Твик, как сбросить пароль пользователю в состояние “пусто” в разрез заданнаым групповым политикам.
В свойствах пользователя (редактор атрибутов) или через консоль редактирование ADSI находим запись нужного пользователя и в свойствах меняем значение атрибута userAccountControl.
Последовательность действий:
- указываем десятичное значение 32 (пользователь без пароля);
- сохраняем изменения;
- задаем пустой пароль (данную операцию можно будет выполнить в разрез политики);
- возвращаем значение 512 (стандартный пользователь).
В результате имеем учетную запись, с пустым паролем.
Расшифровка значений атрибута userAccountControl
| Флаг свойства | Значение в hexadecimal | Значение в десятичной |
|---|---|---|
| SCRIPT (Запуск сценариев входа) | 0x0001 | 1 |
| ACCOUNTDISABLE (учетная запись пользователя отключена) | 0x0002 | 2 |
| HOMEDIR_REQUIRED (требуется домашняя папка) | 0x0008 | 8 |
| LOCKOUT (учетная записо заблокирована) | 0x0010 | 16 |
| PASSWD_NOTREQD (пароль не требуется) | 0x0020 | 32 |
| PASSWD_CANT_CHANGE (запретить смену пароля) | 0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED (хранить пароль, используя обратимое шифрование) | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT (учетная запись для пользователей, основная учетная запись которого находится в другом домене) | 0x0100 | 256 |
| NORMAL_ACCOUNT (тип учетной записи по умолчанию, стандартный пользователь) | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT (разрешение на доверие учетной записи для системного домена, который доверяет другим доменам) | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT (учетная запись компьютера Windows NT 4.0 или 2000) | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT (учетная запись контроллера домена) | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD (срок действия пароля не должен истекать) | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT (учетная запись с логотипом MNS) | 0x20000 | 131072 |
| SMARTCARD_REQUIRED (для входа пользотеля в систему требуется смарт-карта) | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION (учетная запись службы (пользователя или компьютера), под которой выполняется делегирование Kerberos) | 0x80000 | 524288 |
| NOT_DELEGATED (учетная запись пользователя не может быть делегирована) | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY (Windows 2000 или 2003, использовать только шифрование стандарта DES) | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH (Windows 2000 или 2003, учетная запись не требует предварительной проверки подлинности Kerberos для входа) | 0x400000 | 4194304 |
| PASSWORD_EXPIRED (срок действия пароля пользователя истек) | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION (Windows 2000 или 2003, учетная запись включена для делегирования) | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT (Windows Server 2008 или 2008 R2, учетная запись является контроллером домена только для чтения (RODC)) | 0x04000000 | 67108864 |
Внимание:
В домене Windows Server 2003 значения LOCK_OUT и PASSWORD_EXPIRED заменены атрибутом ms-DS-User-Account-Control-Computed.