LDAP 用户帐户控制 UserAccountControl 详解(UAC)
属性标志 | 十六进制值 | 十进制值 | 属性标志说明 |
---|---|---|---|
SCRIPT | 0x0001 | 1 | 将运行登录脚本 |
ACCOUNTDISABLE | 0x0002 | 2 | 已禁用用户帐户 |
HOMEDIR_REQUIRED | 0x0008 | 8 | 需要主文件夹 |
LOCKOUT | 0x0010 | 16 | |
PASSWD_NOTREQD | 0x0020 | 32 | 无需密码 |
PASSWD_CANT_CHANGE | 0x0040 | 64 | 用户无法更改密码,无法直接修改为此权限 |
ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 | 用户可以发送加密的密码 |
TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 | 用户的主帐户位于另一个域中的帐户。 此帐户提供用户对此域的访问权限,但不提供对信任此域的任何域的访问权限。 它有时是指本地用户帐户 |
NORMAL_ACCOUNT | 0x0200 | 512 | 典型用户的默认帐户类型 |
INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 | 信任其他域的系统域信任的帐户 |
WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 | 运行 Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional 或 Windows 2000 Server 的计算机的计算机帐户,是此域的成员 |
SERVER_TRUST_ACCOUNT | 0x2000 | 8192 | 域控制器的计算机帐户,该域控制器是此域的成员 |
DONT_EXPIRE_PASSWORD | 0x10000 | 65536 | 密码永不过期 |
MNS_LOGON_ACCOUNT | 0x20000 | 131072 | MNS 登录帐户 |
SMARTCARD_REQUIRED | 0x40000 | 262144 | 设置此标志时,它会强制用户使用智能卡登录 |
TRUSTED_FOR_DELEGATION | 0x80000 | 524288 | 设置此标志时,Kerberos 委派信任的运行服务的服务帐户(用户或计算机帐户)。 任何此类服务都可以模拟请求该服务的客户端。 若要为 Kerberos 委派启用服务,必须在服务帐户的 userAccountControl 属性上设置此标志 |
NOT_DELEGATED | 0x100000 | 1048576 | 设置此标志时,即使服务帐户设置为受信任的 Kerberos 委派,也不会将用户的安全上下文委派给服务 |
USE_DES_KEY_ONLY | 0x200000 | 2097152 | (Windows 2000/Windows Server 2003) 限制此主体仅使用数据加密标准 (DES) 密钥加密类型 |
DONT_REQ_PREAUTH | 0x400000 | 4194304 | (Windows 2000/Windows Server 2003) 此帐户不需要对登录进行 Kerberos 预身份验证 |
PASSWORD_EXPIRED | 0x800000 | 8388608 | (Windows 2000/Windows Server 2003) 用户的密码已过期 |
TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 | (Windows 2000/Windows Server 2003) 该帐户已启用委派。 这是一个安全敏感设置。 应严格控制启用此选项的帐户。 此设置允许在帐户下运行的服务假定客户端的身份,并以该用户的身份向网络上的其他远程服务器进行身份验证 |
PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 | (Windows 2000/Windows Server 2003) 该帐户已启用委派。 这是一个安全敏感设置。 应严格控制启用此选项的帐户。 此设置允许在帐户下运行的服务假定客户端的身份,并以该用户的身份向网络上的其他远程服务器进行身份验证 |
UserAccountControl 值
下面是某些对象的默认 UserAccountControl 值:
-
典型用户:0x200 (512)
-
域控制器:0x82000 (532480)
-
工作站/服务器:0x1000 (4096)
-
密码永不过期的典型用户:0x10200 (66048)
uac 值是叠加的,采用 & 按位与计算用户所属权限
比如密码永不过期的典型用户:0x10200 (66048),66048就是512和65536相加,所以这是一个密码永不过期的典型用户
已禁用账户UAC值:
66050 = 512+2(禁用) +65536(密码永不过期)
514 =512 +2(禁用)
546 = 512 +2(禁用) +32(无需密码)
66082 = 512+2(禁用)+32(无需密码)+65536(密码永不过期)
转自:https://www.cnblogs.com/DarkRoger/p/17168307.html