原則物件
Policy物件可用來控制本機安全性授權單位 (LSA) 資料庫的存取,並包含適用于整個系統或建立系統預設值的資訊。 每個系統只有一個 Policy 物件。 當系統啟動時,LSA 會建立此 原則 物件,而應用程式無法建立或終結它。
儲存在 Policy 物件中的資訊包括:
- 系統預設記憶體配額。 除非另有指定,否則系統會將每位登入系統的使用者指派給此記憶體配額。 特殊記憶體配額可透過 Account 物件指派給群組或本機群組的個人或成員。
- 全系統安全性稽核需求。
- 此系統帳戶網域的名稱和 SID。
- 此系統之主要網域的相關資訊。 此資訊包括主要域的名稱和 SID、要用於驗證要求的主要網域內的帳戶名稱、名稱和 SID 轉譯,以及取得網域內的網域控制站名稱。 這些名稱可能已過期,而且應該只作為提示。 此清單的順序假設很重要,而且會維護。 例如,這可讓清單中的名字代表最後一個已知的主要網域控制站。
- LSA 是否保存原則資訊的主要複本或複本的相關資訊。 只會複寫部分的原則資訊;其餘部分會根據每個系統建立。
原則物件的AccountDomain和PrimaryDomain欄位會根據系統和信任關係的類型,用於不同的用途:
- 在沒有主要網域的系統上, AccountDomain 欄位包含系統本機帳戶網域的名稱和 SID,這與電腦名稱稱相同。 PrimaryDomain欄位包含此電腦所屬工作組的名稱。 TrustedDomain 物件會忽略,但有一個例外狀況,因為其會顯示為電腦的主要網域,因此不能有與工作組同名的 TrustedDomain 物件。
- 在具有主要網域的系統上, AccountDomain 欄位會識別本機帳戶網域的名稱和 SID,如前所述。 不過, PrimaryDomain 欄位包含系統主要域的名稱和 SID。 此外,應該會有 一個 TrustedDomain 物件,其名稱與 SID 在 PrimaryDomain 欄位中識別。 這個 TrustedDomain 物件包含建立主要網域中網域控制站安全通道所需的帳戶和伺服器資訊。 會忽略任何其他 TrustedDomain 物件。
- 在網域控制站上, AccountDomain 欄位會識別系統的本機帳戶網域;不過,帳戶名稱是使用者指派的,而不是已知的名稱。 因為主要網域與帳戶網域相同, 所以 PrimaryDomain 欄位必須包含與 AccountDomain 欄位相同的值。 此外,所有 TrustedDomain 物件必須是有效的,並且代表與其他網域的信任關係。 如果系統不信任任何其他網域,則不應該有任何 TrustedDomain 物件。