Zugriffsberechtigungen für Policy-Objekte
Das Policy-Objekt verfügt über die folgenden objektspezifischen Zugriffstypen:
| Zugriffstyp | BESCHREIBUNG |
|---|---|
| POLICY_VIEW_LOCAL_INFORMATION | Dieser Zugriffstyp ist erforderlich, um die verschiedenen Sicherheitsrichtlinieninformationen des Zielsystems zu lesen. Dies umfasst das Standardkontingent, die Überwachung, Serverstatus- und Rolleninformationen sowie Vertrauensinformationen. Dieser Zugriffstyp ist auch erforderlich, um vertrauenswürdige Domänen, Konten und Berechtigungen aufzulisten. |
| POLICY_GET_PRIVATE_INFORMATION | Dieser Zugriffstyp ist erforderlich, um vertrauliche Informationen anzuzeigen, z. B. die Namen von Konten, die für vertrauenswürdige Domänenbeziehungen eingerichtet wurden. |
| POLICY_TRUST_ADMIN | Dieser Zugriffstyp ist erforderlich, um die Informationen zur Kontodomäne oder primären Domäne zu ändern. |
| POLICY_SET_DEFAULT_QUOTA_LIMITS | Legen Sie die Standardsystemkontingente fest, die auf Benutzerkonten angewendet werden. |
| POLICY_CREATE_SECRET | Dieser Zugriffstyp ist erforderlich, um ein neues Private Data-Objekt zu erstellen. |
| POLICY_CREATE_ACCOUNT | Dieser Zugriffstyp ist erforderlich, um ein neues Account-Objekt zu erstellen. |
| POLICY_SET_AUDIT_REQUIREMENTS | Dieser Zugriffstyp ist erforderlich, um die Überwachungsanforderungen des Systems zu aktualisieren. |
| POLICY_AUDIT_LOG_ADMIN | Dieser Zugriffstyp ist erforderlich, um die Merkmale des Überwachungspfads wie die maximale Größe oder den Aufbewahrungszeitraum für Überwachungsdatensätze zu ändern oder das Protokoll zu löschen. |
| POLICY_VIEW_AUDIT_INFORMATION | Dieser Zugriffstyp ist erforderlich, um Informationen zu Überwachungspfaden oder Überwachungsanforderungen anzuzeigen. |
| POLICY_SERVER_ADMIN | Dieser Zugriffstyp ist erforderlich, um den Serverstatus oder die Rolleninformationen (master/Replikat) zu ändern. Sie ist auch erforderlich, um die Informationen zur Replikatquelle und zum Kontonamen zu ändern. |
| POLICY_LOOKUP_NAMES | Dieser Zugriffstyp ist für die Übersetzung zwischen Namen und SIDs erforderlich. |
| POLICY_CREATE_PRIVILEGE | Noch nicht unterstützt. |
Generische Zugriffsmasken
Das Policy-Objekt veröffentlicht die folgenden Zuordnungen von generischen Zugriffstypen zu bestimmten Zugriffstypen:
GENERIC_READ STANDARD_RIGHTS_READ |
POLICY_VIEW_AUDIT_INFORMATION |
POLICY_GET_PRIVATE_INFORMATION
GENERIC_WRITE STANDARD_RIGHTS_WRITE |
POLICY_TRUST_ADMIN |
POLICY_CREATE_ACCOUNT |
POLICY_CREATE_SECRET |
POLICY_CREATE_PRIVILEGE |
POLICY_SET_DEFAULT_QUOTA_LIMITS |
POLICY_SET_AUDIT_REQUIREMENTS |
POLICY_AUDIT_LOG_ADMIN |
POLICY_SERVER_ADMIN
GENERIC_EXECUTE STANDARD_RIGHTS_EXECUTE |
POLICY_VIEW_LOCAL_INFORMATION |
POLICY_LOOKUP_NAMES
Standardzugriffstypen
Dieses Objekt unterstützt den (optionalen) SYNCHRONIZE-Standardzugriffstyp nicht. Alle erforderlichen Zugriffstypen werden unterstützt. Die Maske aller unterstützten Zugriffstypen für diesen Objekttyp lautet:
POLICY_ALL_ACCESS STANDARD_RIGHTS_REQUIRED |
POLICY_VIEW_LOCAL_INFORMATION |
POLICY_VIEW_AUDIT_INFORMATION |
POLICY_GET_PRIVATE_INFORMATION |
POLICY_TRUST_ADMIN |
POLICY_CREATE_ACCOUNT |
POLICY_CREATE_SECRET |
POLICY_CREATE_PRIVILEGE |
POLICY_SET_DEFAULT_QUOTA_LIMITS |
POLICY_SET_AUDIT_REQUIREMENTS |
POLICY_AUDIT_LOG_ADMIN |
POLICY_SERVER_ADMIN
POLICY_LOOKUP_NAMES