Active Directory: возможно ли установить недопустимые значения контроля учетных записей?

Question

Насколько мне известно, мой работодатель использует автоматические шаблонные сценарии для предоставления новых учетных записей пользователей.У меня нет доступа к этим шаблонам для проверки их логики.Исходя из моего понимания значения контроля учетных записей (UAC), есть предопределенные значения, предоставляемые Microsoft.Кроме того, новые значения могут быть созданы с помощью комбинации других предварительно определенных значений, которая становится его собственным новым значением UAC (см. Ссылку ниже).

https://msdn.microsoft.com/en-us/library/ms680832(v=vs.85).aspx

Вопрос 1: Можно ли создать разные комбинации разрешений, которые приведут к новому дублированному значению UAC?

Вопрос 2: Можно ли установить значение UAC с помощью автоматического сценария, который не является ни допустимым предопределенным значением, ни значением комбинации?Например, значение 4 UAC не является ни предопределенным, ни допустимым значением комбинации.

Примечание. У меня нет прав записи AD для проверки этого.Любая помощь приветствуется.

Answer 1

Да и нет.Я пробовал как через AD пользователей и компьютер и PowerShell Set-ADUser.Удивительно, но ни один из них не выдает ошибку, но ни один из методов на самом деле не обновляет недопустимое значение.

Через PowerShell:

Set-ADUser $user -replace @{userAccountControl=4}

Нет ошибки, но если я прочитал ее обратно, атрибут имеетне изменилось.Если я сделаю то же самое с допустимым значением (например, 512 или 514) и прочту его, я увижу, что это значение изменилось.

В AD Users and Computers я не получаю сообщение об ошибке, но если закрыть и снова открытьучетной записи, он установлен на 512, независимо от того, что он был установлен ранее.