x20000 |
131072 |
SMARTCARD_REQUIRED |
0x40000 |
262144 |
TRUSTED_FOR_DELEGATION |
0x80000 |
524288 |
NOT_DELEGATED |
0x100000 |
1048576 |
USE_DES_KEY_ONLY |
0x200000 |
2097152 |
DONT_REQ_PREAUTH |
0x400000 |
4194304 |
PASSWORD_EXPIRED |
0x800000 |
8388608 |
TRUSTED_TO_AUTH_FOR_DELEGATION |
0x1000000 |
16777216 |
属性说明:
ØSCRIPT:将运行登陆脚本。
ØACCOUNTDISABLE:禁用的用户帐。
ØHOMEDIR_REQUIRED:帐号需要主文件夹。
ØPASSWD_NOTREQD:帐号不需要密码。
ØPASSWD_CANT_CHANGE:用户不能修改密码。此值不能直接修改。
ØENCRYPTED_TEXT_PWD_ALLOWED:此帐户属于其主帐户位于另一个域中的用户。此帐户为用户提供访问该域的权限,但不提供访问信任该域的任何域的权限。有时将这种帐户称为“本地用户帐户”。
ØNORMAL_ACCOUNT - 这是表示典型用户的默认帐户类型。
ØINTERDOMAIN_TRUST_ACCOUNT - 对于信任其他域的系统域,此属性允许信任该系统域的帐户。
ØWORKSTATION_TRUST_ACCOUNT - 这是运行Microsoft Windows NT 4.0 Workstation、Microsoft WindowsNT 4.0 Server、Microsoft Windows 2000 Professional 或 Windows 2000 Server 并且属于该域的计算机的计算机帐户。
ØSERVER_TRUST_ACCOUNT - 这是属于该域的域控制器的计算机帐户。
ØDONT_EXPIRE_PASSWD - 表示在该帐户上永远不会过期的密码。
ØMNS_LOGON_ACCOUNT - 这是 MNS 登录帐户。
ØSMARTCARD_REQUIRED - 设置此标志后,将强制用户使用智能卡登录。
ØTRUSTED_FOR_DELEGATION - 设置此标志后,将信任运行服务的服务帐户(用户或计算机帐户)进行 Kerberos 委派。任何此类服务都可模拟请求该服务的客户端。若要允许服务进行Kerberos 委派,必须在服务帐户的userAccountControl 属性上设置此标志。
ØNOT_DELEGATED - 设置此标志后,即使将服务帐户设置为信任其进行 Kerberos 委派,也不会将用户的安全上下文委派给该服务。
ØUSE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) 将此用户限制为仅使用数据加密标准 (DES) 加密类型的密钥。
ØDONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 此帐户在登录时不需要进行 Kerberos 预先验证。
ØPASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) 用户的密码已过期。
ØTRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 允许该帐户进行委派。这是一个与安全相关的设置。应严格控制启用此选项的帐户。此设置允许该帐户运行的服务冒充客户端的身份,并作为该用户接受网络上其他远程服务器的身份验证。
如要将某个帐号设置为禁用状态,那么只需要将此号的userAccountControl 值设置为 0x0202(0x002 + 0x0200)。在十进制中,它是 514 (2 + 512)。