冠霖的部落格

userAccountControl記錄了用戶的一些非常有意思的信息，但是該值只是一個數字，那麼隨意一個數字你能解析出它表示什麼麼？

比如

66050

怎麼樣，有點崩潰吧。其實也很簡單，微軟kbhttp://support.microsoft.com/?id=305144解釋了很清楚了。

Property flag  Value in hexadecimal  Value in decimal 
SCRIPT  0x0001  1 
ACCOUNTDISABLE  0x0002  2 
HOMEDIR_REQUIRED  0x0008  8 
LOCKOUT  0x0010  16 
PASSWD_NOTREQD  0x0020  32 
PASSWD_CANT_CHANGE  0x0040  64 
ENCRYPTED_TEXT_PWD_ALLOWED  0x0080  128 
TEMP_DUPLICATE_ACCOUNT  0x0100  256 
NORMAL_ACCOUNT  0x0200  512 
INTERDOMAIN_TRUST_ACCOUNT  0x0800  2048 
WORKSTATION_TRUST_ACCOUNT  0x1000  4096 
SERVER_TRUST_ACCOUNT  0x2000  8192 
DONT_EXPIRE_PASSWORD  0x10000  65536 
MNS_LOGON_ACCOUNT  0x20000  131072 
SMARTCARD_REQUIRED  0x40000  262144 
TRUSTED_FOR_DELEGATION  0x80000  524288 
NOT_DELEGATED  0x100000  1048576 
USE_DES_KEY_ONLY  0x200000  2097152 
DONT_REQ_PREAUTH  0x400000  4194304 
PASSWORD_EXPIRED  0x800000  8388608 
TRUSTED_TO_AUTH_FOR_DELEGATION  0x1000000  16777216

針對上面那個66050你這麼來解析

66050=65536+512+2
分別表示密碼永不過期，用戶狀態正常，用戶被禁用

如果要委任某個用戶組可以針對ou進行用戶的禁用你可以使用：
DSACLS "<DN of some OU>" /G "<sAMAccountName group>:RPWP;userAccountControl;user" /I:S