Användarsäkerhetsattribut
Förutom namngivningsegenskaper för användarobjekt, till exempel objectGUID, objectSid, cn, distinguishedNameoch så vidare, finns det andra säkerhetsegenskaper som används för inloggning, nätverksåtkomst och åtkomstkontroll. Dessa egenskaper används av Windows-säkerhetssystemet och kan visas och hanteras av Active Directory-användare och -datorer snapin-modul.
accountExpires
Attributet accountExpires anger när ett konto upphör att gälla. Det här värdet lagras som ett stort heltal som representerar antalet intervall på 100 nanosekunder sedan den 1 januari 1601 (UTC). Värdet TIMEQ_FOREVER (definierat i Lmaccess.h) anger att ett konto aldrig upphör att gälla.
altSecurityIdentiteter
Attributet altSecurityIdentities är ett attribut med flera värden som innehåller mappningar för X.509-certifikat eller externa Kerberos-användarkonton till den här användaren för autentisering. Olika säkerhetspaket, inklusive autentiseringspaket för offentlig nyckel och Kerberos, använder dessa data för att autentisera användare när de presenterar den alternativa formen av identifiering, till exempel certifikat, UNIX Kerberos-biljett och så vidare. Skapa en Windows 2000-token baserat på motsvarande användarkonto så att de kan komma åt systemresurser.
För X.509-certifikat ska värdena vara utfärdarens och ämnesnamnen i 509v3-certifikat, utfärdade av en extern offentlig certifikatutfärdare, som mappar till användarkontot som används för att hitta ett konto för autentisering. SSL-paketet (Schannel) använder följande syntax: X509:<somecertinfotype>somecertinfo. Följande värde anger till exempel utfärdaren DN "<I>" med DN "C=US,O=InternetCA,CN=APublicCertificateAuthority" och ämnet DN "<S>" med DN "C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith".
X509:<I>C=US,O=InternetCA,CN=APublicCertificateAuthority<S>C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith
Tänk på att "<S>" eller "<I>" och "<S>" stöds. Att bara ha "<jag>" stöds inte. Program bör inte ändra värdena i "<I>" eller "<S>" eftersom partiell DN-matchning inte stöds.
För externa Kerberos-konton ska värdena vara Kerberos-kontonamnet. Kerberos-paketet använder följande syntax: Kerberos:MITaccountname
. Följande är till exempel värdet för ett konto på Fabrikam.com
:
Kerberos:Jeff.Smith@Fabrikam.com
badPasswordTime
Icke-replikerad. Attributet badPasswordTime anger den senaste gången användaren försökte logga in på kontot med ett felaktigt lösenord. Det här värdet lagras som ett stort heltal som representerar antalet intervall på 100 nanosekunder sedan den 1 januari 1601 (UTC). Det här attributet underhålls separat på varje domänkontrollant i domänen. Värdet noll innebär att den senaste felaktiga lösenordstiden är okänd. För att få ett korrekt värde för användarens senaste felaktiga lösenordstid i domänen måste varje domänkontrollant i domänen frågas och det största värdet ska användas.
badPwdCount
Icke-replikerad. Attributet badPwdCount anger hur många gånger användaren försökte logga in på kontot med ett felaktigt lösenord. Det här attributet underhålls separat på varje domänkontrollant i domänen. Värdet 0
anger att värdet är okänt. För att få ett korrekt värde för användarens totala misslyckade lösenordsförsök i domänen måste varje domänkontrollant i domänen frågas och summan av värdena ska användas.
codePage
Attributet codePage anger kodsidan för användarens valda språk. Det här värdet används inte av Windows.
countryCode
Attributet countryCode anger lands-/regionkoden för användarens språk. Det här värdet används inte av Windows.
homeDirectory
Attributet homeDirectory anger sökvägen till användarens hemkatalog. Strängen kan vara null.
Om homeDrive- anges och anger en enhetsbeteckning bör homeDirectory vara en UNC-sökväg. Sökvägen måste vara en UNC-nätverkssökväg i formuläret \\server\share\directory. Det här värdet kan vara en null-sträng.
Om homeDrive- inte har angetts bör homeDirectory vara en lokal sökväg, till exempel C:\mylocaldir.
homeDrive
Attributet homeDrive anger enhetsbeteckningen som unc-sökvägen som anges av homeDirectory
ska mappas till. Enhetsbeteckningen måste anges i följande formulär:
<drive letter>:
där "<enhetsbeteckning>" är bokstaven på enheten som ska mappas. Till exempel:
Z:
Om det här attributet inte har angetts bör homeDirectory vara en lokal sökväg, till exempel C:\mylocaldir.
lastLogoff
Icke-replikerad. Attributet lastLogoff anger när den senaste utloggningen inträffade. Det här värdet lagras som ett stort heltal som representerar antalet intervall på 100 nanosekunder sedan den 1 januari 1601 (UTC). Den höga delen av det här stora heltalet motsvarar den dwHighDateTime
medlemmen i FILETIME- struktur och den låga delen motsvarar den dwLowDateTime
medlemmen i FILETIME
struktur. Det här attributet underhålls separat på varje domänkontrollant i domänen. Värdet noll innebär att den senaste utloggningstiden är okänd. För att få ett korrekt värde för användarens senaste utloggning i domänen måste varje domänkontrollant i domänen frågas och det största värdet ska användas.
lastLogon
Icke-replikerad. Attributet lastLogon anger när den senaste inloggningen inträffade. Det här värdet lagras som ett stort heltal som representerar antalet intervall på 100 nanosekunder sedan den 1 januari 1601 (UTC). Den höga delen av det här stora heltalet motsvarar den dwHighDateTime
medlemmen i FILETIME- struktur och den låga delen motsvarar den dwLowDateTime
medlemmen i FILETIME
struktur. Det här attributet underhålls separat på varje domänkontrollant i domänen. Värdet noll innebär att den senaste inloggningstiden är okänd. För att få ett korrekt värde för användarens senaste inloggning i domänen måste varje domänkontrollant i domänen frågas och det största värdet ska användas.
lmPwdHistory
Attributet lmPwdHistory är lösenordshistoriken för användaren i LAN Manager (LM) enkelriktat format (OWF). LM OWF används för kompatibilitet med LAN Manager 2.x-klienter, Windows 95 och Windows 98. Det här attributet används endast av operativsystemet. Tänk på att du inte kan härleda lösenordet i klartext från OWF-formatet för lösenordet.
logonCount
Icke-replikerad. Attributet logonCount räknar antalet lyckade gånger som användaren försökte logga in på det här kontot. Det här attributet underhålls på varje domänkontrollant i domänen. Värdet 0
anger att värdet är okänt. För att få ett korrekt värde för användarens totala antal lyckade inloggningsförsök i domänen måste varje domänkontrollant i domänen frågas och summan av värdena ska användas.
post
Attributet e-post är ett attribut med ett enda värde som innehåller SMTP-adressen för användaren, till exempel jeff@Fabrikam.com
.
maxStorage
Attributet maxStorage anger den maximala mängden hårddiskutrymme som användaren kan använda. Använd värdet USER_MAXSTORAGE_UNLIMITED (definierat i Lmaccess.h) för att använda allt tillgängligt diskutrymme.
memberOf
Attributet memberOf är ett attribut med flera värden som innehåller grupper där användaren är direktmedlem, förutom den primära gruppen, som representeras av primaryGroupId. Gruppmedlemskap är beroende av domänkontrollanten (DC) från vilken det här attributet hämtas:
- Vid en domänkontrollant för domänen som innehåller användaren är memberOf för användaren fullständig med avseende på medlemskap för grupper i den domänen. men
memberOf
innehåller inte användarens medlemskap i domänlokala och globala grupper i andra domäner. - På en GC-server är memberOf för användaren komplett med avseende på alla universella gruppmedlemskap.
Om båda villkoren är sanna för domänkontrollanten finns båda datauppsättningarna i memberOf.
Tänk på att det här attributet listar de grupper som innehåller användaren i deras medlemsattribut– det innehåller inte den rekursiva listan över kapslade föregångare. Om användaren O till exempel är medlem i grupp C och grupp B och grupp B kapslades i grupp A, skulle memberOf-attributet för användare O lista grupp C och grupp B, men inte grupp A.
Det här attributet lagras inte – det är ett beräknat backlänkattribut.
ntPwdHistory
Attributet ntPwdHistory är användarens lösenordshistorik i Windows NT-enkelriktat format (OWF). Windows använder Windows NT OWF. Det här attributet används endast av operativsystemet. Tänk på att du inte kan härleda lösenordet i klartext från OWF-formatet för lösenordet.
otherMailbox
Attributet otherMailbox är ett attribut med flera värden som innehåller andra ytterligare e-postadresser i ett formulär, till exempel CCMAIL: JeffSmith
.
PasswordExpirationDate
Lösenordets förfallodatum är inte ett attribut för användarobjektet. Det är ett beräknat värde baserat på summan av pwdLastSet- för användaren och maxPwdAge av användarens domän. Hämta lösenordets förfallodatum genom att hämta egenskapen IADsUser.PasswordExpirationDate. Du kan inte ändra det här attributet för en användare. Ange i stället egenskapen IADsDomain.MaxPasswordAge för att ändra inställningen för domänen.
primaryGroupId
Attributet primaryGroupId är ett attribut med ett enda värde som innehåller primaryGroupToken- för den grupp som är den primära gruppen för objektet. Objektets primära grupp ingår inte i attributet memberOf. Som standard är till exempel den primära gruppen för ett användarobjekt primaryGroupToken
gruppen Domänanvändare, men gruppen Domänanvändare ingår inte i användarobjektets memberOf
attribut.
profilePath
Attributet profilePath anger en sökväg till användarens profil. Det här värdet kan vara en null-sträng, en lokal absolut sökväg eller en UNC-sökväg.
pwdLastSet
Attributet pwdLastSet anger när lösenordet senast ändrades. Det här värdet lagras som ett stort heltal som representerar antalet intervall på 100 nanosekunder sedan den 1 januari 1601 (UTC).
Systemet använder värdet för det här attributet och attributet maxPwdAge för domänen som innehåller användarobjektet för att beräkna lösenordets förfallodatum. Det vill: summan av pwdLastSet för användaren och maxPwdAge
av användarens domän.
Det här attributet styr om användaren måste ändra lösenordet när användaren loggar in härnäst. Om pwdLastSet är noll måste användaren ändra lösenordet vid nästa inloggning. Värdet -1
anger att användaren inte behöver ändra lösenordet vid nästa inloggning. Systemet anger det här värdet till -1
när användaren har angett lösenordet.
sAMAccountType
Attributet sAMAccountType anger ett heltal som representerar kontotypen. Detta anges av operativsystemet när objektet skapas.
scriptPath
Attributet scriptPath anger sökvägen till användarens inloggningsskript, .cmd, .exeeller .bat fil. Strängen kan vara null.
tokenGroups
Attributet tokenGroups är ett attribut med flera värden som innehåller SID för alla grupper där användaren är en direkt och indirekt medlem, inklusive för den primära gruppen. Det här attributet kan bara hämtas om en GC-server (Global Catalog) finns för att hämta transitiva omvända medlemskap.
Tänk på att det här attributet listar de grupper som innehåller användaren i deras medlemsattribut, samt grupper som innehåller dessa grupper i deras medlemsattribut och så vidare rekursivt. Om till exempel användare O är medlem i grupp C och grupp B och grupp B kapslades i grupp A skulle tokenGroups attribut för användare O lista grupp C, grupp B och grupp A.
Attributet tokenGroups är ett användbart attribut för att hämta en lista över gruppmedlemskap i bara två LDAP-frågor: den första för att hämta listan över grupp-SID:er från tokenGroups-attributet för användaren, den andra använder den listan med SID:er för att hämta namnattributet för varje grupp. Det undviker behovet av att göra flera sökningar för att expandera attributet primaryGroupId och rekursivt expandera attributet memberOf.
unicodePwd
Attributet unicodePwd är användarlösenordet.
Om du vill ange användarlösenordet använder du metoden IADsUser.ChangePassword, om ditt skript eller program gör det möjligt för användaren att ändra sitt eget lösenord eller IADsUser.SetPassword-metoden, om skriptet eller programmet tillåter en administratör att återställa ett lösenord.
Lösenordet för användaren i Windows NT-enkelriktat format (OWF). Windows använder Windows NT OWF. Det här attributet används endast av operativsystemet. Tänk på att du inte kan härleda lösenordet i klartext från OWF-formatet för lösenordet.
userAccountControl
Attributet userAccountControl anger flaggor som styr lösenord, utelåsning, inaktivera/aktivera, skript och hemkatalogbeteende för användaren. Det här attributet innehåller också en flagga som anger objektets kontotyp. Användarobjektet har vanligtvis UF_NORMAL_ACCOUNT anges.
Följande flaggor definieras i Lmaccess.h.
Flagga | Beskrivning |
---|---|
UF_SCRIPT | Inloggningsskriptet har körts. Det här värdet måste anges för LAN Manager 2.0 eller Windows NT. |
UF_ACCOUNTDISABLE | Användarkontot är inaktiverat. |
UF_HOMEDIR_REQUIRED | Hemkatalogen krävs. Det här värdet ignoreras i Windows NT och Windows 2000. |
UF_PASSWD_NOTREQD | Inget lösenord krävs. |
UF_PASSWD_CANT_CHANGE | Användaren kan inte ändra lösenordet. |
UF_LOCKOUT | Kontot är för närvarande låst. Det här värdet kan avmarkeras för att låsa upp ett tidigare låst konto. Det här värdet kan inte användas för att låsa ett tidigare låst konto. |
UF_DONT_EXPIRE_PASSWD | Representerar lösenordet, som aldrig bör upphöra att gälla för kontot. |
Följande flaggor beskriver kontotypen. Endast ett värde kan anges. Du kan inte ändra kontotypen.
Flagga | Beskrivning |
---|---|
UF_NORMAL_ACCOUNT | Det här är en standardkontotyp som representerar en typisk användare. |
UF_TEMP_DUPLICATE_ACCOUNT | Det här är ett konto för användare vars primära konto finns i en annan domän. Det här kontot ger användaråtkomst till den här domänen, men inte till någon domän som litar på den här domänen. Användarhanteraren refererar till den här kontotypen som ett lokalt användarkonto. |
UF_WORKSTATION_TRUST_ACCOUNT | Det här är ett datorkonto för en Windows NT Workstation/Windows 2000 Professional eller Windows NT Server/Windows 2000 Server som är medlem i den här domänen. |
UF_SERVER_TRUST_ACCOUNT | Det här är ett datorkonto för en Windows NT Backup-domänkontrollant som är medlem i den här domänen. |
UF_INTERDOMAIN_TRUST_ACCOUNT | Det här är ett tillstånd att lita på ett konto för en Windows NT-domän som litar på andra domäner. |
userCertificate
Attributet userCertificate är ett attribut med flera värden som innehåller DER-kodade X509v3-certifikat som utfärdats till användaren. Tänk på att det här attributet innehåller de offentliga nyckelcertifikat som utfärdats till den här användaren av Microsoft Certificate Service.
userSharedFolder
Attributet userSharedFolder anger en UNC-sökväg till användarens delade dokumentmapp. Sökvägen måste vara en UNC-nätverkssökväg i formuläret \\server\share\directory. Det här värdet kan vara en null-sträng.
userWorkstations
Attributet userWorkstations är ett attribut med ett enda värde som innehåller NetBIOS-namnen på de arbetsstationer som användaren kan logga in på. Varje NetBIOS-namn avgränsas med ett kommatecken.
Om inga värden anges anger detta att det inte finns någon begränsning. Om du vill inaktivera inloggningar från alla arbetsstationer till det här kontot anger du värdet UF_ACCOUNTDISABLE (definierat i Lmaccess.h) i userAccountControl--attribut.