![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2021-11-25T23:42:03+09:00","","") #author("2021-11-25T23:44:31+09:00","","") [[ソフトウェア開発>SoftwareEngineering]] / [[Active Directory>ActiveDirectory]] / [[UserAccountControlFlag>./]] *ユーザーアカウントコントロール [#wa43f8e7] |CENTER:NO|CENTER:プロパティ|>|>|>|CENTER:列挙型|h |~|CENTER:名称|CENTER:名称|CENTER:16進値|CENTER:10進値|CENTER:備考|h |1|SCRIPT|SCRIPT|0x0000001|1|ログオン スクリプトを実行します。| |2|ACCOUNTDISABLE|ACCOUNTDISABLE|0x0000002|2|ユーザー アカウントを無効にします。 | |3|HOMEDIR_REQUIRED|HOMEDIR_REQUIRED|0x0000008|8|ホーム フォルダが必要です。 | |4|LOCK_OUT|LOCKOUT|0x0000010|16|(※1)| |5|PASSWD_NOTREQD|PASSWD_NOTREQD|0x0000020|32|パスワードは必要ありません。 | |6|PASSWD_CANT_CHANGE|PASSWD_CANT_CHANGE|0x0000040|64|ユーザーがパスワードを変更することはできません。これは、ユーザーのオブジェクトに対するアクセス許可です。UserAccountControl 属性を直接変更することでこのアクセス許可を割り当てることはできません。(※2)| |7|ENCRYPTED_TEXT_PASSWORD_ALLOWED|ENCRYPTED_TEXT_PWD_ALLOWED|0x0000080|128|ユーザーは暗号化されたパスワードを送信できます。 | |8|TEMP_DUPLICATE_ACCOUNT|TEMP_DUPLICATE_ACCOUNT|0x0000100|256|別のドメインにプライマリ アカウントを持つユーザーが使用するアカウントです。このアカウントが存在することにより、ユーザーはこのドメインにアクセスできますが、このドメインを信頼するドメインへのアクセスはできません。これはローカル ユーザー アカウントとして参照される場合があります。 | |9|NORMAL_ACCOUNT|NORMAL_ACCOUNT|0x0000200|512|通常のユーザーを表すデフォルトのアカウントです。 | |10|INTERDOMAIN_TRUST_ACCOUNT|INTERDOMAIN_TRUST_ACCOUNT|0x0000800|2048|別のドメインを信頼しているシステム ドメインのアカウントを信頼することを許可します。 | |11|WORKSTATION_TRUST_ACCOUNT|WORKSTATION_TRUST_ACCOUNT|0x0001000|4096|Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional、または Windows 2000 Server を実行している動作するコンピュータのコンピュータ アカウントであり、このドメインのメンバです。 | |12|SERVER_TRUST_ACCOUNT|SERVER_TRUST_ACCOUNT|0x0002000|8192|このドメインのメンバであるドメイン コントローラのコンピュータ アカウントです。 | |13|DONT_EXPIRE_PASSWD|DONT_EXPIRE_PASSWORD|0x0010000|65536|アカウントのパスワードが無期限であることを表します。 | |14|MNS_LOGON_ACCOUNT|MNS_LOGON_ACCOUNT|0x0020000|131072|MNS ログオン アカウントです。 | |15|SMARTCARD_REQUIRED|SMARTCARD_REQUIRED|0x0040000|262144|このフラグを設定すると、ユーザーはスマート カードを使用してログオンする必要があります。 | |16|TRUSTED_FOR_DELEGATION|TRUSTED_FOR_DELEGATION|0x0080000|524288|このフラグを設定すると、サービスを実行するサービス アカウント (ユーザー アカウントまたはコンピュータ アカウント) が Kerberos の委任に対して信頼されます。このようなサービスでは、サービスを要求するクライアントを偽装することができます。サービスで Kerberos の委任を有効にするには、このフラグをサービス アカウントの userAccountControl プロパティに設定する必要があります。 | |17|NOT_DELEGATED|NOT_DELEGATED|0x0100000|1048576|このフラグを設定すると、サービス アカウントが Kerberos の委任に対して信頼されると設定されていても、ユーザーのセキュリティ コンテキストはサービスに委任されません。 | |18|USE_DES_KEY_ONLY|USE_DES_KEY_ONLY|0x0200000|2097152|(Windows 2000/Windows Server 2003) このプリンシパルを、DES (Data Encryption Standard) 暗号化のみをキーに使用できるように制限します。 | |19|DONT_REQUIRE_PREAUTH|DONT_REQ_PREAUTH|0x0400000|4194304|(Windows 2000/Windows Server 2003) このアカウントは、ログオン時に Kerberos 事前認証を必要としません。 | |20|PASSWORD_EXPIRED|PASSWORD_EXPIRED|0x0800000|8388608|(Windows 2000/Windows Server 2003) ユーザーのパスワードの有効期限が切れています。 (※1)| |21|TRUSTED_TO_AUTH_FOR_DELEGATION|TRUSTED_TO_AUTH_FOR_DELEGATION|0x1000000|16777216|(Windows 2000/Windows Server 2003) このアカウントは委任に対して有効です。これはセキュリティに代わる設定です。このオプションが設定されたアカウントは厳密に管理する必要があります。この設定を行うと、アカウントで実行されているサービスはクライアントとして識別され、ネットワーク上の他のリモート サーバーへそのユーザーとして認証されます。| ※1:Windows Server 2003 ベースのドメインでは、LOCK_OUT および PASSWORD_EXPIRED は msDS-User-Account-Control-Computed と呼ばれる新しい属性に置き換えられました。 ※2:プログラムを使用してアクセス許可を変更する方法の詳細については、以下の Web サイトを参照してください。~ http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adsi/adsi/modifying_user_cannot_change_password_ldap_provider.asp 参照:http://support.microsoft.com/kb/305144/ja
