4.4.2 Activation de l'utilisateur : userAccountControl
Le champ userAccountControl regroupe plusieurs propriétés sur le compte utilisateur. C'est un champ de bits d'une taille de 4 octets, soit 32 bits, c'est-à-dire 32 drapeaux (flags), pouvant indiquer autant de propriétes.
En pratique, dans la documentation officielle de Microsoft, il n'y a pas d'explications pour tous ces bits, et les celles fournies sont très sommaires, j'ai donc tatonné pour comprendre à quoi correspondent certains de ces bits.
En voici la description (le bit 0 est celui de poids faible, c'est-à-dire le plus à droite) :
Bit n° Signification Valeur Accepté
0 Script 1 non
1 Compte désactivé 2 oui
3 Homedir required 8 oui
4 Lockout (verrouillage) 16 non
5 Password not required 32 oui
6 Password can't change 64 non
7 Enregistrer le mot de passe en utilisant un cryptage réversible 128 oui
8 Temp duplicate account 256 non
9 Normal account 512 oui
11 Interdomain trust account 2048 non
12 Workstation trust account 4096 oui
13 Server trust account 8192 non
16 Le mot de passe n'expire jamais 65536 oui
17 MNS logon account 131072 oui
18 Une carte à puce est nécessaire pour ouvrir une session interactive 262144 oui
19 Le compte est approuvé pour la délégation 524288 oui
20 Le compte est sensible et ne peut pas être délégué 1048576 oui
21 Utiliser les types de cryptage DES pour ce compte 2097152 oui
22 La pré-authentification Kerberos n'est pas nécessaire 4194304 oui
La valeur que l'on donne à userAccountControl est la somme des valeurs associées aux propriétés que l'on veut activer pour le compte (ces valeurs sont en fait 2 à la puissance le numéro du bit).
Ainsi, si on veut par exemple un compte normal désactivé, on met la valeur 514 (512 + 2), alors que si on veut qu'il soit activé, on met juste 512.
Si on veut que le mot de passe n'expire jamais, il suffit de rajouter 65536.
Si on veut activer l'utilisateur sans avoir défini de mot de passe, on met 512 + 32 = 544 ...
Attention, on ne peut pas (Active Directory l'empêche) cumuler "normal account" et "workstation trust account" par exemple, vu qu'un compte ne peut être que dans l'une de ces 2 catégories à la fois. En pratique, pour un normal account, l'utilisateur sera automatiquement membre du groupe Utilisa. du domaine, alors que pour un workstation trust account, il sera membre du groupe Ordinateurs du domaine.
Une fois que l'on a créé l'utilisateur, défini son mot de passe, et activé son compte, on peut enfin l'utiliser pour se connecter...
Partager