Объект Policy
Объект Policy используется для управления доступом к базе данных локального центра безопасности (LSA) и содержит сведения, применимые ко всей системе или устанавливающие значения по умолчанию для системы. У каждой системы есть только один объект Policy . Этот объект Политики создается LSA при запуске системы, и приложения не могут создать или уничтожить его.
Сведения, хранящиеся в объекте Policy , включают:
- Системная квота памяти по умолчанию. Если не указано иное, каждому пользователю, который входит в систему, будет назначена эта квота памяти. Специальные квоты памяти можно назначать отдельным пользователям, членам групп или локальных групп с помощью объекта Account .
- Требования к аудиту безопасности на уровне системы.
- Имя и идентификатор безопасности домена учетной записи этой системы.
- Сведения о основном домене этой системы. Эти сведения включают имя и идентификатор безопасности основного домена, имя учетной записи в основном домене, которая будет использоваться для запросов проверки подлинности, преобразования имени и идентификатора безопасности, а также получение имен контроллеров домена в домене. Эти имена могут быть устаревшими и должны приниматься только как подсказка. Предполагается, что порядок этого списка является значительным и будет сохранен. Это позволяет, например, имя в списке представлять последний известный основной контроллер домена.
- Сведения о том, содержит ли LSA master копию сведений о политике или реплика. Реплицируется только часть сведений о политике; остаток устанавливается для каждой системы.
Поля AccountDomain и PrimaryDomain объекта Policy используются для различных целей в зависимости от типа системы и отношений доверия:
- В системе без основного домена поле AccountDomain содержит имя и идентификатор безопасности домена локальной учетной записи системы, который совпадает с именем компьютера. В поле PrimaryDomain содержится имя рабочей группы, в состав включаемой этим компьютером. Объекты TrustedDomain игнорируются с одним исключением— не может быть объект TrustedDomain с тем же именем, что и рабочая группа, так как он будет выглядеть так, как будто он является основным доменом компьютера.
- В системе с основным доменом поле AccountDomain определяет имя и идентификатор безопасности домена локальной учетной записи, как и раньше. Однако поле PrimaryDomain содержит имя и идентификатор безопасности основного домена для системы. Кроме того, должен быть объект TrustedDomain с именем и идентификатором безопасности, указанными в поле PrimaryDomain . Этот объект TrustedDomain содержит сведения об учетной записи и сервере, необходимые для создания безопасного канала для контроллера домена в основном домене. Любые другие объекты TrustedDomain игнорируются.
- На контроллерах домена поле AccountDomain определяет домен локальной учетной записи для системы; однако имя учетной записи назначается пользователю, а не является известным именем. Так как основной домен совпадает с доменом учетной записи, поле PrimaryDomain должно содержать то же значение, что и поле AccountDomain . Кроме того, все объекты TrustedDomain должны быть допустимыми и представлять отношения доверия с другими доменами. Если система не доверяет другим доменам, не должно быть объектов TrustedDomain .