Sdílet prostřednictvím

Objekt zásad

  • Článek

Objekt zásad slouží k řízení přístupu k databázimístní autority zabezpečení(LSA) a obsahuje informace, které platí pro celý systém nebo stanoví výchozí hodnoty systému. Každý systém má pouze jeden objekt zásad. Tato zásady objektu je vytvořena LSA při spuštění systému a aplikace ji nemohou vytvořit ani zničit.

Informace uložené v objektu zásad zahrnují:

  • Výchozí kvóta paměti systému. Pokud neurčíte jinak, přiřadí se každému uživateli přihlášení k systému tato kvóta paměti. Speciální kvóty paměti lze přiřadit jednotlivcům nebo členům skupin nebo místních skupin prostřednictvím objektu Účet.
  • Požadavky na auditování zabezpečení na úrovni celého systému
  • Název a identifikátor SID domény účtu tohoto systému.
  • Informace o primární doméně tohoto systému. Tyto informace zahrnují název a identifikátor SID primární domény, název účtu v primární doméně, který se má použít pro žádosti o ověření, překlady názvů a identifikátorů SID a získání názvů řadičů domény v rámci domény. Tyto názvy mohou být zastaralé a měly by být považovány pouze za nápovědu. Předpokládá se, že pořadí tohoto seznamu je významné a bude zachováno. To například umožňuje, aby křestní jméno v seznamu představovalo poslední známý primární řadič domény.
  • Informace o tom, zda LSA obsahuje hlavní kopii informací o zásadách nebo repliku. Replikují se pouze části informací o zásadách; zbytek se stanoví na základě jednotlivých systémů.

Pole AccountDomain a PrimaryDomain objektu zásad se používají pro různé účely v závislosti na typu systému a vztahů důvěryhodnosti:

  • V systému, který nemá primární doménu, AccountDomain pole obsahuje název a identifikátor SID místní domény účtu systému, který je stejný jako název počítače. Pole PrimaryDomain obsahuje název pracovní skupiny, do které je tento počítač členem. TrustedDomain objekty jsou ignorovány s jednou výjimkou – nemůže existovat objekt TrustedDomain se stejným názvem jako pracovní skupina, protože se zobrazí, jako by se jedná o primární doménu počítače.
  • V systému, který má primární doménu, AccountDomain pole identifikuje název a IDENTIFIKÁTOR SID domény místního účtu jako předtím. Pole PrimaryDomain však obsahuje název a identifikátor SID primární domény systému. Kromě toho by měl existovat objekt TrustedDomain s názvem a identifikátorem SID identifikovaným v poli PrimaryDomain. Tento TrustedDomain objekt obsahuje informace o účtu a serveru potřebné k vytvoření zabezpečeného kanálu pro řadič domény v primární doméně. Všechny ostatní TrustedDomain objekty jsou ignorovány.
  • V řadičích domény pole AccountDomain identifikuje doménu místního účtu systému; název účtu je ale přiřazený uživatelem, nikoli známým názvem. Vzhledem k tomu, že primární doména je stejná jako doména účtu, musí pole PrimaryDomain obsahovat stejnou hodnotu jako pole AccountDomain. Očekává se, že všechny objekty TrustedDomain budou platné a představují vztahy důvěryhodnosti s jinými doménami. Pokud systém nedůvěřuje žádným jiným doménám, neměly by existovat žádné TrustedDomain objekty.