策略对象访问权限
Policy 对象具有以下特定于对象的访问类型:
| 访问类型 | 说明 |
|---|---|
| POLICY_VIEW_LOCAL_INFORMATION | 读取目标系统的其他安全策略信息需要此访问类型。 这包括默认配额、审核、服务器状态和角色信息以及信任信息。 还需要此访问类型来枚举受信任的域、帐户和 特权。 |
| POLICY_GET_PRIVATE_INFORMATION | 需要此访问类型才能查看敏感信息,例如为受信任的域关系建立的帐户的名称。 |
| POLICY_TRUST_ADMIN | 更改帐户域或主域信息需要此访问类型。 |
| POLICY_SET_DEFAULT_QUOTA_LIMITS | 设置应用于用户帐户的默认系统配额。 |
| POLICY_CREATE_SECRET | 创建新的专用数据对象需要此访问类型。 |
| POLICY_CREATE_ACCOUNT | 创建新的 Account 对象需要此访问类型。 |
| POLICY_SET_AUDIT_REQUIREMENTS | 更新系统的审核要求需要此访问类型。 |
| POLICY_AUDIT_LOG_ADMIN | 需要此访问类型来更改审核跟踪的特征,例如审核记录的最大大小或保留期,或清除日志。 |
| POLICY_VIEW_AUDIT_INFORMATION | 查看审核线索或审核要求信息需要此访问类型。 |
| POLICY_SERVER_ADMIN | 需要此访问类型才能修改服务器状态或角色 (主/副本 (replica) ) 信息。 还需要更改副本 (replica) 源和帐户名称信息。 |
| POLICY_LOOKUP_NAMES | 在名称和 SID 之间转换需要此访问类型。 |
| POLICY_CREATE_PRIVILEGE | 尚不支持。 |
泛型访问掩码
Policy 对象将以下映射从泛型访问类型发布到特定访问类型:
GENERIC_READ STANDARD_RIGHTS_READ |
POLICY_VIEW_AUDIT_INFORMATION |
POLICY_GET_PRIVATE_INFORMATION
GENERIC_WRITE STANDARD_RIGHTS_WRITE |
POLICY_TRUST_ADMIN |
POLICY_CREATE_ACCOUNT |
POLICY_CREATE_SECRET |
POLICY_CREATE_PRIVILEGE |
POLICY_SET_DEFAULT_QUOTA_LIMITS |
POLICY_SET_AUDIT_REQUIREMENTS |
POLICY_AUDIT_LOG_ADMIN |
POLICY_SERVER_ADMIN
GENERIC_EXECUTE STANDARD_RIGHTS_EXECUTE |
POLICY_VIEW_LOCAL_INFORMATION |
POLICY_LOOKUP_NAMES
标准访问类型
此对象不支持 (可选) SYNCHRONIZE 标准访问类型。 支持所有必需的访问类型。 此对象类型的所有受支持访问类型的掩码为:
POLICY_ALL_ACCESS STANDARD_RIGHTS_REQUIRED |
POLICY_VIEW_LOCAL_INFORMATION |
POLICY_VIEW_AUDIT_INFORMATION |
POLICY_GET_PRIVATE_INFORMATION |
POLICY_TRUST_ADMIN |
POLICY_CREATE_ACCOUNT |
POLICY_CREATE_SECRET |
POLICY_CREATE_PRIVILEGE |
POLICY_SET_DEFAULT_QUOTA_LIMITS |
POLICY_SET_AUDIT_REQUIREMENTS |
POLICY_AUDIT_LOG_ADMIN |
POLICY_SERVER_ADMIN
POLICY_LOOKUP_NAMES