策略对象
Policy 对象用于控制对本地安全机构 (LSA) 数据库的访问,并包含适用于整个系统或为系统建立默认值的信息。 每个系统只有一个 Policy 对象。 此 Policy 对象在系统启动时由 LSA 创建,应用程序无法创建或销毁它。
存储在 Policy 对象中的信息包括:
- 系统默认内存配额。 除非另行指定,否则将向登录到系统的每个用户分配此内存配额。 可以通过 Account 对象将特殊内存配额分配给个人或组或本地组的成员。
- 系统范围的安全审核要求。
- 此系统的帐户域的名称和 SID。
- 有关此系统的主域的信息。 此信息包括主域的名称和 SID、主域中要用于身份验证请求的帐户的名称、名称和 SID 转换,以及获取域中域控制器的名称。 这些名称可能已过期,应仅作为提示。 此列表的顺序假定为重要且将保持不变。 例如,这允许列表中的第一个名称表示最后一个已知的主域控制器。
- 有关 LSA 是持有策略信息的主副本还是副本 (replica) 的信息。 仅复制部分策略信息;余数是按系统建立的。
Policy 对象的 AccountDomain 和 PrimaryDomain 字段用于不同的目的,具体取决于系统和信任关系的类型:
- 在没有主域的系统上, AccountDomain 字段包含系统本地帐户域的名称和 SID,这与计算机名称相同。 PrimaryDomain 字段包含此计算机所属的工作组的名称。 TrustedDomain 对象被忽略,但有一个例外 - 不能有与工作组同名的 TrustedDomain 对象,因为它看起来就像是计算机的主域一样。
- 在具有主域的系统上, AccountDomain 字段标识本地帐户域的名称和 SID,如前所述。 但是, PrimaryDomain 字段包含系统的主域的名称和 SID。 此外,应该有一个 TrustedDomain 对象,该对象在 PrimaryDomain 字段中标识了名称和 SID。 此 TrustedDomain 对象包含建立到主域中域控制器的安全通道所需的帐户和服务器信息。 将忽略任何其他 TrustedDomain 对象。
- 在域控制器上, AccountDomain 字段标识系统的本地帐户域;但是,帐户名称是用户分配的,而不是已知名称。 由于主域与帐户域相同, PrimaryDomain 字段必须包含与 AccountDomain 字段相同的值。 此外,所有 TrustedDomain 对象都应有效,并表示与其他域的信任关系。 如果系统不信任任何其他域,则不应有任何 TrustedDomain 对象。