共用方式為

原則物件

  • 發行項

原則 物件可用來控制對 Local Security Authority (LSA) 資料庫的存取,並包含套用至整個系統或建立系統預設值的資訊。 每個系統只有一個 Policy 物件。 當系統啟動時,LSA 會建立此 原則 物件,而且應用程式無法建立或終結它。

儲存在 Policy 物件中的資訊包括:

  • 系統預設記憶體配額。 除非另有指定,否則每位登入系統的用戶都會獲指派此記憶體配額。 特殊記憶體配額可以透過 Account 物件,指派給個人或群組或本地組的成員。
  • 全系統的安全性稽核需求。
  • 這個系統之帳戶網域的名稱和 SID。
  • 此系統主要網域的相關信息。 此資訊包括主要網域的名稱和 SID、要用於驗證要求的主要網域內的帳戶名稱、名稱和 SID 轉譯,以及取得網域內的域控制器名稱。 這些名稱可能已過期,而且應該只作為提示。 此清單的順序假設為重大,且會維護。 例如,這可讓清單中的名字代表最後一個已知的主要域控制器。
  • LSA 是否保存原則資訊或複本的主要複本的相關信息。 只會復寫部分原則資訊;其餘部分是以每個系統為基礎建立。

Policy 物件的 AccountDomainPrimaryDomain 字段會根據系統和信任關係的類型,用於不同的用途:

  • 在沒有主域的系統上,AccountDomain 欄位包含系統本機帳戶網域的名稱和 SID,與計算機名稱相同。 [PrimaryDomain] 字段包含此計算機所屬工作組的名稱。 TrustedDomain 物件會被忽略,但有一個例外狀況:TrustedDomain 對象的名稱與工作組相同,因為它看起來就像是計算機的主要網域一樣。
  • 在具有主要網域的系統上,AccountDomain 欄位會識別本機帳戶網域的名稱和 SID,如前所述。 不過,[PrimaryDomain] 字段包含系統主域的名稱和 SID。 此外,應該有一個 TrustedDomain 物件,其名稱和 SID 在 [PrimaryDomain] 欄位中識別。 這個 TrustedDomain 物件包含建立主要網域中域控制器安全通道所需的帳戶和伺服器資訊。 忽略任何其他 TrustedDomain 物件。
  • 在域控制器上,AccountDomain 欄位會識別系統的本機帳戶網域;不過,帳戶名稱是使用者指派的,而不是已知的名稱。 由於主域與帳戶網域相同,因此 [PrimaryDomain] 字段必須包含與 [AccountDomain] 字段相同的值。 此外,所有 TrustedDomain 對象都必須是有效的,並代表與其他網域的信任關係。 如果系統不信任任何其他網域,則不應該有任何 TrustedDomain 物件。