AD 用户属性userAccountControl的详细解释

经常使用CSVDE DSADD工具批量修改导入汇出AD账号，一直对userAccountControl的详细含义不是很清楚，

userAccountControl记录了用户的AD账号的很多属性信息，是一组16进制数？

该属性标志是累积性的。若要禁用用户的帐户，请将 UserAccountControl属性设置为 0x0202 (0x002 + 0x0200)。在十进制中，它是 514 (2 + 512)。

Microsoft官方网站有详尽的解释。

但有时汇出的资料并不完全都是下面的数值，经常会出现514、66048等不在下列列表中的数值。

哈哈。。。看到“该属性标志是累积性的”的意思大家应该明白了。514可以看成是512+2 ，66048可以看成是65536+512

对应最后的解释，所以：

514=512+2=账号存在且关闭

66045=65536+512=密码永不过期+账号正常

属性标志

十六进制值

十进制值

SCRIPT

0x0001

1

ACCOUNTDISABLE

0x0002

2

HOMEDIR_REQUIRED

0x0008

8

LOCKOUT

0x0010

16

PASSWD_NOTREQD

0x0020

32

PASSWD_CANT_CHANGE

0x0040

64

ENCRYPTED_TEXT_PWD_ALLOWED

0x0080

128

TEMP_DUPLICATE_ACCOUNT

0x0100

256

NORMAL_ACCOUNT

0x0200

512

INTERDOMAIN_TRUST_ACCOUNT

0x0800

2048

WORKSTATION_TRUST_ACCOUNT

0x1000

4096

SERVER_TRUST_ACCOUNT

0x2000

8192

DONT_EXPIRE_PASSWORD

0x10000

65536

MNS_LOGON_ACCOUNT

0x20000

131072

SMARTCARD_REQUIRED

0x40000

262144

TRUSTED_FOR_DELEGATION

0x80000

524288

NOT_DELEGATED

0x100000

1048576

USE_DES_KEY_ONLY

0x200000

2097152

DONT_REQ_PREAUTH

0x400000

4194304

PASSWORD_EXPIRED

0x800000

8388608

TRUSTED_TO_AUTH_FOR_DELEGATION

0x1000000

16777216

属性标志说明

• SCRIPT - 将运行登录脚本。
• ACCOUNTDISABLE - 禁用用户帐户。
• HOMEDIR_REQUIRED - 需要主文件夹。
• PASSWD_NOTREQD - 不需要密码。
• PASSWD_CANT_CHANGE - 用户不能更改密码。可以读取此标志，但不能直接设置它。
• ENCRYPTED_TEXT_PASSWORD_ALLOWED - 用户可以发送加密的密码。
• TEMP_DUPLICATE_ACCOUNT - 此帐户属于其主帐户位于另一个域中的用户。此帐户为用户提供访问该域的权限，但不提供访问信任该域的任何域的权限。有时将这种帐户称为“本地用户帐户”。
• NORMAL_ACCOUNT - 这是表示典型用户的默认帐户类型。
• INTERDOMAIN_TRUST_ACCOUNT - 对于信任其他域的系统域，此属性允许信任该系统域的帐户。
• WORKSTATION_TRUST_ACCOUNT - 这是运行 Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional 或 Windows 2000 Server 并且属于该域的计算机的计算机帐户。
• SERVER_TRUST_ACCOUNT - 这是属于该域的域控制器的计算机帐户。
• DONT_EXPIRE_PASSWD - 表示在该帐户上永远不会过期的密码。
• MNS_LOGON_ACCOUNT - 这是 MNS 登录帐户。
• SMARTCARD_REQUIRED - 设置此标志后，将强制用户使用智能卡登录。
• TRUSTED_FOR_DELEGATION - 设置此标志后，将信任运行服务的服务帐户（用户或计算机帐户）进行 Kerberos 委派。任何此类服务都可模拟请求该服务的客户端。若要允许服务进行 Kerberos 委派，必须在服务帐户的userAccountControl属性上设置此标志。
• NOT_DELEGATED - 设置此标志后，即使将服务帐户设置为信任其进行 Kerberos 委派，也不会将用户的安全上下文委派给该服务。
• USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) 将此用户限制为仅使用数据加密标准 (DES) 加密类型的密钥。
• DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 此帐户在登录时不需要进行 Kerberos 预先验证。
• PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) 用户的密码已过期。
• TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 允许该帐户进行委派。这是一个与安全相关的设置。应严格控制启用此选项的帐户。此设置允许该帐户运行的服务冒充客户端的身份，并作为该用户接受网络上其他远程服务器的身份验证。