Udostępnij za pośrednictwem

Obiekt zasad

  • Artykuł

Obiekt zasad służy do kontrolowania dostępu do lokalnej bazy danych urzędu zabezpieczeń (LSA) i zawiera informacje dotyczące całego systemu lub ustanawia wartości domyślne dla systemu. Każdy system ma tylko jeden obiekt Policy. Ten obiekt zasad jest tworzony przez LSA podczas uruchamiania systemu, a aplikacje nie mogą go tworzyć ani niszczyć.

Informacje przechowywane w obiekcie zasad obejmują:

  • Domyślny limit przydziału pamięci systemu. O ile nie określono inaczej, każdy użytkownik logujący się do systemu zostanie przypisany ten limit przydziału pamięci. Specjalne przydziały pamięci można przypisać do poszczególnych osób lub członków grup lub grup lokalnych za pośrednictwem obiektukonta.
  • Wymagania dotyczące inspekcji zabezpieczeń dla całego systemu.
  • Nazwa i identyfikator SID domeny konta tego systemu.
  • Informacje o podstawowej domenie tego systemu. Te informacje obejmują nazwę i identyfikator SID domeny podstawowej, nazwę konta w domenie podstawowej, która ma być używana na potrzeby żądań uwierzytelniania, nazw i tłumaczeń identyfikatorów SID oraz uzyskiwania nazw kontrolerów domeny w domenie. Te nazwy mogą być nieaktualne i powinny być traktowane tylko jako wskazówka. Zakłada się, że kolejność tej listy jest znacząca i będzie utrzymywana. Umożliwia to na przykład imię na liście reprezentujące ostatni znany podstawowy kontroler domeny.
  • Informacje o tym, czy LSA przechowuje kopię główną informacji o zasadach, czy replikę. Replikowana jest tylko część informacji o zasadach; pozostałe ustalono na podstawie systemu.

Pola AccountDomain i PrimaryDomain obiektu Policy są używane do różnych celów w zależności od typu relacji systemu i zaufania:

  • W systemie, który nie ma domeny podstawowej, AccountDomain pole zawiera nazwę i identyfikator SID domeny konta lokalnego systemu, która jest taka sama jak nazwa komputera. Pole PrimaryDomain zawiera nazwę grupy roboczej, do których należy ta maszyna. obiektów TrustedDomain są ignorowane z jednym wyjątkiem — nie można obiektu TrustedDomain o tej samej nazwie co grupa robocza, ponieważ będzie ona wyświetlana tak, jakby była to domena podstawowa maszyny.
  • W systemie, który ma domenę podstawową, pole AccountDomain identyfikuje nazwę i identyfikator SID domeny konta lokalnego, tak jak poprzednio. Jednak pole PrimaryDomain zawiera nazwę i identyfikator SID domeny podstawowej dla systemu. Ponadto powinien istnieć obiekt TrustedDomain o nazwie i identyfikatorze SID zidentyfikowanym w polu PrimaryDomain. Ten obiekt TrustedDomain zawiera informacje o koncie i serwerze niezbędne do ustanowienia bezpiecznego kanału na kontrolerze domeny w domenie podstawowej. Wszystkie inne obiekty TrustedDomain są ignorowane.
  • Na kontrolerach domeny pole AccountDomain identyfikuje domenę konta lokalnego systemu; jednak nazwa konta jest przypisana przez użytkownika, a nie jest dobrze znaną nazwą. Ponieważ domena podstawowa jest taka sama jak domena konta, pole PrimaryDomain musi zawierać tę samą wartość co pole AccountDomain. Ponadto oczekuje się, że wszystkie obiekty TrustedDomain będą prawidłowe i reprezentują relacje zaufania z innymi domenami. Jeśli system nie ufa innym domenom, nie powinny istnieć żadne obiekty TrustedDomain.