Falaremos sobre o atributo userAccountControl, presente em todas as contas de usuário e computador no Active Directory.
Esse atributo pode ser manipulado de várias formas, seja por LDP, ADSIEDIT. Para exemplificar, imagine um cenário que tenha muitos usuários em um domínio e que precisa tirar um relatório de todas as contas Habilitadas, todas contas Desabilitadas, todas contas Habilitadas com alteração de senha no primeiro logon, entre outros.
Observação: Você pode editar diretamente o Active Directory no Ldp.exe e ADSIEdit.msc. Apenas administradores experientes devem usar essas ferramentas para editar o Active Directory.
Abaixo nós listamos alguns desses valores para auxiliar na identificação dos status de alguns usuários ou na extração desse dado para algum relatório.
Valores convencionais:
===========================
512 – Enable Account
514 – Disable account
576 – Enable Account + Passwd_cant_change
544 – Account Enabled – Require user to change password at first logon
4096 – Workstation/server
66048 – Enabled, password never expires
66050 – Disabled, password never expires
262656 – Smart Card Logon Required
532480 – Domain controller
Todos os valores:
===========================
1 – script
2 – accountdisable
8 – homedir_required
16 – lockout
32 – passwd_notreqd
64 – passwd_cant_change
128 – encrypted_text_pwd_allowed
256 – temp_duplicate_account
512 – normal_account
2048 – interdomain_trust_account
4096 – workstation_trust_account
8192 – server_trust_account
65536 – dont_expire_password
131072 – mns_logon_account
262144 – smartcard_required
524288 – trusted_for_delegation
1048576 – not_delegated
2097152 – use_des_key_only
4194304 – dont_req_preauth
8388608 – password_expired
16777216 – trusted_to_auth_for_delegation
Fontes/Referências
Mais Informações
Esperamos ter ajudado da melhor forma possível e estaremos sempre a disposição para mais informações.
Entre em contato conosco pelo e-mail equipe@nvlan.com.br.
