通过

Policy 对象

  • 项目

策略 对象用于控制对 本地安全机构(LSA)数据库的访问,并包含应用于整个系统或为系统建立默认值的信息。 每个系统只有一个 策略 对象。 当系统启动时,LSA 会创建此 策略 对象,应用程序无法创建或销毁它。

存储在 Policy 对象中的信息包括:

  • 系统默认内存配额。 除非另有指定,否则系统会为登录到系统的每个用户分配此内存配额。 可以通过 帐户 对象将特殊内存配额分配给组或组或本地组的成员。
  • 系统范围内的安全审核要求。
  • 此系统的帐户域的名称和 SID。
  • 有关此系统的主域的信息。 此信息包括主域的名称和 SID、用于身份验证请求的主域中的帐户的名称、名称和 SID 转换,以及获取域中的域控制器的名称。 这些名称可能已过期,应仅作为提示。 此列表的顺序假定是重要的,并将被维护。 例如,这允许列表中的第一个名称表示最后一个已知的主域控制器。
  • 有关 LSA 是保存策略信息的主副本还是副本的信息。 仅复制部分策略信息;余数是按系统建立的。

Policy 对象的 AccountDomainPrimaryDomain 字段用于不同的用途,具体取决于系统和信任关系的类型:

  • 在没有主域的系统上,AccountDomain 字段包含系统的本地帐户域的名称和 SID,与计算机名称相同。 PrimaryDomain 字段包含此计算机所属的工作组的名称。 TrustedDomain 对象被忽略,但存在与工作组同名的 TrustedDomain 对象,因为它看起来就像是计算机的主域一样。
  • 在具有主域的系统上,AccountDomain 字段标识本地帐户域的名称和 SID,如前所述。 但是,PrimaryDomain 字段包含系统的主域的名称和 SID。 此外,还应有一个 TrustedDomain 对象,该对象在 PrimaryDomain 字段中标识的名称和 SID。 此 TrustedDomain 对象包含建立主域中域控制器的安全通道所需的帐户和服务器信息。 将忽略任何其他 TrustedDomain 对象。
  • 在域控制器上,AccountDomain 字段标识系统的本地帐户域;但是,帐户名称是用户分配的,而不是已知名称。 由于主域与帐户域相同,因此 PrimaryDomain 字段必须包含与 AccountDomain 字段相同的值。 此外,所有 TrustedDomain 对象应有效,并表示与其他域的信任关系。 如果系统不信任任何其他域,则不应有任何 TrustedDomain 对象。