Freigeben über

Policy-Objekt

  • Artikel

Das Policy-Objekt wird verwendet, um den Zugriff auf die Datenbank der lokalen Sicherheitsbehörde (LSA) zu steuern und Enthält Informationen, die für das gesamte System gelten oder Standardwerte für das System festlegen. Jedes System verfügt nur über ein Policy-Objekt. Dieses Policy-Objekt wird vom LSA erstellt, wenn das System gestartet wird, und Anwendungen können es nicht erstellen oder zerstören.

Die in einem Policy-Objekt gespeicherten Informationen umfassen:

  • Systemstandardspeicherkontingent. Sofern nicht anders angegeben, wird jedem Benutzer, der sich am System anmeldet, dieses Speicherkontingent zugewiesen. Über ein Account--Objekt können Einzelpersonen oder Mitglieder von Gruppen oder lokalen Gruppen spezielle Speicherkontingente zugewiesen werden.
  • Systemweite Sicherheitsüberwachungsanforderungen.
  • Der Name und die SID der Kontodomäne dieses Systems.
  • Informationen zur primären Domäne dieses Systems. Diese Informationen umfassen den Namen und die SID der primären Domäne, den Namen des Kontos innerhalb der primären Domäne, das für Authentifizierungsanforderungen, Name und SID-Übersetzungen verwendet werden soll, und das Abrufen der Namen von Domänencontrollern innerhalb der Domäne. Diese Namen sind möglicherweise nicht mehr aktuell und sollten nur als Hinweis verwendet werden. Die Reihenfolge dieser Liste wird als signifikant angenommen und wird beibehalten. Dies ermöglicht z. B. den Vornamen in der Liste, den zuletzt bekannten primären Domänencontroller darzustellen.
  • Informationen dazu, ob die LSA die Masterkopie der Richtlinieninformationen oder eines Replikats enthält. Nur ein Teil der Richtlinieninformationen wird repliziert; der Rest wird auf systemspezifischer Basis festgelegt.

Die felder AccountDomain und PrimaryDomain des Policy-Objekts werden je nach Typ von System- und Vertrauensbeziehungen für unterschiedliche Zwecke verwendet:

  • Auf einem System, das keine primäre Domäne aufweist, enthält das Feld AccountDomain den Namen und die SID der lokalen Kontodomäne des Systems, die dem Computernamen entspricht. Das Feld PrimaryDomain enthält den Namen der Arbeitsgruppe, in der dieser Computer Mitglied ist. TrustedDomain--Objekte werden mit einer Ausnahme ignoriert. Es kann kein TrustedDomain--Objekt mit demselben Namen wie die Arbeitsgruppe vorhanden sein, da sie so angezeigt wird, als ob es sich um die primäre Domäne des Computers handelt.
  • Bei einem System mit einer primären Domäne identifiziert das Feld AccountDomain den Namen und die SID der lokalen Kontodomäne wie zuvor. Das feld PrimaryDomain enthält jedoch den Namen und die SID der primären Domäne für das System. Darüber hinaus sollte ein TrustedDomain-Objekt mit dem Namen und der SID im Feld PrimaryDomain angegeben sein. Dieses TrustedDomain-Objekt enthält die Konto- und Serverinformationen, die zum Einrichten eines sicheren Kanals zu einem Domänencontroller in der primären Domäne erforderlich sind. Alle anderen TrustedDomain--Objekte werden ignoriert.
  • Auf Domänencontrollern identifiziert das Feld AccountDomain die lokale Kontodomäne für das System; Der Kontoname wird jedoch vom Benutzer zugewiesen, anstatt ein bekannter Name zu sein. Da die primäre Domäne mit der Kontodomäne identisch ist, muss das Feld PrimaryDomain denselben Wert wie das feld AccountDomain enthalten. Darüber hinaus werden alle TrustedDomain--Objekte als gültig erwartet und stellen Vertrauensbeziehungen mit anderen Domänen dar. Wenn das System keine anderen Domänen vertraut, sollten keine TrustedDomain--Objekte vorhanden sein.