DotNET与AD-常用属性 | 字痕随行

AD中节点为“User”类型的常用属性如下:

名称说明备注
sAMAccountName用户登录名Windows2000前
userPrincipalName用户登录名
userAccountControl帐户行为控制标志
cn公共名称通常以此属性标识该用户,name的值相同
name名称通常以此属性标识该用户,同公共名称CN
sn
givenName
displayName显示名称
mail电子邮件

重要的公共属性如下:

名称说明备注
objectGUIDID主键标识
objectClass类型person,user,organizationalUnit

"userAccountControl"的对应值如下:

属性标志十六进制值十进制值说明
SCRIPT0x00011将运行登录脚本
ACCOUNTDISABLE0x00022禁用用户帐户
HOMEDIR_REQUIRED0x00088需要主文件夹
LOCKOUT0x001016
PASSWD_NOTREQD0x002032不需要密码
PASSWD_CANT_CHANGE0x004064用户不能更改密码。可以读取此标志,但不能直接设置它
ENCRYPTED_TEXT_PWD_ALLOWED0x0080128用户可以发送加密的密码
TEMP_DUPLICATE_ACCOUNT0x0100256此帐户属于其主帐户位于另一个域中的用户。此帐户为用户提供访问该域的权限,但不提供访问信任该域的任何域的权限。有时将这种帐户称为“本地用户帐户”。
NORMAL_ACCOUNT0x0200512这是表示典型用户的默认帐户类型
INTERDOMAIN_TRUST_ACCOUNT0x08002048对于信任其他域的系统域,此属性允许信任该系统域的帐户
WORKSTATION_TRUST_ACCOUNT0x10004096这是运行 Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional 或 Windows 2000 Server 并且属于该域的计算机的计算机帐户。
SERVER_TRUST_ACCOUNT0x20008192这是属于该域的域控制器的计算机帐户
DONT_EXPIRE_PASSWORD0x1000065536表示在该帐户上永远不会过期的密码
MNS_LOGON_ACCOUNT0x20000131072这是 MNS 登录帐户
SMARTCARD_REQUIRED0x40000262144设置此标志后,将强制用户使用智能卡登录
TRUSTED_FOR_DELEGATION0x80000524288设置此标志后,将信任运行服务的服务帐户(用户或计算机帐户)进行 Kerberos 委派。任何此类服务都可模拟请求该服务的客户端。若要允许服务进行 Kerberos 委派,必须在服务帐户的userAccountControl 属性上设置此标志
NOT_DELEGATED0x1000001048576设置此标志后,即使将服务帐户设置为信任其进行 Kerberos 委派,也不会将用户的安全上下文委派给该服务
USE_DES_KEY_ONLY0x2000002097152(Windows 2000/Windows Server 2003) 将此用户限制为仅使用数据加密标准 (DES) 加密类型的密钥
DONT_REQ_PREAUTH0x4000004194304(Windows 2000/Windows Server 2003) 此帐户在登录时不需要进行 Kerberos 预先验证
PASSWORD_EXPIRED0x8000008388608(Windows 2000/Windows Server 2003) 用户的密码已过期
TRUSTED_TO_AUTH_FOR_DELEGATION0x100000016777216(Windows 2000/Windows Server 2003) 允许该帐户进行委派。这是一个与安全相关的设置。应严格控制启用此选项的帐户。此设置允许该帐户运行的服务冒充客户端的身份,并作为该用户接受网络上其他远程服务器的身份验证

"userAccountControl"的属性标志是累计的,针对66050可以如下面一样解析: 66050=65536+512+2,分别表示“65536” - 密码永不过期,“512” - 用户状态正常,“2” - 用户被禁用。

如果有问题,欢迎指正讨论。

image

觉的不错?可以关注我的公众号↑↑↑