Delen via

Beleidsobject

  • Artikel

Het Policy-object wordt gebruikt voor het beheren van de toegang tot de LSA-database (Local Security Authority) en bevat informatie die van toepassing is op het hele systeem of stelt standaardwaarden voor het systeem in. Elk systeem heeft slechts één Policy-object. Dit Policy-object wordt gemaakt door de LSA wanneer het systeem wordt opgestart en toepassingen kunnen het niet maken of vernietigen.

De informatie die is opgeslagen in een Policy-object bevat:

  • Systeemstandaardgeheugenquotum. Tenzij anders opgegeven, krijgt elke gebruiker die zich aanmeldt bij het systeem dit geheugenquotum toegewezen. Speciale geheugenquota kunnen worden toegewezen aan personen of leden van groepen of lokale groepen via een Account-object.
  • Systeembrede beveiligingscontrolevereisten.
  • De naam en SID van het accountdomein van dit systeem.
  • Informatie over het primaire domein van dit systeem. Deze informatie omvat de naam en SID van het primaire domein, de naam van het account in het primaire domein dat moet worden gebruikt voor verificatieaanvragen, naam- en SID-vertalingen en het verkrijgen van de namen van domeincontrollers binnen het domein. Deze namen kunnen verouderd zijn en mogen alleen als hint worden gebruikt. De volgorde van deze lijst wordt verondersteld significant te zijn en wordt gehandhaafd. Hierdoor kan bijvoorbeeld de voornaam in de lijst de laatst bekende primaire domeincontroller vertegenwoordigen.
  • Informatie over of de LSA de hoofdkopie van de beleidsinformatie of een replica bevat. Slechts een deel van de beleidsinformatie wordt gerepliceerd; de rest wordt per systeem vastgesteld.

De velden AccountDomain en PrimaryDomain van het Policy-object worden gebruikt voor verschillende doeleinden, afhankelijk van het type systeem- en vertrouwensrelaties:

  • Op een systeem dat geen primair domein heeft, bevat het veld AccountDomain de naam en SID van het lokale accountdomein van het systeem. Dit is hetzelfde als de computernaam. Het veld PrimaryDomain bevat de naam van de werkgroep waarvan deze computer lid is. TrustedDomain objecten worden genegeerd met één uitzondering. Er kan geen TrustedDomain-object met dezelfde naam zijn als de werkgroep, omdat het lijkt alsof het het primaire domein van de computer is.
  • Op een systeem met een primair domein identificeert het veld AccountDomain de naam en SID van het lokale accountdomein, zoals voorheen. Het veld PrimaryDomain bevat echter de naam en SID van het primaire domein voor het systeem. Daarnaast moet er een TrustedDomain--object zijn met de naam en SID die is geïdentificeerd in het veld PrimaryDomain. Dit TrustedDomain-object bevat de account- en servergegevens die nodig zijn om een beveiligd kanaal tot stand te brengen voor een domeincontroller in het primaire domein. Alle andere TrustedDomain--objecten worden genegeerd.
  • Op domeincontrollers identificeert het veld AccountDomain het lokale accountdomein voor het systeem; de accountnaam is echter door de gebruiker toegewezen in plaats van een bekende naam te zijn. Omdat het primaire domein hetzelfde is als het accountdomein, moet het veld PrimaryDomain dezelfde waarde bevatten als het veld AccountDomain. Bovendien zijn alle TrustedDomain--objecten naar verwachting geldig en vertegenwoordigen ze vertrouwensrelaties met andere domeinen. Als het systeem geen andere domeinen vertrouwt, mag er geen TrustedDomain objecten zijn.