Policy 对象

Policy 对象用于控制对本地安全机构 (LSA) 数据库的访问,并包含应用于整个系统或为系统建立默认值的信息。 每个系统只有一个 Policy 对象。 当系统启动时,LSA 会创建此 Policy 对象,应用程序无法创建或销毁它。

存储在 Policy 对象中的信息包括:

  • 系统默认内存配额。 除非另有指定,否则,将为每个登录到系统的用户分配此内存配额。 可以通过 Account 对象将特殊内存配额分配给组或组或本地组的成员。
  • 系统范围的安全审核要求。
  • 此系统的帐户域的名称和 SID。
  • 有关此系统的主域的信息。 此信息包括主域的名称和 SID、要用于身份验证请求的主域中的帐户的名称、名称和 SID 转换,以及获取域中域控制器的名称。 这些名称可能过期,应仅作为提示。 此列表的顺序假定为重要且将维护。 例如,这允许列表中的名字来表示最后一个已知的主域控制器。
  • 有关 LSA 是保留策略信息的主副本还是副本的信息。 仅复制部分策略信息;其余部分是按系统建立的。

Policy 对象的 AccountDomainPrimaryDomain 字段用于不同的用途,具体取决于系统和信任关系的类型:

  • 在没有主域的系统上, AccountDomain 字段包含系统的本地帐户域的名称和 SID,该名称与计算机名称相同。 PrimaryDomain 字段包含此计算机所属的工作组的名称。 TrustedDomain 对象被忽略,但存在一个例外-不能有与工作组同名的 TrustedDomain 对象,因为它看起来就像是计算机的主域一样。
  • 在具有主域的系统上, AccountDomain 字段将本地帐户域的名称和 SID 标识为以前。 但是, PrimaryDomain 字段包含系统的主域的名称和 SID。 此外,应该有一个 TrustedDomain 对象,该对象的名称和 SID 在 PrimaryDomain 字段中标识。 此 TrustedDomain 对象包含建立主域中域控制器的安全通道所需的帐户和服务器信息。 将忽略任何其他 TrustedDomain 对象。
  • 在域控制器上, AccountDomain 字段标识系统的本地帐户域;但是,帐户名称是用户分配的,而不是已知名称。 由于主域与帐户域相同, PrimaryDomain 字段必须包含与 AccountDomain 字段相同的值。 此外,所有 TrustedDomain 对象应有效,并表示与其他域的信任关系。 如果系统不信任任何其他域,则不应有任何 TrustedDomain 对象。