次の方法で共有

Policy オブジェクト

  • [アーティクル]

Policy オブジェクトは、Local Security Authority (LSA) データベースへのアクセスを制御するために使用され、システム全体に適用されるか、システムの既定値を確立する情報が含まれています。 各システムには、Policy オブジェクトが 1 つだけ含まれています。 この Policy オブジェクトは、システムの起動時に LSA によって作成され、アプリケーションで作成または破棄することはできません。

Policy オブジェクトに格納される情報には、次のものが含まれます。

  • システムの既定のメモリ クォータ。 特に指定しない限り、システムにログオンする各ユーザーには、このメモリ クォータが割り当てられます。 特別なメモリ クォータは、Account オブジェクトを使用して、グループまたはローカル グループの個人またはメンバーに割り当てることができます。
  • システム全体のセキュリティ監査要件。
  • このシステムのアカウント ドメインの名前と SID。
  • このシステムのプライマリ ドメインに関する情報。 この情報には、プライマリ ドメインの名前と SID、認証要求に使用されるプライマリ ドメイン内のアカウント名、名前と SID 変換、ドメイン内のドメイン コントローラーの名前の取得が含まれます。 これらの名前は古くなっている可能性があり、ヒントとしてのみ使用する必要があります。 このリストの順序は重要であると見なされ、維持されます。 これにより、たとえば、リスト内の名が最後に既知のプライマリ ドメイン コントローラーを表すことができます。
  • LSA がポリシー情報またはレプリカのマスター コピーを保持しているかどうかに関する情報。 ポリシー情報の一部のみがレプリケートされます。残りはシステムごとに確立されます。

Policy オブジェクトの AccountDomain フィールドと PrimaryDomain フィールドは、システムと信頼関係の種類によって異なる目的で使用されます。

  • プライマリ ドメインがないシステムでは、AccountDomain フィールドには、コンピューター名と同じシステムのローカル アカウント ドメインの名前と SID が含まれます。 PrimaryDomain フィールドには、このマシンがメンバーであるワークグループの名前が含まれています。 TrustedDomainオブジェクト1 つの例外で無視されます。ワークグループと同じ名前の TrustedDomain オブジェクトは、マシンのプライマリ ドメインのように見えるため、存在できません。
  • プライマリ ドメインを持つシステムでは、AccountDomain フィールドは、前と同様にローカル アカウント ドメインの名前と SID を識別します。 ただし、PrimaryDomain フィールドには、システムのプライマリ ドメインの名前と SID が含まれています。 さらに、PrimaryDomain フィールドで識別される名前と SID を持つ TrustedDomain オブジェクトが存在する必要があります。 この TrustedDomain オブジェクトには、プライマリ ドメイン内のドメイン コントローラーへのセキュリティで保護されたチャネルを確立するために必要なアカウントとサーバー情報が含まれています。 TrustedDomain オブジェクト その他のオブジェクトは無視されます。
  • ドメイン コントローラーでは、AccountDomain フィールドはシステムのローカル アカウント ドメインを識別します。ただし、アカウント名は既知の名前ではなく、ユーザー割り当てです。 プライマリ ドメインはアカウント ドメインと同じであるため、PrimaryDomain フィールドには、AccountDomain フィールドと同じ値が含まれている必要があります。 さらに、TrustedDomainオブジェクトはすべて有効であり、他のドメインとの信頼関係を表す必要があります。 システムが他のドメインを信頼していない場合は、TrustedDomain オブジェクト 存在しないようにする必要があります。