Felhasználói biztonsági attribútumok
A felhasználói objektumok elnevezési tulajdonságai mellett, például objectGUID, objectSid, cn, distinguishedNamestb., más biztonsági tulajdonságok is használhatók a bejelentkezéshez, a hálózati hozzáféréshez és a hozzáférés-vezérléshez. Ezeket a tulajdonságokat a Windows biztonsági rendszere használja, és az Active Directory felhasználói és számítógépei beépülő modul tekintheti meg és felügyelheti őket.
accountExpires
Az accountExpires attribútum határozza meg, hogy mikor jár le egy fiók. Ez az érték egy nagy egész számként van tárolva, amely az 1601. január 1. (UTC) óta eltelt 100 nanoszekundumos intervallumok számát jelöli. A TIMEQ_FOREVER (az Lmaccess.h fájlban definiált) érték azt jelzi, hogy egy fiók soha nem jár le.
altSecurityIdentities
Az altSecurityIdentities attribútum egy többértékű attribútum, amely X.509-tanúsítványok vagy külső Kerberos-felhasználói fiókok leképezéseit tartalmazza a felhasználóhoz hitelesítés céljából. A különböző biztonsági csomagok, köztük a nyilvános kulcsú hitelesítési csomag és a Kerberos ezeket az adatokat használják a felhasználók hitelesítésére, amikor az azonosítás alternatív formáját mutatják be, például tanúsítványt, UNIX Kerberos-jegyet stb. Hozzon létre egy Windows 2000-jogkivonatot a megfelelő felhasználói fiók alapján, hogy hozzáférhessenek a rendszer erőforrásaihoz.
Az X.509-tanúsítványok esetében az értékeknek a külső nyilvános hitelesítésszolgáltató által kiadott 509v3-tanúsítványok kiállítói és tulajdonosi neveinek kell lenniük, amelyek a hitelesítéshez használt fiók megkereséséhez használt felhasználói fiókhoz lesznek megfeleltetve. Az SSL (Schannel) csomag a következő szintaxist használja: X509:<néhánycertinfotípus>somecertinfo. A következő érték például a "<C=US,O=InternetCA,CN=APublicCertificateAuthority" DN és a DN "<>S>" DN -t adja meg a "C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith" DN-vel.
X509:<I>C=US,O=InternetCA,CN=APublicCertificateAuthority<S>C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith
Vegye figyelembe, hogy a "<S>" vagy "<Én>" és "<S>" támogatottak. A "<én>" nem támogatott. Az alkalmazások nem módosíthatják az "<I>" vagy "<S>" értékeket, mert a részleges DN-egyeztetés nem támogatott.
Külső Kerberos-fiókok esetén az értékeknek a Kerberos-fiók nevének kell lenniük. A Kerberos-csomag a következő szintaxist használja: Kerberos:MITaccountname. Például a következő egy fiók értéke a Fabrikam.com:
Kerberos:Jeff.Smith@Fabrikam.com
badPasswordTime
Nem replikált. A badPasswordTime attribútum azt határozza meg, hogy a felhasználó mikor próbált meg utoljára helytelen jelszóval bejelentkezni a fiókba. Ez az érték egy nagy egész számként van tárolva, amely az 1601. január 1. (UTC) óta eltelt 100 nanoszekundumos intervallumok számát jelöli. Ezt az attribútumot a rendszer külön kezeli a tartomány minden tartományvezérlőjén. A nulla érték azt jelenti, hogy az utolsó rossz jelszóidő ismeretlen. Ahhoz, hogy pontos értéket kapjon a felhasználó utolsó rossz jelszóideje a tartományban, le kell kérdezni a tartomány minden tartományvezérlőjét, és a legnagyobb értéket kell használnia.
badPwdCount
Nem replikált. A badPwdCount attribútum határozza meg, hogy a felhasználó hány alkalommal próbált meg helytelen jelszóval bejelentkezni a fiókba. Ezt az attribútumot a rendszer külön kezeli a tartomány minden tartományvezérlőjén. A 0 értéke azt jelzi, hogy az érték ismeretlen. Ha pontos értéket szeretne kapni a felhasználó teljes rossz jelszóval kapcsolatos kísérleteihez a tartományban, le kellkérdezni a tartomány minden tartományvezérlőjét, és használni kell az értékek összegét.
codePage
A codePage attribútum a felhasználó által választott nyelv kódlapját adja meg. Ezt az értéket a Windows nem használja.
countryCode
A countryCode attribútum a felhasználó nyelvének ország-/régiókódját adja meg. Ezt az értéket a Windows nem használja.
homeDirectory
A homeDirectory attribútum határozza meg a felhasználó kezdőkönyvtárának elérési útját. A sztring null értékű lehet.
Ha homeDrive be van állítva, és meghajtóbetűjelet ad meg, homeDirectory UNC elérési útnak kell lennie. Az elérési útnak a \\server\share\directory űrlap hálózati UNC elérési útjának kell lennie. Ez az érték lehet null sztring.
Ha homeDrive nincs beállítva, homeDirectory helyi elérési útnak kell lennie, például C:\mylocaldir.
homeDrive
A homeDrive attribútum azt a meghajtóbetűjelet adja meg, amelyhez a homeDirectoryáltal megadott UNC-elérési út megfeleltethető. A meghajtóbetűjelet a következő formában kell megadni:
<drive letter>:
ahol a "<meghajtó betűjele>" a megfeleltetendő meghajtó betűjele. Például:
Z:
Ha ez az attribútum nincs beállítva, a homeDirectory helyi elérési útnak kell lennie, például C:\mylocaldir.
lastLogoff
Nem replikált. A lastLogoffattribútumhatározza meg, hogy mikor történt az utolsó kijelentkezés. Ez az érték egy nagy egész számként van tárolva, amely az 1601. január 1. (UTC) óta eltelt 100 nanoszekundumos intervallumok számát jelöli. A nagy egész szám nagy része a FILETIME struktúrájának dwHighDateTime tagjának felel meg, az alsó rész pedig a FILETIME szerkezet dwLowDateTime tagjának felel meg. Ezt az attribútumot a rendszer külön kezeli a tartomány minden tartományvezérlőjén. A nulla érték azt jelenti, hogy az utolsó kijelentkezés időpontja ismeretlen. A felhasználó utolsó emblémájának pontos értékének lekéréséhez a tartomány minden tartományvezérlőjét le kell kérdezni, és a legnagyobb értéket kell használni.
lastLogon
Nem replikált. A lastLogonattribútumhatározza meg, hogy mikor történt az utolsó bejelentkezés. Ez az érték egy nagy egész számként van tárolva, amely az 1601. január 1. (UTC) óta eltelt 100 nanoszekundumos intervallumok számát jelöli. A nagy egész szám nagy része a FILETIME struktúrájának dwHighDateTime tagjának felel meg, az alsó rész pedig a FILETIME szerkezet dwLowDateTime tagjának felel meg. Ezt az attribútumot a rendszer külön kezeli a tartomány minden tartományvezérlőjén. A nulla érték azt jelenti, hogy az utolsó bejelentkezési idő ismeretlen. Ha pontos értéket szeretne kapni a felhasználó utolsó bejelentkezéséhez a tartományban, le kell kérdezni a tartomány minden tartományvezérlőjét, és a legnagyobb értéket kell használnia.
lmPwdHistory
Az lmPwdHistory attribútum a felhasználó jelszóelőzményei lan manager (LM) egyirányú formátumban (OWF). Az LM OWF a LAN Manager 2.x-ügyfelekkel, a Windows 95-zel és a Windows 98-zal való kompatibilitáshoz használható. Ezt az attribútumot csak az operációs rendszer használja. Vegye figyelembe, hogy a egyszerű szöveges jelszó nem származtatható a jelszó OWF-formájából.
logonCount
Nem replikált. A logonCount attribútum megszámolja, hogy a felhasználó hány sikeres alkalommal próbált bejelentkezni ebbe a fiókba. Ez az attribútum a tartomány minden tartományvezérlőjén megmarad. A 0 értéke azt jelzi, hogy az érték ismeretlen. Ha pontos értéket szeretne kapni a felhasználó által a tartományban végzett sikeres bejelentkezési kísérletek teljes számához, le kellkérdezni a tartomány minden tartományvezérlőjét, és használni kell az értékek összegét.
posta
A mail attribútum egy egyértékű attribútum, amely a felhasználó SMTP-címét tartalmazza, például jeff@Fabrikam.com.
maxStorage
A maxStorage attribútum határozza meg a merevlemez-meghajtók maximális méretét, amelyet a felhasználó használhat. Használja a USER_MAXSTORAGE_UNLIMITED (az Lmaccess.h fájlban definiált) értéket az összes rendelkezésre álló lemezterület használatához.
memberOf
A memberOf attribútum egy többértékű attribútum, amely olyan csoportokat tartalmaz, amelyeknek a felhasználó közvetlen tagja, kivéve az elsődleges csoportot, amelyet a primaryGroupIdképvisel. A csoporttagság attól a tartományvezérlőtől (DC) függ, amelytől ezt az attribútumot kéri le:
- A felhasználót tartalmazó tartomány tartományvezérlőjén tagOf teljes a tartományban lévő csoportok tagsága tekintetében; azonban
memberOfnem tartalmazza a felhasználó tagságát a tartomány helyi és globális csoportjaiban más tartományokban. - A GC-kiszolgálón a felhasználó memberOf teljes az összes univerzális csoporttagság tekintetében.
Ha mindkét feltétel igaz a tartományvezérlőre, mindkét adatkészletet memberOftartalmazza.
Vegye figyelembe, hogy ez az attribútum felsorolja azokat a csoportokat, amelyek a tagattribútumban tartalmazzák a felhasználót – nem tartalmazza a beágyazott elődök rekurzív listáját. Ha például az O felhasználó a C csoport tagja, a B csoport és a B csoport pedig az A csoportba lett beágyazva, akkor az O felhasználó tagOf attribútuma a C csoportot és a B csoportot listázná, de az A csoportot nem.
Ez az attribútum nincs tárolva – ez egy számított háttérhivatkozási attribútum.
ntPwdHistory
Az ntPwdHistory attribútum a felhasználó jelszóelőzményei egyirányú Windows NT formátumban (OWF). A Windows a Windows NT OWF-et használja. Ezt az attribútumot csak az operációs rendszer használja. Vegye figyelembe, hogy a egyszerű szöveges jelszót nem tudja visszavezetni a jelszó OWF-formájából.
otherMailbox
Az otherMailbox attribútum egy többértékű attribútum, amely más e-mail címeket is tartalmaz egy űrlapon, például CCMAIL: JeffSmith.
PasswordExpirationDate
A jelszó lejárati dátuma nem attribútum a felhasználói objektumon. Ez egy számított érték a felhasználó pwdLastSet összegén és a felhasználó tartományának maxPwdAge alapján. A jelszó lejárati dátumának lekéréséhez kérje le a IADsUser.PasswordExpirationDate tulajdonságot. Ezt az attribútumot nem módosíthatja egy felhasználó esetében; ehelyett állítsa be az IADsDomain.MaxPasswordAge tulajdonságot a tartomány beállításának módosításához.
primaryGroupId
A primaryGroupId attribútum egy egyértékű attribútum, amely az objektum elsődleges csoportját képező csoport primaryGroupToken tartalmazza. Az objektum elsődleges csoportja nem szerepel a memberOf attribútumban. Alapértelmezés szerint például egy felhasználói objektum elsődleges csoportja a Tartományfelhasználók csoport primaryGroupToken, de a Tartományfelhasználók csoport nem része a felhasználói objektum memberOf attribútumának.
profilePath
A profilePath attribútum megadja a felhasználó profiljának elérési útját. Ez az érték lehet null sztring, helyi abszolút elérési út vagy UNC elérési út.
pwdLastSet
A pwdLastSet attribútum határozza meg, hogy mikor módosították utoljára a jelszót. Ez az érték egy nagy egész számként van tárolva, amely az 1601. január 1. (UTC) óta eltelt 100 nanoszekundumos intervallumok számát jelöli.
A rendszer ennek az attribútumnak az értékét és a felhasználói objektumot tartalmazó tartomány maxPwdAge attribútumát használja a jelszó lejárati dátumának kiszámításához. Vagyis a pwdLastSet összege a felhasználó és a felhasználó tartományának maxPwdAge.
Ez az attribútum szabályozza, hogy a felhasználónak módosítania kell-e a jelszót, amikor a felhasználó legközelebb bejelentkezik. Ha pwdLastSet értéke nulla, akkor a felhasználónak a következő bejelentkezéskor módosítania kell a jelszót. A -1 érték azt jelzi, hogy a felhasználónak nem kell módosítania a jelszót a következő bejelentkezéskor. A rendszer ezt az értéket -1 értékre állítja, miután a felhasználó beállította a jelszót.
sAMAccountType
A sAMAccountType attribútum a fióktípust képviselő egész számot adja meg. Ezt az operációs rendszer állítja be az objektum létrehozásakor.
scriptPath
A scriptPath attribútum határozza meg a felhasználó bejelentkezési szkriptjének, .cmd, .exevagy .bat fájljának elérési útját. A sztring null értékű lehet.
tokenGroups
A tokenGroups attribútum egy többértékű attribútum, amely tartalmazza az összes olyan csoport SID-azonosítóját, amelynek a felhasználó közvetlen és közvetett tagja, beleértve az elsődleges csoportot is. Ez az attribútum csak akkor kérhető le, ha egy globális katalóguskiszolgáló (GC) van jelen az átvitt fordított tagságok lekéréséhez.
Vegye figyelembe, hogy ez az attribútum felsorolja azokat a csoportokat, amelyek a tagattribútumban tartalmazzák a felhasználót, valamint azokat a csoportokat, amelyek ezeket a csoportokat tartalmazzák a tagattribútumban, és így tovább rekurzívan. Ha például az O felhasználó a C csoport tagja, a B csoport és a B csoport az A csoportba lett beágyazva, akkor az O felhasználó tokenGroups attribútuma a C, a B és az A csoportot sorolja fel.
A tokenGroups attribútum hasznos attribútum a csoporttagságok listájának lekéréséhez mindössze két LDAP-lekérdezésben: az első, amely lekéri a csoportazonosítók listáját a felhasználó tokenGroups attribútumából, a második pedig az SID-k listájával az egyes csoportok névattribútumának lekéréséhez. Így nem kell több keresést végeznie az elsődlegesGroupId attribútum kibontásához és a memberOf attribútum rekurzív kibontásához.
unicodePwd
A unicodePwd attribútum a felhasználói jelszó.
A felhasználói jelszó beállításához használja az IADsUser.ChangePassword metódust, ha a szkript vagy alkalmazás lehetővé teszi a felhasználó számára a saját jelszavának módosítását, vagy IADsUser.SetPassword metódust, ha a szkript vagy alkalmazás engedélyezi a rendszergazda számára a jelszó alaphelyzetbe állítását.
A felhasználó jelszava egyirányú Windows NT formátumban (OWF). A Windows a Windows NT OWF-et használja. Ezt az attribútumot csak az operációs rendszer használja. Vegye figyelembe, hogy a egyszerű szöveges jelszót nem tudja visszavezetni a jelszó OWF-formájából.
userAccountControl
A userAccountControl attribútum olyan jelölőket határoz meg, amelyek szabályozzák a felhasználó jelszavát, zárolását, letiltását/engedélyezését, parancsfájlját és otthoni címtárának viselkedését. Ez az attribútum egy jelölőt is tartalmaz, amely az objektum fióktípusát jelzi. A felhasználói objektum általában rendelkezik a UF_NORMAL_ACCOUNT készlettel.
A következő jelzők az Lmaccess.h-ban vannak definiálva.
| Zászló | Leírás |
|---|---|
| UF_SCRIPT | A bejelentkezési szkript végrehajtása. Ezt az értéket a LAN Manager 2.0-s vagy a Windows NT-hez kell beállítani. |
| UF_ACCOUNTDISABLE | A felhasználói fiók le van tiltva. |
| UF_HOMEDIR_REQUIRED | A kezdőkönyvtárra van szükség. Ezt az értéket a rendszer figyelmen kívül hagyja a Windows NT és a Windows 2000 rendszerben. |
| UF_PASSWD_NOTREQD | Nincs szükség jelszóra. |
| UF_PASSWD_CANT_CHANGE | A felhasználó nem módosíthatja a jelszót. |
| UF_LOCKOUT | A fiók jelenleg zárolva van. Ez az érték törölhető egy korábban zárolt fiók zárolásának feloldásához. Ez az érték nem használható egy korábban zárolt fiók zárolására. |
| UF_DONT_EXPIRE_PASSWD | A jelszót jelöli, amely soha nem jár le a fiókban. |
Az alábbi jelzők a fiók típusát írják le. Csak egy érték állítható be. A fióktípus nem módosítható.
| Zászló | Leírás |
|---|---|
| UF_NORMAL_ACCOUNT | Ez egy alapértelmezett fióktípus, amely egy tipikus felhasználót jelöl. |
| UF_TEMP_DUPLICATE_ACCOUNT | Ez egy olyan fiók, amelynek az elsődleges fiókja egy másik tartományban található. Ez a fiók hozzáférést biztosít ehhez a tartományhoz, de nem olyan tartományhoz, amely megbízik ebben a tartományban. A User Manager erre a fióktípusra helyi felhasználói fiókként hivatkozik. |
| UF_WORKSTATION_TRUST_ACCOUNT | Ez a windowsos NT Workstation/Windows 2000 Professional vagy Windows NT Server/Windows 2000 Server számítógépfiókja, amely ennek a tartománynak a tagja. |
| UF_SERVER_TRUST_ACCOUNT | Ez egy olyan Windows NT Backup tartományvezérlő számítógépfiókja, amely ennek a tartománynak a tagja. |
| UF_INTERDOMAIN_TRUST_ACCOUNT | Ez egy olyan windowsos NT-tartomány fiókjának megbízhatósági engedélyezése, amely más tartományokban is megbízik. |
userCertificate
A userCertificate attribútum egy többértékű attribútum, amely tartalmazza a felhasználónak kibocsátott DER kódolású X509v3 tanúsítványokat. Vegye figyelembe, hogy ez az attribútum tartalmazza a Microsoft Tanúsítványszolgáltatás által a felhasználónak kibocsátott nyilvános kulcsú tanúsítványokat.
userSharedFolder
A userSharedFolder attribútum a felhasználó megosztott dokumentummappájának UNC elérési útját adja meg. Az elérési útnak a \\server\share\directory űrlap hálózati UNC elérési útjának kell lennie. Ez az érték lehet null sztring.
userWorkstations
A userWorkstations attribútum egy egyértékű attribútum, amely azon munkaállomások NetBIOS-nevét tartalmazza, amelyekbe a felhasználó bejelentkezhet. Minden NetBIOS-nevet vessző választ el egymástól.
Ha nincsenek beállítva értékek, az azt jelzi, hogy nincs korlátozás. Ha le szeretné tiltani a bejelentkezéseket az összes munkaállomásról erre a fiókra, állítsa be a UF_ACCOUNTDISABLE értéket (az Lmaccess.h-ban definiálva) userAccountControl attribútumban.