AD域中的用户帐户控制属性（UserAccountControl）是什么？

在本文中，您将了解 Active Directory 中的 UserAccountControl 属性。此外，我还创建了一个表，其中列出了所有 UserAccountControl 属性标志及其说明，您可以搜索和筛选该表。

UserAccountControl 属性是什么？

UserAccountControl 是 Active Directory 中用户和计算机对象的属性。此属性代表各种设置和标志，告诉 Windows 要启用哪些用户帐户选项。例如，当帐户被禁用时，该帐户的 UserAccountControl 值将为 514。

您可以使用 UserAccountControl 属性搜索具有特定设置的帐户或更新用户帐户设置。查看此属性时，该值将以十进制或十六进制格式显示。您可以使用下表查看每个值的说明。

UserAccountControl 属性是累积的（重要）

在使用 UserAccountControl 属性时理解这一点非常重要。

UserAccountControl 属性值是累积的，这意味着设置其他帐户属性时该数字将会增加。在搜索具有特定标志的帐户时了解这一点很重要，因为您可能会搜索错误的值。

让我们看一个例子。

创建用户帐户时，其值通常为 512（十六进制为 0x200）。

当帐户被禁用时，该值更改为 514（十六进制为 0x202）。如果您查找已禁用帐户的 UserAccountControl 值，它将是 0x002（十进制 2）。那么为什么账号会变成514呢？

为什么值会变成514？

• 普通用户帐户 = 512
• 禁用帐户 = 2
• 将这些加在一起，得到 514

非常简单，但在搜索和查看用户帐户的 UserAccountControl 值时了解这一点很重要。

UserAccountControl 属性标志列表

提示#1： UserAccountControl 标志是累积的（见上文）。

提示#2：您无法设置某些值，因为这些值只能由目录服务设置。

属性标志	十六进制值	十进制值	描述
脚本	0x0001	1	将运行登录脚本。
帐户禁用	0x0002	2	用户帐户已被禁用。
HOMEDIR_REQUIRED	0x0008	8	主文件夹是必需的。
闭锁	0x0010	16	账户被锁定
PASSWD_NOTREQD	0x0020	32	不需要密码。
PASSWD_CANT_CHANGE	0x0040	64	用户无法更改密码。
ENCRYPTED_TEXT_PWD_ALLOWED	0x0080	128	用户可以发送加密的密码。
TEMP_DUPLICATE_ACCOUNT	0x0100	256	这是主帐户位于另一个域中的用户的帐户。
普通帐户	0x0200	第512章	它是代表典型用户的默认帐户类型。
INTERDOMAIN_TRUST_ACCOUNT	0x0800	2048	它是对信任其他域的系统域的帐户的信任许可。
WORKSTATION_TRUST_ACCOUNT	0x1000	4096	它是运行 Microsoft Windows NT 4.0 Workstation、NT 4.0 Server、2000 PRO 或 2000 Server 的计算机的计算机帐户，并且是该域的成员。
服务器信任帐户	0x2000	8192	它是属于该域的域控制器的计算机帐户。
DONT_EXPIRE_PASSWORD	0x10000	65536	代表帐户的密码，该密码永远不会过期。
MNS_登录帐户	0x20000	131072	这是一个MNS登录帐户。
SMARTCARD_REQUIRED	0x40000	262144	设置此标志后，它会强制用户使用智能卡登录。
TRUSTED_FOR_DELEGATION	0x80000	524288	设置此标志后，运行服务的服务帐户（用户或计算机帐户）将受到 Kerberos 委派的信任。
NOT_DELEGATED	0x100000	1048576	设置此标志后，即使服务帐户被设置为 Kerberos 委派的可信帐户，用户的安全上下文也不会委派给服务。
USE_DES_KEY_ONLY	0x200000	2097152	(Windows 2000/Windows Server 2003) 限制此主体仅使用数据加密标准 (DES) 密钥加密类型
DONT_REQ_PREAUTH	0x400000	4194304	(Windows 2000/Windows Server 2003) 此帐户不需要 Kerberos 预身份验证即可登录。
PASSWORD_EXPIRED	0x800000	8388608	(Windows 2000/Windows Server 2003) 用户密码已过期。
TRUSTED_TO_AUTH_FOR_DELEGATION	0x1000000	16777216	(Windows 2000/Windows Server 2003) 该帐户已启用委派。这是一个安全敏感的设置
PARTIAL_SECRETS_ACCOUNT	0x04000000	67108864	(Windows Server 2008/Windows Server 2008 R2) 该帐户是只读域控制器 (RODC)。这是一个安全敏感的设置。

如何查看 UserAccountControl 属性

在本部分中，我将向您展示如何使用 Active Directory 和 PowerShell 查看 UserAccountControl 属性。

步骤1.打开ADUC

打开 Active Directory 用户和计算机控制台。

步骤 2. 开设用户帐户

打开任意帐户并单击属性编辑器选项卡。向下滚动到 UserAccountControl 属性。

在属性编辑器框中，它将显示十六进制值。如果编辑该属性，它将显示十进制值。

步骤 3. 使用 PowerShell

要使用 PowerShell 获取 UserAccountControl 值，请使用此命令。

get-aduser -identity USERNAME -properties * | select name, useraccountcontrol

如何查找具有特定 UserAccountControl 标志的帐户

您可以轻松地在 Active Directory 中搜索具有特定 UserAccountControl 标志的帐户。

示例 1. 查找带有 512（正常）标志的帐户

在此示例中，我使用等于 PowerShell 运算符来表示 512 值。

get-aduser -filter * -properties UserAccountControl | where {$_.UserAccountControl -eq 512} | select name, UserAccountControl

示例2.查找不正常账户

在此示例中，我使用不等于运算符列出所有非 512 的帐户。

get-aduser -filter * -properties UserAccountControl | where {$_.UserAccountControl -ne 512} | select name, UserAccountControl

 

如何更改 UserAccountControl 属性

警告：您不应盲目更改 UserAccountControl 属性。这不是典型任务，只能在特定情况下完成。此外，如果您要对多个帐户执行此操作，则应在 1 或 2 个帐户上进行测试，以确保其具有所需的效果。

您可以通过多种方法更改 UserAccountControl 属性。

1. 手动使用 ADUC
2. PowerShell

手动使用 ADUC

使用 ADUC，您可以打开用户帐户并编辑 userAccountControl 属性，然后输入新值。例如这个账户值为514，我将其更改为512。

在值框中，我将输入 512 并单击“确定”。

使用 PowerShell 更改 UserAccountControl

您可以使用 set-aduser cmdlet 更改 UserAccountControl 属性。在此示例中，我将值从 514 更改为 512。

set-aduser -identity healther.jay -replace @{useraccountcontrol=512}

还有 set-ADAccountControl cmdlet 可让您修改 UserAccountControl 值。

Set-ADAccountControl -Identity healther.jay -PasswordNotRequired $False