Compartir a través de

Policy (objeto)

  • Artículo

El objeto Policy de se usa para controlar el acceso a la base de datos(LSA) de la autoridad de seguridad local dey contiene información que se aplica a todo el sistema o establece los valores predeterminados del sistema. Cada sistema solo tiene un objeto policy . El LSA crea este objeto Policy cuando se inicia el sistema y las aplicaciones no pueden crearlo ni destruirlo.

La información almacenada en un objeto policy de incluye:

  • Cuota de memoria predeterminada del sistema. A menos que se especifique lo contrario, a cada usuario que inicie sesión en el sistema se le asignará esta cuota de memoria. Las cuotas de memoria especiales se pueden asignar a individuos o miembros de grupos o grupos locales a través de un objetoCuenta de.
  • Requisitos de auditoría de seguridad para todo el sistema.
  • Nombre y SID del dominio de cuenta de este sistema.
  • Información sobre el dominio principal de este sistema. Esta información incluye el nombre y el SID del dominio principal, el nombre de la cuenta dentro del dominio principal que se va a usar para las solicitudes de autenticación, las traducciones de nombre y SID, y la obtención de los nombres de los controladores de dominio dentro del dominio. Estos nombres pueden estar obsoletos y solo se deben tomar como sugerencia. Se supone que el orden de esta lista es significativo y se mantendrá. Esto permite, por ejemplo, el nombre de la lista representar el último controlador de dominio principal conocido.
  • Información sobre si el LSA contiene la copia maestra de la información de la directiva o una réplica. Solo se replica parte de la información de la directiva; el resto se establece por sistema.

Los campos de AccountDomain y PrimaryDomain del objeto Policy se usan para diferentes propósitos en función del tipo de relaciones de sistema y confianza:

  • En un sistema que no tiene un dominio principal, el campo AccountDomain contiene el nombre y el SID del dominio de cuenta local del sistema, que es el mismo que el nombre del equipo. El campo PrimaryDomain contiene el nombre del grupo de trabajo del que forma parte esta máquina. objetos TrustedDomain se omiten con una excepción; no puede haber un objeto TrustedDomain con el mismo nombre que el grupo de trabajo porque aparecerá como si fuera el dominio principal de la máquina.
  • En un sistema que tiene un dominio principal, el campo AccountDomain identifica el nombre y el SID del dominio de cuenta local, como antes. Sin embargo, el campo PrimaryDomain contiene el nombre y el SID del dominio principal del sistema. Además, debe haber un objeto TrustedDomain con el nombre y el SID identificados en el campo PrimaryDomain. Este objeto TrustedDomain contiene la información de cuenta y servidor necesaria para establecer un canal seguro en un controlador de dominio en el dominio principal. Cualquier otro objeto de TrustedDomain se omite.
  • En los controladores de dominio, el campo AccountDomain identifica el dominio de cuenta local del sistema; sin embargo, el nombre de cuenta se asigna al usuario en lugar de ser un nombre conocido. Dado que el dominio principal es el mismo que el dominio de cuenta, el campo PrimaryDomain debe contener el mismo valor que el campo AccountDomain. Además, se espera que todos los objetos TrustedDomain sean válidos y representen relaciones de confianza con otros dominios. Si el sistema no confía en ningún otro dominio, no debe haber ningún objeto trustedDomain .