Atributos de segurança do usuário
Além de nomear propriedades para objetos de usuário, por exemplo, objectGUID, objectSid, cn, distinguishedName, e assim por diante, há outras propriedades de segurança usadas para logon, acesso à rede e controle de acesso. Essas propriedades são usadas pelo sistema de segurança do Windows e podem ser exibidas e gerenciadas pelo snap-in Ative Directory User and Computers.
contaExpira
O atributo accountExpires especifica quando uma conta expira. Este valor é armazenado como um número inteiro grande que representa o número de intervalos de 100 nanossegundos desde 1 de janeiro de 1601 (UTC). Um valor de TIMEQ_FOREVER (definido em Lmaccess.h) indica que uma conta nunca expira.
altSecurityIdentities
O atributo altSecurityIdentities é um atributo de vários valores que contém mapeamentos para certificados X.509 ou contas de usuário Kerberos externas para esse usuário para fins de autenticação. Vários pacotes de segurança, incluindo pacote de autenticação de chave pública e Kerberos, usam esses dados para autenticar usuários quando eles apresentam a forma alternativa de identificação, como certificado, tíquete Kerberos UNIX e assim por diante. Crie um token do Windows 2000 com base na conta de usuário correspondente para que eles possam acessar os recursos do sistema.
Para certificados X.509, os valores devem ser os nomes Emissor e Assunto nos certificados 509v3, emitidos por uma autoridade de certificação pública externa, que são mapeados para a conta de usuário usada para encontrar uma conta para autenticação. O pacote SSL (Schannel) usa a seguinte sintaxe: X509:<somecertinfotype>somecertinfo. Por exemplo, o valor a seguir especifica o DN do emissor "<I>" com o DN "C=US,O=InternetCA,CN=APublicCertificateAuthority" e o assunto DN "<S>" com o DN "C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith".
X509:<I>C=US,O=InternetCA,CN=APublicCertificateAuthority<S>C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith
Esteja ciente de que "<S>" ou "<I>" e "<S>" são suportados. Ter apenas "<I>" não é suportado. Os aplicativos não devem modificar os valores dentro de "<I>" ou "<S>" porque a correspondência parcial de DN não é suportada.
Para contas Kerberos externas, os valores devem ser o nome da conta Kerberos. O pacote Kerberos usa a seguinte sintaxe: Kerberos:MITaccountname
. Por exemplo, o seguinte é o valor de uma conta em Fabrikam.com
:
Kerberos:Jeff.Smith@Fabrikam.com
badPasswordTime
Não replicado. O atributo badPasswordTime especifica a última vez que o usuário tentou fazer logon na conta usando uma senha incorreta. Este valor é armazenado como um número inteiro grande que representa o número de intervalos de 100 nanossegundos desde 1 de janeiro de 1601 (UTC). Este atributo é mantido separadamente em cada controlador de domínio no domínio. Um valor zero significa que a última hora de senha incorreta é desconhecida. Para obter um valor preciso para a última hora de senha incorreta do usuário no domínio, cada controlador de domínio no domínio deve ser consultado e o maior valor deve ser usado.
badPwdCount
Não replicado. O atributo badPwdCount especifica o número de vezes que o usuário tentou fazer logon na conta usando uma senha incorreta. Este atributo é mantido separadamente em cada controlador de domínio no domínio. Um valor de 0
indica que o valor é desconhecido. Para obter um valor preciso para o total de tentativas de senha incorreta do usuário no domínio, cada controlador de domínio no domínio deve ser consultado e a soma dos valores deve ser usada.
página de código
O atributo codePage especifica a página de código para o idioma escolhido pelo usuário. Esse valor não é usado pelo Windows.
Código do país
O atributo countryCode especifica o código de país/região para o idioma do usuário. Esse valor não é usado pelo Windows.
homeDirectório
O atributo homeDirectory especifica o caminho do diretório base para o usuário. A cadeia de caracteres pode ser null.
Se homeDrive estiver definido e especificar uma letra de unidade, homeDirectory deverá ser um caminho UNC. O caminho deve ser um caminho UNC de rede do formato \\server\share\directory. Esse valor pode ser uma cadeia de caracteres nula.
Se homeDrive não estiver definido, homeDirectory deverá ser um caminho local, por exemplo, C:\mylocaldir.
Página inicialCarro
O atributo homeDrive especifica a letra da unidade para a qual mapear o caminho UNC especificado por homeDirectory
. A letra da unidade deve ser especificada da seguinte forma:
<drive letter>:
onde "<letra da unidade>" é a letra da unidade a ser mapeada. Por exemplo:
Z:
Se esse atributo não estiver definido, o homeDirectory deverá ser um caminho local, por exemplo, C:\mylocaldir.
últimoLogoff
Não replicado. O atributo lastLogoff especifica quando ocorreu o último logoff. Este valor é armazenado como um número inteiro grande que representa o número de intervalos de 100 nanossegundos desde 1 de janeiro de 1601 (UTC). A parte alta deste inteiro grande corresponde ao membro dwHighDateTime
da estruturaFILETIME e a parte baixa corresponde ao membro dwLowDateTime
da estrutura FILETIME
. Este atributo é mantido separadamente em cada controlador de domínio no domínio. Um valor zero significa que a última hora de logoff é desconhecida. Para obter um valor preciso para o último logoff do usuário no domínio, cada controlador de domínio no domínio deve ser consultado e o maior valor deve ser usado.
lastLogon
Não replicado. O atributo lastLogon especifica quando ocorreu o último logon. Este valor é armazenado como um número inteiro grande que representa o número de intervalos de 100 nanossegundos desde 1 de janeiro de 1601 (UTC). A parte alta deste inteiro grande corresponde ao membro dwHighDateTime
da estruturaFILETIME e a parte baixa corresponde ao membro dwLowDateTime
da estrutura FILETIME
. Este atributo é mantido separadamente em cada controlador de domínio no domínio. Um valor zero significa que a última hora de início de sessão é desconhecida. Para obter um valor preciso para o último logon do usuário no domínio, cada controlador de domínio no domínio deve ser consultado e o maior valor deve ser usado.
lmPwdHistory
O atributo lmPwdHistory é o histórico de senhas do usuário no formato unidirecional (OWF) do LAN Manager (LM). O LM OWF é usado para compatibilidade com clientes LAN Manager 2.x, Windows 95 e Windows 98. Este atributo é usado apenas pelo sistema operacional. Esteja ciente de que você não pode derivar a senha de texto sem formatação do formulário OWF da senha.
logonCount
Não replicado. O atributo logonCount conta o número de vezes bem-sucedidas que o usuário tentou fazer logon nessa conta. Este atributo é mantido em cada controlador de domínio no domínio. Um valor de 0
indica que o valor é desconhecido. Para obter um valor preciso para o número total de tentativas de logon bem-sucedidas do usuário no domínio, cada controlador de domínio no domínio deve ser consultado e a soma dos valores deve ser usada.
correio
O atributo mail é um atributo de valor único que contém o endereço SMTP do usuário, por exemplo, jeff@Fabrikam.com
.
maxArmazenamento
O atributo maxStorage especifica a quantidade máxima de espaço na unidade de disco rígido que o usuário pode usar. Use o valor USER_MAXSTORAGE_UNLIMITED (definido em Lmaccess.h) para usar todo o espaço em disco disponível.
membroOf
O atributo memberOf é um atributo de vários valores que contém grupos dos quais o usuário é um membro direto, exceto para o grupo primário, que é representado pelo primaryGroupId. A associação ao grupo depende do controlador de domínio (DC) do qual este atributo é recuperado:
- Em um DC para o domínio que contém o usuário, memberOf para o usuário está completo em relação à associação para grupos nesse domínio; no entanto,
memberOf
não contém a associação do usuário em grupos locais e globais de domínio em outros domínios. - Em um servidor GC, memberOf para o usuário está completo em relação a todas as associações de grupo universal.
Se ambas as condições forem verdadeiras para o DC, ambos os conjuntos de dados estarão contidos em memberOf.
Lembre-se de que esse atributo lista os grupos que contêm o usuário em seu atributo de membro — ele não contém a lista recursiva de predecessores aninhados. Por exemplo, se o usuário O for um membro do grupo C e o grupo B e o grupo B forem aninhados no grupo A, o atributo memberOf do usuário O listará o grupo C e o grupo B, mas não o grupo A.
Esse atributo não é armazenado — é um atributo de backlink computado.
ntPwdHistória
O atributo ntPwdHistory é o histórico de senha do usuário no formato unidirecional (OWF) do Windows NT. O Windows usa o Windows NT OWF. Este atributo é usado apenas pelo sistema operacional. Esteja ciente de que você não pode derivar a senha de texto sem formatação de volta do formulário OWF da senha.
outroCaixa de correio
O atributo otherMailbox é um atributo de vários valores que contém outros endereços de email adicionais em um formulário, por exemplo, CCMAIL: JeffSmith
.
PasswordExpirationDate
A data de expiração da senha não é um atributo no objeto de usuário. É um valor calculado com base na soma de pwdLastSet para o usuário e maxPwdAge do domínio do usuário. Para obter a data de expiração da senha, obtenha a propriedade IADsUser.PasswordExpirationDate. Não é possível modificar esse atributo para um usuário; em vez disso, defina a propriedade IADsDomain.MaxPasswordAge para alterar a configuração do domínio.
primaryGroupId
O atributo primaryGroupId é um atributo de valor único que contém o primaryGroupToken do grupo que é o grupo primário do objeto. O grupo primário do objeto não está incluído no atributo memberOf. Por exemplo, por padrão, o grupo primário de um objeto de usuário é o primaryGroupToken
do grupo Usuários do Domínio, mas o grupo Usuários do Domínio não faz parte do atributo memberOf
do objeto de usuário.
profilePath
O atributo profilePath especifica um caminho para o perfil do usuário. Esse valor pode ser uma cadeia de caracteres nula, um caminho absoluto local ou um caminho UNC.
pwdLastSet
O atributo pwdLastSet especifica quando a senha foi alterada pela última vez. Este valor é armazenado como um número inteiro grande que representa o número de intervalos de 100 nanossegundos desde 1 de janeiro de 1601 (UTC).
O sistema usa o valor desse atributo e o atributo maxPwdAge do domínio que contém o objeto de usuário para calcular a data de expiração da senha. Ou seja, a soma de pwdLastSet para o usuário e maxPwdAge
do domínio do usuário.
Esse atributo controla se o usuário deve alterar a senha quando o usuário faz logon em seguida. Se pwdLastSet for zero, o padrão, o usuário deve alterar a senha no próximo logon. O valor -1
indica que o usuário não precisa alterar a senha no próximo logon. O sistema define esse valor como -1
após o usuário ter definido a senha.
sAMAccountType
O atributo sAMAccountType especifica um inteiro que representa o tipo de conta. Isso é definido pelo sistema operacional quando o objeto é criado.
scriptPath
O atributo scriptPath especifica o caminho do script de logon, .cmd, .exeou arquivo .bat do usuário. A cadeia de caracteres pode ser null.
tokenGroups
O atributo tokenGroups é um atributo de vários valores que contém o SID de todos os grupos dos quais o usuário é membro direto e indireto, inclusive para o grupo primário. Esse atributo só pode ser recuperado se um servidor de Catálogo Global (GC) estiver presente para recuperar as associações reversas transitivas.
Lembre-se de que esse atributo lista os grupos que contêm o usuário em seu atributo de membro, bem como os grupos que contêm esses grupos em seu atributo de membro, e assim por diante recursivamente. Por exemplo, se o usuário O for membro do grupo C e o grupo B e o grupo B estiverem aninhados no grupo A, o atributo tokenGroups do usuário O listará o grupo C, o grupo B e o grupo A.
O atributo tokenGroups é um atributo útil para obter uma lista de associações de grupo em apenas duas consultas LDAP: a primeira para obter a lista de SIDs de grupo do atributo tokenGroups do usuário, a segunda usando essa lista de SIDs para obter o atributo name de cada grupo. Ele evita a necessidade de fazer várias pesquisas para expandir o atributo primaryGroupId e expandir recursivamente o atributo memberOf.
unicodePwd
O atributo unicodePwd é a senha do usuário.
Para definir a senha do usuário, use o métodoIADsUser.ChangePassword, se o script ou aplicativo permitir que o usuário altere sua própria senha, ou método IADsUser.SetPassword, se o script ou aplicativo estiver permitindo que um administrador redefina uma senha.
A senha do usuário no formato unidirecional (OWF) do Windows NT. O Windows usa o Windows NT OWF. Este atributo é usado apenas pelo sistema operacional. Esteja ciente de que você não pode derivar a senha de texto sem formatação de volta do formulário OWF da senha.
userAccountControl
O atributo userAccountControl especifica sinalizadores que controlam o comportamento de senha, bloqueio, desabilitar/habilitar, script e diretório base para o usuário. Esse atributo também contém um sinalizador que indica o tipo de conta do objeto. O objeto de usuário geralmente tem o UF_NORMAL_ACCOUNT definido.
Os sinalizadores a seguir são definidos em Lmaccess.h.
Bandeira | Descrição |
---|---|
UF_SCRIPT | O script de logon executado. Esse valor deve ser definido para LAN Manager 2.0 ou Windows NT. |
UF_ACCOUNTDISABLE | A conta de utilizador está desativada. |
UF_HOMEDIR_REQUIRED | O diretório base é obrigatório. Esse valor é ignorado no Windows NT e Windows 2000. |
UF_PASSWD_NOTREQD | Nenhuma senha é necessária. |
UF_PASSWD_CANT_CHANGE | O usuário não pode alterar a senha. |
UF_LOCKOUT | A conta está bloqueada no momento. Esse valor pode ser liberado para desbloquear uma conta bloqueada anteriormente. Esse valor não pode ser usado para bloquear uma conta bloqueada anteriormente. |
UF_DONT_EXPIRE_PASSWD | Representa a senha, que nunca deve expirar na conta. |
Os sinalizadores a seguir descrevem o tipo de conta. Apenas um valor pode ser definido. Não é possível alterar o tipo de conta.
Bandeira | Descrição |
---|---|
UF_NORMAL_ACCOUNT | Este é um tipo de conta padrão que representa um usuário típico. |
UF_TEMP_DUPLICATE_ACCOUNT | Esta é uma conta para usuários cuja conta principal está em outro domínio. Esta conta fornece acesso de utilizador a este domínio, mas não a qualquer domínio que confie neste domínio. O Gestor de Utilizadores refere-se a este tipo de conta como uma conta de utilizador local. |
UF_WORKSTATION_TRUST_ACCOUNT | Esta é uma conta de computador para um Windows NT Workstation/Windows 2000 Professional ou Windows NT Server/Windows 2000 Server que é um membro deste domínio. |
UF_SERVER_TRUST_ACCOUNT | Esta é uma conta de computador para um controlador de domínio de backup do Windows NT que é um membro deste domínio. |
UF_INTERDOMAIN_TRUST_ACCOUNT | Esta é uma permissão para confiar na conta para um domínio do Windows NT que confia em outros domínios. |
userCertificate
O atributo userCertificate é um atributo de vários valores que contém os certificados X509v3 codificados por DER emitidos para o usuário. Lembre-se de que esse atributo contém os certificados de chave pública emitidos para esse usuário pelo Serviço de Certificados da Microsoft.
userSharedFolder
O atributo userSharedFolder especifica um caminho UNC para a pasta de documentos compartilhados do usuário. O caminho deve ser um caminho UNC de rede do formato \\server\share\directory. Esse valor pode ser uma cadeia de caracteres nula.
userEstações de trabalho
O atributo userWorkstations é um atributo de valor único que contém os nomes NetBIOS das estações de trabalho a partir das quais o usuário pode fazer logon. Cada nome NetBIOS é separado por uma vírgula.
Se nenhum valor for definido, isso indica que não há restrição. Para desativar logons de todas as estações de trabalho para essa conta, defina o valor UF_ACCOUNTDISABLE (definido em Lmaccess.h) em atributo userAccountControl.