Partilhar via

Objeto de política

  • Artigo

O objeto de Diretiva de é usado para controlar o acesso ao banco de dados LSA (Local Security Authority) e contém informações que se aplicam a todo o sistema ou estabelecem padrões para o sistema. Cada sistema tem apenas um Policy objeto. Esse objeto de política é criado pelo LSA quando o sistema é iniciado e os aplicativos não podem criá-lo ou destruí-lo.

As informações armazenadas em um objeto de de política de incluem:

  • Cota de memória padrão do sistema. A menos que especificado de outra forma, cada usuário que fizer logon no sistema receberá essa cota de memória. Cotas de memória especiais podem ser atribuídas a indivíduos ou membros de grupos ou grupos locais por meio de um objetoConta.
  • Requisitos de auditoria de segurança em todo o sistema.
  • O nome e SID do domínio da conta deste sistema.
  • Informações sobre o domínio primário deste sistema. Essas informações incluem o nome e o SID do domínio primário, o nome da conta dentro do domínio primário que deve ser usado para solicitações de autenticação, traduções de nome e SID e a obtenção dos nomes dos controladores de domínio dentro do domínio. Esses nomes podem estar desatualizados e devem ser tomados apenas como uma dica. A ordem desta lista é considerada significativa e será mantida. Isso permite, por exemplo, que o primeiro nome na lista represente o último controlador de domínio primário conhecido.
  • Informações sobre se o LSA mantém a cópia mestra das informações da política ou uma réplica. Apenas uma parte das informações sobre a política é replicada; o restante é estabelecido por sistema.

Os campos AccountDomain e PrimaryDomain do objeto de Política de são usados para finalidades diferentes, dependendo do tipo de sistema e relações de confiança:

  • Em um sistema que não tem um domínio primário, o campo AccountDomain contém o nome e o SID do domínio da conta local do sistema, que é o mesmo que o nome do computador. O campo PrimaryDomain contém o nome do grupo de trabalho do qual esta máquina é membro. objetos TrustedDomain são ignorados com uma exceção — não pode haver um objeto TrustedDomain com o mesmo nome do grupo de trabalho porque ele aparecerá como se fosse o domínio principal da máquina.
  • Em um sistema que tem um domínio primário, o campo AccountDomain identifica o nome e o SID do domínio da conta local, como antes. No entanto, o campo PrimaryDomain contém o nome e o SID do domínio primário do sistema. Além disso, deve haver um objeto TrustedDomain com o nome e o SID identificados no campo PrimaryDomain da. Este objeto TrustedDomain contém as informações de conta e servidor necessárias para estabelecer um canal seguro para um controlador de domínio no domínio primário. Qualquer outro objetos TrustedDomain são ignorados.
  • Em controladores de domínio, o campo AccountDomain identifica o domínio da conta local do sistema; no entanto, o nome da conta é atribuído ao usuário em vez de ser um nome conhecido. Como o domínio primário é o mesmo que o domínio da conta, o campo PrimaryDomain deve conter o mesmo valor que o campo AccountDomain. Além disso, espera-se que todos os objetosTrustedDomainsejam válidos e representem relações de confiança com outros domínios. Se o sistema não confiar em nenhum outro domínio, não deve haver nenhum objetos TrustedDomain.