Поделиться через

Объект Policy

  • Статья

Объект политики используется для управления доступом к базе данных локального центра безопасности (LSA) и содержит сведения, которые применяются ко всей системе или устанавливают значения по умолчанию для системы. Каждая система имеет только один объект Policy. Этот объект политики политики создается с помощью LSA при запуске системы, а приложения не могут создавать или уничтожать его.

Сведения, хранящиеся в объекте политики, включают:

  • Квота памяти по умолчанию системы. Если иное не указано, каждому пользователю входить в систему будет назначена эта квота памяти. Специальные квоты памяти можно назначать отдельным лицам или членам групп или локальным группам с помощью объектаучетной записи.
  • Требования к аудиту безопасности на уровне системы.
  • Имя и идентификатор безопасности домена учетной записи этой системы.
  • Сведения о основном домене этой системы. Эти сведения включают имя и идентификатор безопасности основного домена, имя учетной записи в основном домене, которая будет использоваться для запросов проверки подлинности, имен и идентификаторов безопасности, а также получения имен контроллеров домена в домене. Эти имена могут быть устаревшими и должны приниматься только в качестве указания. Предполагается, что порядок этого списка является значительным и будет поддерживаться. Это позволяет, например, имя в списке представлять последний известный основной контроллер домена.
  • Сведения о том, содержит ли LSA главную копию сведений о политике или реплике. Реплицируется только часть сведений о политике; Оставшаяся часть устанавливается на основе каждой системы.

Поля accountDomain accountDomain и PrimaryDomain объекта политики используются для различных целей в зависимости от типа системных отношений и отношений доверия:

  • В системе, у которой нет основного домена, поле AccountDomain содержит имя и идентификатор безопасности локального домена учетной записи системы, который совпадает с именем компьютера. Поле PrimaryDomain содержит имя рабочей группы, в котором находится этот компьютер. объекты TrustedDomain игнорируются с одним исключением. Невозможно объект TrustedDomain с тем же именем, что и рабочая группа, так как она будет отображаться как основной домен компьютера.
  • В системе с основным доменом поле AccountDomain определяет имя и идентификатор безопасности домена локальной учетной записи, как и раньше. Однако поле PrimaryDomain содержит имя и идентификатор безопасности основного домена для системы. Кроме того, должен быть объект TrustedDomain с именем и идентификатором безопасности, указанными в поле PrimaryDomain. Этот объект TrustedDomain содержит сведения об учетной записи и сервере, необходимые для установки безопасного канала на контроллер домена в основном домене. Любые другие объекты TrustedDomain игнорируются.
  • В контроллерах домена поле AccountDomain определяет домен локальной учетной записи для системы; однако имя учетной записи назначается пользователем, а не хорошо известное имя. Так как основной домен совпадает с доменом учетной записи, поле primaryDomain должно содержать то же значение, что и поле AccountDomain. Кроме того, ожидается, что все объекты TrustedDomain будут допустимыми и представляют отношения доверия с другими доменами. Если система не доверяет другим доменам, не должно быть никаких объектов TrustedDomain.