Учетная запись важна и не может быть делегирована что это
Расшифровка значения атрибута userAccountControl в Active Directory
UserAccountControl является одним из важных атрибутов учетных записей пользователей и компьютеров Active Directory. Данный атрибут определяет состояние учетной записи в домене: активна ли учетная запись или заблокирована, включена ли опция смены пароля при следующем входе, может ли пользователь менять свой пароль и т.д.). Однако не все администраторы четко представляют, как работает и для чего используется в AD атрибут UserAccountControl.
К примеру, откройте в консоли ADUC свойства любой учетной записи AD и перейдите на вкладку Account (Учетная запись). Обратите внимание на группу атрибутов пользователя в разделе Account Control (Параметры учетной записи). Здесь имеются следующие опции аккаунта:
Каждый из этих атрибутов учетной записи по сути является битовым значением, которое можно находится в состоянии 1 (True) или 0 (False). Однако эти значения не хранятся в виде отельных атрибутов AD, вместо этого используется атрибут UserAccountControl.
UserAccountControl — атрибут Active Directory
Суммарное значение всех указанных опций хранится в значении атрибута учетной записи UserAccountControl, т.е. вместо, того чтобы хранить все эти опции в разных атрибутах, используется один атрибут Active Directory. Атрибут UserAccountControl представляет собой битовую маску, каждый бит которого является отдельным флагом, отображающим значение одной из указанных опций и может иметь разное значение (вкл или выкл). Соответственно, в зависимости от включенных опций учетной записи, у пользователя будет получаться разное значение атрибута UserAccountControl. Посмотреть текущее значение атрибута можно на вкладке Attribute Editor или с помощью следующей командлета PowerShell Get-ADUser:
В этом примере значение атрибута 0x10202 (в десятичном представлении 66050). Что означают эти числа?
Ниже представлена таблица доступных флагов учетных записей в AD. Каждый из флагов соответствует определённому биту атрибута UserAccountControl, а значение UserAccountControl равно сумме всех флагов.
| Флаг | Значение в HEX | Десятичное значение |
| SCRIPT (Запуск сценария входа) | 0x0001 | 1 |
| ACCOUNTDISABLE (Учетная запись отключена) | 0x0002 | 2 |
| HOMEDIR_REQUIRED (Требуется домашняя папка) | 0x0008 | 8 |
| LOCKOUT (Учетная запись заблокирована) | 0x0010 | 16 |
| PASSWD_NOTREQD (Пароль не требуется) | 0x0020 | 32 |
| PASSWD_CANT_CHANGE (Запретить смену пароля пользователем) | 0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED (Хранить пароль, используя обратимое шифрование) | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT (учетная запись пользователя, чья основная учетная запись хранится в другом домене) | 0x0100 | 256 |
| NORMAL_ACCOUNT (Учетная запись по умолчанию. Обычная активная учетная запись) | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD (Срок действия пароля не ограничен) | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED (Для интерактивного входа в сеть нужна смарт-карта) | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH (Не требуется предварительная проверка подлинности Kerberos) | 0x400000 | 4194304 |
| PASSWORD_EXPIRED (Срок действия пароля пользователя истек) | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 |
К примеру, имеется обычная учетная запись, для которой отключено требование смены пароля. Значение userAccountControl получается следующим образом
NORMAL_ACCOUNT (512) + DONT_EXPIRE_PASSWORD (65536) = 66048
Соответственно, значение userAccountControl из моего примера (66050) получилось следующим образом:
NORMAL_ACCOUNT (512) + DONT_EXPIRE_PASSWORD (65536) + ACCOUNTDISABLE (2) = 66050
Для обычной заблокированной учетной записи значение userAccountControl будет равно 514:
(NORMAL_ACCOUNT (512)+ ACCOUNTDISABLE (2) = 514
Значения UserAccountControl по-умолчанию для типовых объектов домена:
С помощью фильтров можно выбирать из AD объекты, с определённым значением атрибута useraccountcontrol. Например, для вывода всех активных (нормальных учетных записей):
Выведем список всех заблокированных учетных записей:
Список аккаунтов, у которых не ограничен срок действия пароля:
Сложить нужные биты из таблицы и выбрать объекты AD можно с помощью следующих команд:
PowerShell скрипт для расшифровки значения UserAccountControl
Для удобства под рукой хочется иметь инструмент, который бы автоматически преобразовывал значение битовой маски UserAccountControl в нормальный человеческий вид. Попробуем написать простую функцию для скриптов PowerShell, который принимает десятичное значение атрибута UserAccountControl и выдает список включенных опций учетки. Т.к. атрибут UserAccountControl представляет собой битовую маску, можно назначить каждому биту текстовое описание.
У меня получился такой PowerShell скрипт для конвертации значения UserAccountControl в читаемый вид:
Проверим, что означает значение UserAccountControl, равное 66050:
Как вы видите, скрипт вернул, что у пользователя включены атрибуты:
ACCOUNTDISABLE + NORMAL_ACCOUNT + DONT_EXPIRE_PASSWORD
Этот же скрипт можно использовать для расшифровки значений UserAccountControl на лету, при выгрузке информации об учетных данных их AD в удобном виде с помощью командлета Get-AdUser или Get-AdComputer, например:
ACCOUNTDISABLE | NORMAL_ACCOUNT | DONT_EXPIRE_PASSWORD
Выполнение второго прыжка при удаленном взаимодействии PowerShell
«Проблема второго прыжка» относится к ситуации, аналогичной следующей:
Существует несколько способов для решения этой проблемы. В следующей таблице перечислены методы в порядке предпочтения.
| Конфигурация | Примечание |
|---|---|
| CredSSP | Сбалансированное сочетание простоты использования и безопасности |
| Ограниченное делегирование Kerberos на основе ресурсов | Более высокая безопасность с простой настройкой |
| Ограниченное делегирование Kerberos | Высокий уровень безопасности, но с необходимостью прав администратора домена |
| Делегирование Kerberos (без ограничений) | Не рекомендуется |
| Just Enough Administration (JEA) | Потенциально наилучшая безопасность, но с необходимостью тщательной настройки |
| PSSessionConfiguration с использованием RunAs | Более простая настройка, но с необходимостью управления учетными данными |
| Передача учетных данных внутри блока сценария Invoke-Command | Максимальная простота использования, но с необходимостью указания учетных данных |
CredSSP
Для проверки подлинности можно использовать протокол CredSSP. Протокол CredSSP кэширует учетные данные на удаленном сервере (ServerB), что делает их уязвимыми для атак, направленных на кражу учетных данных. Если безопасность удаленного компьютера нарушена, злоумышленник получает доступ к учетным данным пользователя. Протокол CredSSP по умолчанию отключен на компьютерах клиента и сервера. Включать протокол CredSSP следует только в самых надежных средах. Например, при подключении администратора домена к контроллеру домена, так как контроллер домена является высоконадежным.
Дополнительные сведения о вопросах безопасности при использовании протокола CredSSP для удаленного взаимодействия PowerShell см. в статье Accidental Sabotage: Beware of CredSSP (Непреднамеренный саботаж: берегитесь CredSSP).
Дополнительные сведения об атаках, направленных на хищение учетных данных, см. в техническом документе Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft.
Преимущества
Недостатки
Ограниченное делегирование Kerberos
Для выполнения второго прыжка можно использовать устаревшее ограниченное делегирование (не на основе ресурсов). Настройте ограниченное делегирование Kerberos с параметром «Использовать любой протокол проверки подлинности», чтобы разрешить переход протокола.
Преимущества
Недостатки
Учетные записи Active Directory, которые имеют набор свойств Учетная запись важна и не может быть делегирована, не могут быть делегированы. Дополнительные сведения см. в статье Security Focus: Фокус безопасности: анализ свойств «Учетная запись важна и не может быть делегирована» для привилегированных учетных записей и Средства и параметры проверки подлинности Kerberos.
Ограниченное делегирование Kerberos на основе ресурсов
С помощью ограниченного делегирования Kerberos на основе ресурсов (которое впервые появилось в Windows Server 2012) можно настроить делегирование учетных данных на объект сервера, где находятся ресурсы. В описанном выше сценарии второго прыжка вы настраиваете сервер ServerC, чтобы указать, откуда он будет принимать делегированные учетные данные.
Преимущества
Недостатки
Учетные записи Active Directory, которые имеют набор свойств Учетная запись важна и не может быть делегирована, не могут быть делегированы. Дополнительные сведения см. в статье Security Focus: Фокус безопасности: анализ свойств «Учетная запись важна и не может быть делегирована» для привилегированных учетных записей и Средства и параметры проверки подлинности Kerberos.
Пример
Рассмотрим пример PowerShell, который настраивает на ServerC ограниченное делегирование на основе ресурсов, разрешающее использовать делегированные учетные данные с ServerB. В этом примере предполагается, что все серверы работают под управлением Windows Server 2012 или более поздней версии и существует по меньшей мере один контроллер домена Windows Server 2012 в каждом домене, к которому относятся какие-либо из серверов.
Сейчас параметр несколько доступных командлетов имеют параметр PrincipalsAllowedToDelegateToAccount:
Параметр PrincipalsAllowedToDelegateToAccount задает атрибут объекта Active Directory msDS-AllowedToActOnBehalfOfOtherIdentity, содержащий список управления доступом (ACL), который указывает, какие учетные записи имеют разрешение на делегирование учетных данных для связанной учетной записи (в нашем примере это будет учетная запись компьютера для ServerA).
Теперь давайте настроим переменные, которые будем использовать для представления серверов:
WinRM (и поэтому удаленное взаимодействие PowerShell) по умолчанию выполняется как учетная запись компьютера. Это можно проверить, просмотрев свойство StartName службы winrm :
Чтобы ServerC разрешал делегирование из сеанса удаленного взаимодействия PowerShell на ServerB, мы должны задать в качестве значения параметра PrincipalsAllowedToDelegateToAccount на ServerC объект компьютера ServerB:
Центр распространения ключей Kerberos кэширует отклоненные попытки доступа (негативный кэш) в течение 15 минут. Если сервер ServerB ранее пытался получить доступ к серверу ServerC, потребуется очистить кэш на сервере ServerB, вызвав следующую команду:
Можно также перезагрузить компьютер или подождать не менее 15 минут для очистки кэша.
После очистки кэша можно запустить код с ServerA через ServerB и до ServerC:
Чтобы разрешить нескольким серверам делегировать учетные данные серверу ServerC, задайте в качестве значения параметра PrincipalsAllowedToDelegateToAccount на сервере ServerC в массив:
Если вы хотите сделать второй прыжок между доменами, добавьте полное доменное имя (FQDN) контроллера домена для того домена, к которому принадлежит ServerB:
Информация об ограниченном делегировании Kerberos на основе ресурсов
Делегирование Kerberos (без ограничений)
Для выполнения второго прыжка можно также использовать делегирование Kerberos без ограничений. Как и во всех сценариях Kerberos, учетные данные не сохраняются. Этот метод не поддерживает второй прыжок для WinRM.
Этот метод не позволяет контролировать, где используются делегированные учетные данные. Он менее безопасен, чем CredSSP. Этот метод следует использовать только для сценариев тестирования.
Just Enough Administration (JEA)
JEA позволяет ограничить команды, доступные администратору во время сеанса PowerShell. Это позволяет решить проблему второго прыжка.
Преимущества
Недостатки
PSSessionConfiguration с использованием RunAs
Можно создать конфигурацию сеанса на сервере ServerB и задать ее параметр RunAsCredential.
Сведения об использовании PSSessionConfiguration и RunAs для решения проблемы второго прыжка см. в статье Another solution to multi-hop PowerShell remoting (Другое решение для удаленного взаимодействия PowerShell с несколькими прыжками).
Преимущества
Недостатки
Передача учетных данных внутри блока сценария Invoke-Command
Можно передать учетные данные внутри параметра ScriptBlock вызова командлета Invoke-Command.
Преимущества
Недостатки
Пример
Следующий пример показывает, как передать учетные данные внутри блока сценария Invoke-Command:
Учетная запись важна и не может быть делегирована что это
Изменение свойств учетной записи.
На вкладке Общие вы можете просмотреть и изменить основные атрибуты пользователя.
Поля Имя, Инициалы и Фамилия соответствуют полям, заполненным при создании учетной записи. Поле Выводимое имя по умолчанию соответствует полному имени. В нем указывается имя в том виде, в каком оно будет выводиться в различных списках. В поле Описание вы можете ввести произвольное описание учетной записи пользователя. В поле Комната можно указать комнату, в которой работает пользователь.
В поля Номер телефона, Электронная почта и Веб-страница введите контактную информацию пользователя. Обычно на этой вкладке указывается рабочая контактная информация, о том, как указать личные контактные сведения, см. ниже. Если вы хотите указать более одного номера телефона или более одной Web-страницы, щелкните кнопку Другой рядом с соответствующим полем. В появившемся окне вы можете ввести любое количество телефонов или адресов.
На вкладке Адрес вы можете указать домашний (или любой другой) адрес пользователя. Имейте в виду, что данные адреса пользователя являются публичной информацией и доступны при просмотре каталога Active Directory.
На вкладке Учетная запись вы можете настроить различные параметры учетной записи пользователя. Как и при создании учетной записи пользователя, вы можете изменить Имя входа пользователя и выбрать домен, который будет использован для построения полного имени пользователя.
Кроме того, вы можете ограничить Срок действия учетной записи, установив переключатель в положение Истекает и указав желаемую дату. Учетная запись будет действовать до 23:59:59 указанного дня включительно.
Все параметры учетной записи собраны в отдельный список. Для включения одного из параметров вы должны установить флажок рядом с его названием. Рассмотрим некоторые параметры учетной записи подробнее.
Кроме этих параметров вы можете задать часы, в которые пользователю разрешен вход в систему. Для этого щелкните кнопку Время входа. В появившемся окне можно указать, в какие дни и часы пользователю разрешен вход в систему.
Чтобы разрешить или запретить вход в определенные дни и часы, выделите интересующую вас прямоугольную область ячеек и установите переключатель Вход разрешен/Вход запрещен в нужное положение. При настройке сложного графика входа пользователя может потребоваться неоднократное выполнение этой операции. После настройки времени входа щелкните кнопку ОК.
При использовании в локальной сети протокола NetBIOS вы можете ограничить набор рабочих станций, с которых пользователь может регистрироваться в домене. Для этого щелкните кнопку Вход на.
Чтобы ограничить компьютеры, на которые может входить пользователь, установите переключатель в положение только на указанные компьютеры, введите в поле Имя компьютера NetBIOS-имя компьютера и щелкните кнопку Добавить. Повторите эту операцию, чтобы добавить все необходимые компьютеры. Вы также можете удалить компьютер из списка, выбрав его и щелкнув кнопку Удалить. Если вы хотите разрешить пользователю вход на все компьютеры, установите переключатель в положение на все компьютеры.
Ограничение компьютеров, с которых пользователю разрешен вход в систему, действует только для NetBIOS-клиентов при условии установки этого протокола на контроллере домена. Компьютеры, использующие только протокол TCP/IP, не попадают под это ограничение.
На вкладке Профиль вы можете настроить параметры профиля пользователя. В папке профиля пользователя (%homedrive%\Documents and Settings ) сохраняются его личные файлы, персонифицированные файлы приложений, временные файлы пользователя, его рабочий стол и сетевое окружение, данные системного реестра.
Windows Server 2003 поддерживает три типа профилей:
Указав в поле Путь к профилю сетевой путь к перемещаемому или обязательному профилю, вы укажете Windows копировать профиль из указанной папки, а не создавать его на основании стандартного профиля пользователя.
Вы также можете указать домашнюю папку пользователя, которая может быть как локальной (полный путь задается в поле Локальный путь), так и сетевой (вы задаете букву диска и полный сетевой путь в поле Подключить). Если ни один из этих параметров не указан, то домашней папкой считается папка его локального профиля (%homedrive%\Documents and Settings\%username% или %userprofile%). При задании сетевого пути к домашней папке Windows 2000 проверяет ее наличие. Если папки нет, она будет создана по щелчку кнопки ОК или Применить. На создаваемую домашнюю папку пользователя устанавливаются следующие разрешения:
Если домашняя папка уже существует, Windows Server 2003 проверяет, чтобы у пользователя был к ней Полный доступ. При необходимости это разрешение добавляется.
На вкладке Телефоны вы можете указать номера других телефонов пользователя. Кроме того, на этой вкладке в поле Заметки вы можете ввести произвольные сведения относительно пользователя.
На вкладке Организация вы можете указать сведения о должности пользователя. Для этого заполните поля Должность, Отдел и Организация.
На основании информации о руководителях Windows Server 2003 автоматически строит список Прямые подчиненные для пользователя. Свойства конкретного подчиненного пользователя можно просмотреть при помощи двойного щелчка его имени в списке.
На вкладке Член групп вы можете управлять членством пользователя в группах. Обычно группы используются для более удобного управления разрешениями и привилегиями пользователей. Как правило, все пользователи входят в группу Пользователи домена (в домене Windows Server 2003) или в группу Пользователи (на рабочих станциях). Это обеспечивает им базовые права, например возможность входить в домен с рабочих станций.
Для совместимости с не-Windows клиентами может потребоваться указать основную группу пользователя. Это требуется для нормальной работы клиентов, не поддерживающих членство пользователей в нескольких группах, к таким клиентам относятся компьютеры под управлением UNIX, Mac OS и т. п. Для указания основной группы пользователя выберите ее в списке и щелкните кнопку Задать основную группу.
Для нормального функционирования сетевых клиентов Windows задание основной группы не требуется. Тем не менее не рекомендуется изменять основную группу пользователя, если это не требуется для обеспечения взаимодействия с клиентами POSIX и Macintosh.
На вкладке Входящие звонки вы можете задать параметры удаленного доступа для пользователя. Они действуют при организации удаленного доступа средствами Windows Server 2003.
Вы можете глобально разрешить или запретить пользователю использование удаленного доступа к домену посредством модема или виртуальной частной сети (Virtual Private Network, VPN). Для этого установите переключатель в положение Разрешить доступ или Запретить доступ. Несмотря на возможность непосредственно управлять удаленным доступом пользователя, рекомендуется установить переключатель в положение Управление на основе политики удаленного доступа и осуществлять управление удаленным доступом посредством групповых политик.
При организации удаленного доступа через модем сервер удаленного доступа Windows Server 2003 может осуществлять обратный звонок для экономии средств пользователей. Вы можете выбрать один из вариантов организации ответного вызова сервера.
Кроме того, вы можете настроить некоторые параметры TCP/IP для удаленных соединений, осуществляемых пользователем. К ним относятся статический IP-адрес, указываемый в поле Статический IP-адрес пользователя и статическая таблица маршрутизации, которая может быть включена установкой флажка Использовать статическую маршрутизацию. Статические маршруты могут быть определены по щелчку кнопки Статические маршруты.
На вкладке Среда вы можете настроить ряд индивидуальных параметров пользователя для терминального режима.
Установив флажок При входе в систему запускать следующую программу, вы сможете указать полный путь к файлу запускаемой программы в поле Имя файла программы и ее рабочую папку в поле Рабочая папка. Эта программа будет запускаться каждый раз при входе пользователя на сервер в терминальном режиме, но не будет запускаться при обычном входе.
Кроме того, вы можете настроить индивидуальные параметры подключения устройств клиента. Установив флажок Подключение дисков клиента при входе, вы укажете серверу терминалов, что при каждом входе пользователя в терминальном режиме необходимо подключить локальные диски его компьютера, чтобы они могли использоваться во время терминальной сессии. Установив флажок Подключение принтеров клиента при входе, вы укажете серверу терминалов, что при каждом входе пользователя в терминальном режиме необходимо подключить все локальные принтеры пользователя, чтобы они могли использоваться во время терминальной сессии. Подключение осуществляется только для принтеров, предоставленных в совместное использование. Установив флажок По умолчанию выбрать основной принтер клиента, вы укажете серверу терминалов, что в качестве принтера по умолчанию должен быть установлен тот же принтер, что и на компьютере клиента. Принтер по умолчанию не изменяется, если не удалось подключить другой.
На вкладке Сеансы вы можете настроить индивидуальные параметры пользователя для терминального режима. Эти параметры позволяют эффективнее использовать ресурсы сервера, отключая ненужные сеансы пользователей.
На вкладке Удаленное управление вы можете настроить параметры управления сеансом одного пользователя другим пользователем. Параметры, устанавливаемые на этой вкладке, действуют только на терминальные сессии пользователя.
Вы также можете настроить уровень управления сеансом пользователя. Установка переключателя в положение Только наблюдение за сеансом пользователя позволит осуществлять наблюдение за действиями пользователя, но не позволит выполнять какие-либо действия в рамках его сеанса. Установка переключателя в положение Взаимодействие с этим сеансом позволит не только наблюдать, но и активно вмешиваться в действия пользователя.
На вкладке Профиль служб терминалов вы можете настроить параметры профиля пользователя, используемые в терминальном режиме. Эти параметры аналогичны параметрам на вкладке Профиль и замещают их при работе пользователя в терминальном режиме.
Кроме того, при помощи флажка Разрешить вход на сервер терминалов вы можете запретить или разрешить пользователю вход и работу на сервере терминалов.
Окно свойств пользователя может содержать дополнительные вкладки, добавляемые различными программными продуктами, ориентированными на Active Directory. Например, Microsoft Exchange Server 2000 добавляет к свойствам пользователя еще четыре вкладки, предназначенные для управления параметрами почтового ящика пользователя.