2024年3月19日发(作者：)

AD中用户帐户属性userAccountControl

在打开用户帐户的属性后，单击帐户选项卡，然后选中或清除“帐户选项”对话框中的复选框，则会将数值分

配给UserAccountControl 属性。分配给该属性的值通知 Windows 已启用了哪些选项。

下表列出了可以分配的标志。不能针对用户或计算机对象设置某些值，原因是这些值只能由目录服务设置

或重置。

若要禁用用户的帐户，请将 UserAccountControl 属性设置为 0x0202 (0x002 + 0x0200)。在十进制中，

它是 514 (2 + 512)。

属性标志

SCRIPT

ACCOUNTDISABLE

HOMEDIR_REQUIRED

LOCKOUT

PASSWD_NOTREQD

PASSWD_CANT_CHANGE

ENCRYPTED_TEXT_PWD_ALLOWED

TEMP_DUPLICATE_ACCOUNT

NORMAL_ACCOUNT

INTERDOMAIN_TRUST_ACCOUNT

WORKSTATION_TRUST_ACCOUNT

SERVER_TRUST_ACCOUNT

DONT_EXPIRE_PASSWORD

MNS_LOGON_ACCOUNT

SMARTCARD_REQUIRED

TRUSTED_FOR_DELEGATION

NOT_DELEGATED

USE_DES_KEY_ONLY

DONT_REQ_PREAUTH

PASSWORD_EXPIRED

十六进制值 十进制值

0x0001

0x0002

0x0008

0x0010

0x0020

0x0040

0x0080

0x0100

0x0200

0x0800

0x1000

0x2000

0x10000

0x20000

0x40000

0x80000

1

2

8

16

32

64

128

256

512

2048

4096

8192

65536

131072

262144

524288

0x100000 1048576

0x200000 2097152

0x400000 4194304

0x800000 8388608

TRUSTED_TO_AUTH_FOR_DELEGATION 0x1000000 16777216

属性标志说明















SCRIPT - 将运行登录脚本。

ACCOUNTDISABLE - 禁用用户帐户。

HOMEDIR_REQUIRED - 需要主文件夹。

PASSWD_NOTREQD - 不需要密码。

PASSWD_CANT_CHANGE - 用户不能更改密码。可以读取此标志，但不能直接设置它。

ENCRYPTED_TEXT_PASSWORD_ALLOWED - 用户可以发送加密的密码。

TEMP_DUPLICATE_ACCOUNT - 此帐户属于其主帐户位于另一个域中的用户。此帐户为用户提

供访问该域的权限，但不提供访问信任该域的任何域的权限。有时将这种帐户称为“本地用户帐户”。





NORMAL_ACCOUNT - 这是表示典型用户的默认帐户类型。

INTERDOMAIN_TRUST_ACCOUNT - 对于信任其他域的系统域，此属性允许信任该系统域的帐

户。



WORKSTATION_TRUST_ACCOUNT - 这是运行 Microsoft Windows NT 4.0 Workstation、

Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional 或 Windows 2000

Server 并且属于该域的计算机的计算机帐户。











SERVER_TRUST_ACCOUNT - 这是属于该域的域控制器的计算机帐户。

DONT_EXPIRE_PASSWD - 表示在该帐户上永远不会过期的密码。

MNS_LOGON_ACCOUNT - 这是 MNS 登录帐户。

SMARTCARD_REQUIRED - 设置此标志后，将强制用户使用智能卡登录。

TRUSTED_FOR_DELEGATION - 设置此标志后，将信任运行服务的服务帐户（用户或计算机帐

户）进行 Kerberos 委派。任何此类服务都可模拟请求该服务的客户端。若要允许服务进行

Kerberos 委派，必须在服务帐户的 userAccountControl 属性上设置此标志。



NOT_DELEGATED - 设置此标志后，即使将服务帐户设置为信任其进行 Kerberos 委派，也不会

将用户的安全上下文委派给该服务。



USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) 将此用户限制为仅使用数据加

密标准 (DES) 加密类型的密钥。



DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 此帐户在登录时不需要进

行 Kerberos 预先验证。





PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) 用户的密码已过期。

TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 允许该帐

户进行委派。这是一个与安全相关的设置。应严格控制启用此选项的帐户。此设置允许该帐户运行

的服务冒充客户端的身份，并作为该用户接受网络上其他远程服务器的身份验证。