Atributy zabezpečení uživatele
Kromě pojmenování vlastností pro uživatelské objekty, například objectGUID, objectSid, cn, rozlišujícíNameatd., existují další vlastnosti zabezpečení používané pro přihlášení, přístup k síti a řízení přístupu. Tyto vlastnosti používají systém zabezpečení systému Windows a dají se zobrazit a spravovat pomocí modulu snap-in uživatelé a počítače služby Active Directory.
accountExpires
Atribut accountExpires určuje, kdy vyprší platnost účtu. Tato hodnota je uložena jako velké celé číslo, které představuje počet intervalů 100 nanosekund od 1. ledna 1601 (UTC). Hodnota TIMEQ_FOREVER (definovaná v Lmaccess.h) značí, že účet nikdy nevyprší.
altSecurityIdentities
Atribut altSecurityIdentities je atribut s více hodnotami, který obsahuje mapování certifikátů X.509 nebo externích uživatelských účtů Kerberos na tohoto uživatele pro účely ověřování. Různé balíčky zabezpečení, včetně ověřovacího balíčku veřejného klíče a Protokolu Kerberos, používají tato data k ověřování uživatelů, když představují alternativní formu identifikace, jako je certifikát, lístek kerberos systému UNIX atd. Vytvořte token systému Windows 2000 na základě odpovídajícího uživatelského účtu, aby mohl přistupovat k systémovým prostředkům.
U certifikátů X.509 by hodnoty měly být názvy vystavitele a subjektu v certifikátech 509v3 vydané externí veřejnou certifikační autoritou, které se mapují na uživatelský účet použitý k vyhledání účtu pro ověřování. Balíček SSL (Schannel) používá následující syntaxi: X509:<somecertinfotype>somecertinfoinfo. Například následující hodnota určuje dn vystavitele "<I>" s DN "C=US,O=InternetCA,CN=APublicCertificateAuthority" a předmět DN "<S>" s DN "C=US,O=Fabrikam;OU=Sales,CN=Jeff Smith".
X509:<I>C=US,O=InternetCA,CN=APublicCertificateAuthority<S>C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith
Mějte na paměti, že se podporují<S>nebo<I>a<S>. Použití pouze "<>" není podporováno. Aplikace by neměly upravovat hodnoty v<I>nebo<S>, protože částečné párování DN není podporováno.
U externích účtů Kerberos by měly být hodnoty názvem účtu Kerberos. Balíček Kerberos používá následující syntaxi: Kerberos:MITaccountname. Například následující hodnota je hodnota účtu na Fabrikam.com:
Kerberos:Jeff.Smith@Fabrikam.com
badPasswordTime
Nereplikované. Atribut badPasswordTime určuje, kdy se uživatel naposledy pokusil přihlásit k účtu pomocí nesprávného hesla. Tato hodnota je uložena jako velké celé číslo, které představuje počet intervalů 100 nanosekund od 1. ledna 1601 (UTC). Tento atribut se udržuje samostatně na každém řadiči domény v doméně. Hodnota nuly znamená, že poslední chybná doba hesla je neznámá. Pokud chcete získat přesnou hodnotu posledního chybného času hesla uživatele v doméně, musí se každý řadič domény v doméně dotazovat a měla by se použít největší hodnota.
badPwdCount
Nereplikované. Atribut badPwdCount určuje, kolikrát se uživatel pokusil přihlásit k účtu pomocí nesprávného hesla. Tento atribut se udržuje samostatně na každém řadiči domény v doméně. Hodnota 0 označuje, že hodnota je neznámá. Pokud chcete získat přesnou hodnotu pro celkový počet pokusů o chybné heslo uživatele v doméně, musí se každý řadič domény v doméně dotazovat a použít součet hodnot.
codePage
Atribut codePage určuje znakovou stránku pro vybraný jazyk uživatele. Tato hodnota není používána systémem Windows.
countryCode
Atribut countryCode určuje kód země/oblasti pro jazyk uživatele. Tato hodnota není používána systémem Windows.
homeDirectory
Atribut homeDirectory určuje cestu k domovskému adresáři pro uživatele. Řetězec může mít hodnotu null.
Pokud je homeDrive nastavena a určuje písmeno jednotky, homeDirectory by měla být cesta UNC. Cesta musí být síťová cesta UNC formuláře \\server\share\directory. Tato hodnota může být řetězec null.
Pokud homeDrive není nastavený, homeDirectory by měla být místní cesta, například C:\mylocaldir.
HomeDrive
Atribut homeDrive určuje písmeno jednotky, na které se má mapovat cesta UNC určená homeDirectory. Písmeno jednotky musí být zadáno v následujícím formátu:
<drive letter>:
kde "<písmeno jednotky>" je písmeno jednotky, která se má mapovat. Například:
Z:
Pokud tento atribut není nastavený, homeDirectory by měla být místní cesta, například C:\mylocaldir.
lastLogoff
Nereplikované. Atribut lastLogoff určuje, kdy došlo k poslednímu odhlášení. Tato hodnota je uložena jako velké celé číslo, které představuje počet intervalů 100 nanosekund od 1. ledna 1601 (UTC). Velká část tohoto velkého celého čísla odpovídá dwHighDateTime členu struktury FILETIME a nízká část odpovídá dwLowDateTime členu struktury FILETIME. Tento atribut se udržuje samostatně na každém řadiči domény v doméně. Hodnota nuly znamená, že čas posledního odhlášení je neznámý. Pokud chcete získat přesnou hodnotu posledního odhlášení uživatele v doméně, musí být každý řadič domény v doméně dotazován a měla by se použít největší hodnota.
lastLogon
Nereplikované. Atribut lastLogon určuje, kdy došlo k poslednímu přihlášení. Tato hodnota je uložena jako velké celé číslo, které představuje počet intervalů 100 nanosekund od 1. ledna 1601 (UTC). Velká část tohoto velkého celého čísla odpovídá dwHighDateTime členu struktury FILETIME a nízká část odpovídá dwLowDateTime členu struktury FILETIME. Tento atribut se udržuje samostatně na každém řadiči domény v doméně. Hodnota nuly znamená, že čas posledního přihlášení je neznámý. Aby bylo možné získat přesnou hodnotu posledního přihlášení uživatele v doméně, musí být každý řadič domény v doméně dotazován a měla by se použít největší hodnota.
lmPwdHistory
Atribut lmPwdHistory je historie hesel uživatele v jednosměrném formátu LAN Manageru (LM). LM OWF se používá pro kompatibilitu s klienty LAN Manager 2.x, Windows 95 a Windows 98. Tento atribut používá pouze operační systém. Mějte na paměti, že heslo prostého textu nelze odvodit z formuláře OWF hesla.
logonCount
Nereplikované. Atribut logonCount spočítá počet úspěšných pokusů, po které se uživatel pokusil přihlásit k tomuto účtu. Tento atribut se udržuje na každém řadiči domény v doméně. Hodnota 0 označuje, že hodnota je neznámá. Pokud chcete získat přesnou hodnotu celkového počtu úspěšných pokusů o přihlášení uživatele v doméně, musí se každý řadič domény v doméně dotazovat a použít součet hodnot.
pošta
Atributpoštyje atribut s jednou hodnotou, který obsahuje adresu SMTP pro uživatele, například jeff@Fabrikam.com.
maxStorage
Atribut maxStorage určuje maximální velikost místa na pevném disku, které může uživatel použít. K použití veškerého dostupného místa na disku použijte hodnotu USER_MAXSTORAGE_UNLIMITED (definovaná v souboru Lmaccess.h).
členOf
Atribut memberOf je atribut s více hodnotami, který obsahuje skupiny, jejichž je uživatel přímým členem, s výjimkou primární skupiny, která je reprezentována primaryGroupId. Členství ve skupinách závisí na řadiči domény (DC), ze kterého se tento atribut načte:
- V řadiči domény, která obsahuje uživatele, členOf pro uživatele je úplný s ohledem na členství ve skupinách v této doméně; ale
memberOfneobsahuje členství uživatele v doméně místní a globální skupiny v jiných doménách. - Na serveru GC členOf pro uživatele je úplný s ohledem na všechna členství v univerzální skupině.
Pokud platí obě podmínky pro řadič domény, obě sady dat jsou obsaženy v členOf.
Mějte na paměti, že tento atribut obsahuje skupiny, které obsahují uživatele ve svém atributu člena – neobsahuje rekurzivní seznam vnořených předchůdců. Pokud je například uživatel O členem skupiny C a skupiny B a skupiny B vnořeny do skupiny A, členOf atribut uživatele O by vypisoval skupinu C a skupinu B, ale ne skupinu A.
Tento atribut není uložený – jedná se o vypočítaný atribut zpětného propojení.
ntPwdHistory
Atribut ntPwdHistory je historie hesel uživatele v jednosměrném formátu systému Windows NT (OWF). Systém Windows používá systém Windows NT OWF. Tento atribut používá pouze operační systém. Mějte na paměti, že heslo prostého textu nelze odvodit zpět z formuláře OWF hesla.
otherMailbox
Atribut otherMailbox je atribut s více hodnotami, který obsahuje další e-mailové adresy ve formuláři, například CCMAIL: JeffSmith.
PasswordExpirationDate
Datum vypršení platnosti hesla není atributem objektu uživatele. Jedná se o počítanou hodnotu založenou na součtu pwdLastSet pro uživatele a maxPwdAge domény uživatele. Pokud chcete získat datum vypršení platnosti hesla, získejte vlastnost IADsUser.PasswordExpirationDate. Tento atribut nelze upravit pro uživatele; místo toho nastavte vlastnost IADsDomain.MaxPasswordAge a změňte nastavení domény.
primaryGroupId
Atribut primaryGroupId je atribut s jednou hodnotou, který obsahuje primaryGroupToken skupiny, která je primární skupinou objektu. Primární skupina objektu není zahrnuta v atributu memberOf. Ve výchozím nastavení je například primární skupina objektu uživatele primaryGroupToken skupiny Domain Users, ale skupina Domain Users není součástí atributu memberOf objektu uživatele.
profilePath
Atribut profilePath určuje cestu k profilu uživatele. Tato hodnota může být řetězec null, místní absolutní cesta nebo cesta UNC.
pwdLastSet
Atribut pwdLastSet určuje, kdy bylo heslo naposledy změněno. Tato hodnota je uložena jako velké celé číslo, které představuje počet intervalů 100 nanosekund od 1. ledna 1601 (UTC).
Systém používá hodnotu tohoto atributu a maxPwdAge atributu domény, která obsahuje objekt uživatele k výpočtu data vypršení platnosti hesla. To znamená, že součet pwdLastSet pro uživatele a maxPwdAge domény uživatele.
Tento atribut určuje, jestli uživatel musí změnit heslo, když se uživatel přihlásí k dalšímu. Pokud je pwdLastSet nula, musí uživatel při příštím přihlášení změnit heslo. Hodnota -1 značí, že uživatel při příštím přihlášení nemusí měnit heslo. Systém tuto hodnotu nastaví na -1 po nastavení hesla uživatelem.
sAMAccountType
Atribut sAMAccountType určuje celé číslo, které představuje typ účtu. To je nastaveno operačním systémem při vytvoření objektu.
scriptPath
AtributscriptPath určuje cestu přihlašovacího skriptu uživatele, .cmd, .exenebo souboru .bat. Řetězec může mít hodnotu null.
tokenGroups
Atribut tokenGroups je atribut s více hodnotami, který obsahuje identifikátor SID všech skupin, kterých je uživatel přímým a nepřímým členem, včetně primární skupiny. Tento atribut lze načíst pouze v případě, že je k dispozici server globálního katalogu pro načtení tranzitivních reverzních členství.
Mějte na paměti, že tento atribut uvádí skupiny, které obsahují uživatele ve svém atributu člena, a také skupiny, které tyto skupiny obsahují ve svém atributu člena atd. Pokud je uživatel O členem skupiny C a skupiny B a skupiny B byly vnořeny do skupiny A, tokenGroups atribut uživatele O by vypsal skupinu C, skupinu B a skupinu A.
Atribut tokenGroups je užitečný atribut pro získání seznamu členství ve skupinách v pouhých dvou dotazech LDAP: první k získání seznamu identifikátorů SID skupin z atributu tokenGroups uživatele, druhý pomocí tohoto seznamu identifikátorů SID k získání atributu názvu každé skupiny. Vyhne se nutnosti provádět více hledání, aby se rozbalil atribut primaryGroupId a rekurzivně rozbalil atribut memberOf.
UnicodePwd
Atribut unicodePwd je uživatelské heslo.
Pokud chcete nastavit heslo uživatele, použijte metodu IADsUser.ChangePassword, pokud váš skript nebo aplikace umožní uživateli změnit vlastní heslo nebo IADsUser.SetPassword metodu, pokud váš skript nebo aplikace umožňuje správci resetovat heslo.
Heslo uživatele v jednosměrné podobě systému Windows NT (OWF). Systém Windows používá systém Windows NT OWF. Tento atribut používá pouze operační systém. Mějte na paměti, že heslo prostého textu nelze odvodit zpět z formuláře OWF hesla.
userAccountControl
Atribut userAccountControl určuje příznaky, které řídí heslo, uzamčení, zákaz/povolení, skript a chování domovského adresáře pro uživatele. Tento atribut obsahuje také příznak, který označuje typ účtu objektu. Uživatelský objekt má obvykle nastavenou UF_NORMAL_ACCOUNT.
Následující příznaky jsou definovány v Lmaccess.h.
| Vlajka | Popis |
|---|---|
| UF_SCRIPT | Spustil se přihlašovací skript. Tato hodnota musí být nastavena pro LAN Manager 2.0 nebo Windows NT. |
| UF_ACCOUNTDISABLE | Uživatelský účet je zakázaný. |
| UF_HOMEDIR_REQUIRED | Je vyžadován domovský adresář. Tato hodnota je ignorována v systému Windows NT a Windows 2000. |
| UF_PASSWD_NOTREQD | Nevyžaduje se žádné heslo. |
| UF_PASSWD_CANT_CHANGE | Uživatel nemůže změnit heslo. |
| UF_LOCKOUT | Účet je aktuálně uzamčený. Tuto hodnotu je možné vymazat, pokud chcete odemknout dříve uzamčený účet. Tuto hodnotu nelze použít k uzamčení dříve uzamčeného účtu. |
| UF_DONT_EXPIRE_PASSWD | Představuje heslo, které by nikdy nemělo vypršet platnost účtu. |
Následující příznaky popisují typ účtu. Lze nastavit pouze jednu hodnotu. Typ účtu nelze změnit.
| Vlajka | Popis |
|---|---|
| UF_NORMAL_ACCOUNT | Toto je výchozí typ účtu, který představuje typického uživatele. |
| UF_TEMP_DUPLICATE_ACCOUNT | Jedná se o účet pro uživatele, jejichž primární účet je v jiné doméně. Tento účet poskytuje přístup uživatele k této doméně, ale ne k žádné doméně, která této doméně důvěřuje. Správce uživatelů označuje tento typ účtu jako místní uživatelský účet. |
| UF_WORKSTATION_TRUST_ACCOUNT | Jedná se o účet počítače pro windows NT Workstation/Windows 2000 Professional nebo Windows NT Server/Windows 2000 Server, který je členem této domény. |
| UF_SERVER_TRUST_ACCOUNT | Jedná se o účet počítače pro řadič domény zálohování systému Windows NT, který je členem této domény. |
| UF_INTERDOMAIN_TRUST_ACCOUNT | Jedná se o povolení důvěřovat účtu pro doménu systému Windows NT, která důvěřuje jiným doménám. |
userCertificate
Atribut userCertificate je atribut s více hodnotami, který obsahuje certifikáty X509v3 s kódováním DER vydané uživateli. Mějte na paměti, že tento atribut obsahuje certifikáty veřejného klíče vydané pro tohoto uživatele službou Microsoft Certificate Service.
userSharedFolder
Atribut userSharedFolder určuje cestu UNC ke složce sdílených dokumentů uživatele. Cesta musí být síťová cesta UNC formuláře \\server\share\directory. Tato hodnota může být řetězec null.
userWorkstations
Atribut userWorkstations je atribut s jednou hodnotou, který obsahuje názvy pracovních stanic NetBIOS, ze kterých se uživatel může přihlásit. Každý název rozhraní NetBIOS je oddělený čárkou.
Pokud nejsou nastaveny žádné hodnoty, znamená to, že neexistuje žádné omezení. Pokud chcete zakázat přihlášení ze všech pracovních stanic k tomuto účtu, nastavte hodnotu UF_ACCOUNTDISABLE (definovanou v Lmaccess.h) v atributu userAccountControl.