策略对象访问权限
Policy 对象具有以下特定于对象的访问类型:
| 访问类型 | 描述 |
|---|---|
| POLICY_VIEW_LOCAL_INFORMATION | 需要此访问类型才能读取目标系统的其他安全策略信息。 这包括默认配额、审核、服务器状态和角色信息以及信任信息。 还需要此访问类型来枚举受信任的域、帐户和 权限。 |
| POLICY_GET_PRIVATE_INFORMATION | 需要此访问类型才能查看敏感信息,例如为受信任的域关系建立的帐户的名称。 |
| POLICY_TRUST_ADMIN | 需要此访问类型才能更改帐户域或主域信息。 |
| POLICY_SET_DEFAULT_QUOTA_LIMITS | 设置应用于用户帐户的默认系统配额。 |
| POLICY_CREATE_SECRET | 创建新的专用数据对象需要此访问类型。 |
| POLICY_CREATE_ACCOUNT | 需要此访问类型才能创建新的 Account 对象。 |
| POLICY_SET_AUDIT_REQUIREMENTS | 需要此访问类型来更新系统的审核要求。 |
| POLICY_AUDIT_LOG_ADMIN | 需要此访问类型来更改审核线索的特征,例如其最大大小或审核记录的保留期,或清除日志。 |
| POLICY_VIEW_AUDIT_INFORMATION | 需要此访问类型才能查看审核线索或审核要求信息。 |
| POLICY_SERVER_ADMIN | 修改服务器状态或角色(主/副本)信息需要此访问类型。 还需要更改副本源和帐户名称信息。 |
| POLICY_LOOKUP_NAMES | 需要在名称和 SID 之间转换此访问类型。 |
| POLICY_CREATE_PRIVILEGE | 尚不支持。 |
泛型访问掩码
Policy 对象将以下映射从泛型访问类型发布到特定访问类型:
GENERIC_READ STANDARD_RIGHTS_READ |
POLICY_VIEW_AUDIT_INFORMATION |
POLICY_GET_PRIVATE_INFORMATION
GENERIC_WRITE STANDARD_RIGHTS_WRITE |
POLICY_TRUST_ADMIN |
POLICY_CREATE_ACCOUNT |
POLICY_CREATE_SECRET |
POLICY_CREATE_PRIVILEGE |
POLICY_SET_DEFAULT_QUOTA_LIMITS |
POLICY_SET_AUDIT_REQUIREMENTS |
POLICY_AUDIT_LOG_ADMIN |
POLICY_SERVER_ADMIN
GENERIC_EXECUTE STANDARD_RIGHTS_EXECUTE |
POLICY_VIEW_LOCAL_INFORMATION |
POLICY_LOOKUP_NAMES
标准访问类型
此对象不支持 (可选) SYNCHRONIZE 标准访问类型。 支持所有必需的访问类型。 此对象类型支持的所有访问类型的掩码为:
POLICY_ALL_ACCESS STANDARD_RIGHTS_REQUIRED |
POLICY_VIEW_LOCAL_INFORMATION |
POLICY_VIEW_AUDIT_INFORMATION |
POLICY_GET_PRIVATE_INFORMATION |
POLICY_TRUST_ADMIN |
POLICY_CREATE_ACCOUNT |
POLICY_CREATE_SECRET |
POLICY_CREATE_PRIVILEGE |
POLICY_SET_DEFAULT_QUOTA_LIMITS |
POLICY_SET_AUDIT_REQUIREMENTS |
POLICY_AUDIT_LOG_ADMIN |
POLICY_SERVER_ADMIN
POLICY_LOOKUP_NAMES