Condividi tramite

Oggetto Policy

  • Articolo

L'oggetto Criteri di viene usato per controllare l'accesso al databasedell'autorità di sicurezza locale(LSA) e contiene informazioni applicabili all'intero sistema o stabilisce le impostazioni predefinite per il sistema. Ogni sistema dispone di un solo oggetto Criteri di. Questo 'oggetto criteri viene creato dall'LSA all'avvio del sistema e le applicazioni non possono crearla o eliminarla definitivamente.

Le informazioni archiviate in un oggetto criteri di includono:

  • Quota di memoria predefinita del sistema. Se non diversamente specificato, a ogni utente che accede al sistema verrà assegnata questa quota di memoria. È possibile assegnare quote di memoria speciali a singoli utenti o membri di gruppi o gruppi locali tramite un oggettoaccount.
  • Requisiti di controllo della sicurezza a livello di sistema.
  • Nome e SID del dominio account di questo sistema.
  • Informazioni sul dominio primario di questo sistema. Queste informazioni includono il nome e il SID del dominio primario, il nome dell'account all'interno del dominio primario da usare per le richieste di autenticazione, le traduzioni di nome e SID e il recupero dei nomi dei controller di dominio all'interno del dominio. Questi nomi potrebbero non essere aggiornati e devono essere presi solo come suggerimento. Si presuppone che l'ordine di questo elenco sia significativo e venga mantenuto. Ciò consente, ad esempio, al primo nome nell'elenco di rappresentare l'ultimo controller di dominio primario noto.
  • Informazioni sul fatto che LSA contenga la copia master delle informazioni sui criteri o di una replica. Solo una parte delle informazioni sui criteri viene replicata; il resto viene stabilito in base al sistema.

I campi AccountDomain e PrimaryDomain dell'oggetto Criteri di vengono usati per scopi diversi a seconda del tipo di relazioni di sistema e trust:

  • In un sistema che non dispone di un dominio primario, il campo AccountDomain contiene il nome e il SID del dominio dell'account locale del sistema, che corrisponde al nome del computer. Il campo PrimaryDomain contiene il nome del gruppo di lavoro di cui è membro il computer. gli oggetti TrustedDomain vengono ignorati con un'unica eccezione. Non può essere presente un oggetto TrustedDomain con lo stesso nome del gruppo di lavoro perché viene visualizzato come se fosse il dominio primario del computer.
  • In un sistema con un dominio primario, il campo AccountDomain identifica il nome e il SID del dominio dell'account locale, come in precedenza. Tuttavia, il campo PrimaryDomain contiene il nome e il SID del dominio primario per il sistema. Inoltre, deve essere presente un oggetto TrustedDomain con il nome e il SID identificati nel campo PrimaryDomain. Questo oggetto TrustedDomain contiene le informazioni sull'account e sul server necessarie per stabilire un canale sicuro a un controller di dominio nel dominio primario. Qualsiasi altro oggetto TrustedDomain viene ignorato.
  • Nei controller di dominio il campo AccountDomain identifica il dominio dell'account locale per il sistema; Tuttavia, il nome dell'account viene assegnato dall'utente anziché essere un nome noto. Poiché il dominio primario è uguale al dominio account, il campo PrimaryDomain deve contenere lo stesso valore del campo accountDomain. Inoltre, tutti gli oggetti TrustedDomaindevono essere validi e rappresentano relazioni di trust con altri domini. Se il sistema non considera attendibili altri domini, non devono essere presenti oggetti TrustedDomain.