3流プログラマのメモ書き

元開発職→社内SE→派遣で営業支援の三流プログラマのIT技術メモ書き。 このメモが忘れっぽい自分とググってきた技術者の役に立ってくれれば幸いです。(jehupc.exblog.jpから移転中)

(.Net,ADSI)ActiveDirectory UserAccountControlのフラグの意味

(.Net,ADSI)UserAccountControlフラグからアカウント有効無効等を調べる方法の補足です。

MSDNの情報そのままですが、ActiveDirectory UserAccountControlのフラグと意味は下記のようです。

┌────────────────┬─────┬────┬────────────────────────────────────────────┐

│プロパティ フラグ │16 進値 │10 進値 │説明 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│SCRIPT │0x0001 │1 │ログオン スクリプトを実行します。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│ACCOUNTDISABLE │0x0002 │2 │ユーザー アカウントを無効にします。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│HOMEDIR_REQUIRED │0x0008 │8 │ホーム フォルダが必要です。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│LOCKOUT │0x0010 │16 │ │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│PASSWD_NOTREQD │0x0020 │32 │パスワードは必要ありません。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│PASSWD_CANT_CHANGE │0x0040 │64 │ユーザーがパスワードを変更することはできません。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│ENCRYPTED_TEXT_PWD_ALLOWED │0x0080 │128 │ユーザーは暗号化されたパスワードを送信できます。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│TEMP_DUPLICATE_ACCOUNT │0x0100 │256 │別のドメインにプライマリ アカウントを持つユーザーが使用するアカウントです。 │

│ │ │ │このアカウントが存在することにより、ユーザーはこのドメインにアクセスできますが、 │

│ │ │ │このドメインを 信頼するドメインへのアクセスはできません。 │

│ │ │ │これはローカル ユーザー アカウントとして参照される場合があります。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│NORMAL_ACCOUNT │0x0200 │512 │通常のユーザーを表すデフォルトのアカウントです。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│INTERDOMAIN_TRUST_ACCOUNT │0x0800 │2048 │別のドメインを信頼しているシステム ドメインのアカウントを信頼することを許可します。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│WORKSTATION_TRUST_ACCOUNT │0x1000 │4096 │Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、 │

│ │ │ │Microsoft Windows 2000 Professional、または Windows 2000 Server を実行 │

│ │ │ │している動作するコンピュータのコンピュータ アカウントであり、このドメイン

│ │ │ │のメンバです。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│SERVER_TRUST_ACCOUNT │0x2000 │8192 │このドメインのメンバであるドメイン コントローラのコンピュータ アカウントです。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│DONT_EXPIRE_PASSWORD │0x10000 │65536 │アカウントのパスワードが無期限であることを表します。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

MNS_LOGON_ACCOUNT │0x20000 │131072 │MNS ログオン アカウントです。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│SMARTCARD_REQUIRED │0x40000 │262144 │このフラグを設定すると、ユーザーはスマート カードを使用してログオンする必要 │

│ │ │ │があります。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│TRUSTED_FOR_DELEGATION │0x80000 │524288 │このフラグを設定すると、サービスを実行するサービス アカウント (ユーザー │

│ │ │ │アカウントまたはコンピュータ アカウント) が Kerberos の委任に対して信頼されます。 │

│ │ │ │このようなサービスでは、サービスを要求するクライアントを偽装することができます。 │

│ │ │ │サービスで Kerberos の委任を有効にするには、このフラグをサービス アカウントの │

│ │ │ │userAccountControl プロパティに設定する必要があります。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│NOT_DELEGATED │0x100000 │1048576 │このフラグを設定すると、サービス アカウントが Kerberos の委任に対して信頼される │

│ │ │ │と設定されていても、ユーザーのセキュリティ コンテキストはサービスに委任されません。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│USE_DES_KEY_ONLY │0x200000 │2097152 │このプリンシパルを、DES (Data Encryption Standard) 暗号化のみをキーに使用できる │

│ │ │ │ように制限します │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│DONT_REQ_PREAUTH │0x400000 │4194304 │このアカウントは、ログオン時に Kerberos 事前認証を必要としません。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│PASSWORD_EXPIRED │0x800000 │8388608 │ユーザーのパスワードの有効期限が切れています。 │

├────────────────┼─────┼────┼────────────────────────────────────────────┤

│TRUSTED_TO_AUTH_FOR_DELEGATION │0x1000000 │1677721 │このアカウントは委任に対して有効です。これはセキュリティに代わる設定です。 │

│ │ │ │このオプションが設定されたアカウントは厳密に管理する必要があります。こ │

│ │ │ │の設定を行うと、アカウントで実行されているサービスはクライアントとして識別され、 │

│ │ │ │ネットワーク上の他のリモート サーバーへそのユーザーとして認証されます │

└────────────────┴─────┴────┴────────────────────────────────────────────┘