Das Policy-Objekt wird verwendet, um den Zugriff auf die LSA-Datenbank ( Local Security Authority ) zu steuern und enthält Informationen, die für das gesamte System gelten oder Standardeinstellungen für das System festlegen. Jedes System verfügt nur über ein Policy-Objekt . Dieses Policy-Objekt wird vom LSA erstellt, wenn das System gestartet wird, und Anwendungen können es nicht erstellen oder zerstören.
Die in einem Policy-Objekt gespeicherten Informationen umfassen Folgendes:
Systemstandardspeicherkontingent. Sofern nicht anders angegeben, wird jedem Benutzer, der sich am System anmeldet, dieses Speicherkontingent zugewiesen. Spezielle Speicherkontingente können Einzelpersonen oder Mitgliedern von Gruppen oder lokalen Gruppen über ein Account-Objekt zugewiesen werden.
Systemweite Sicherheitsüberwachungsanforderungen.
Der Name und die SID der Kontodomäne dieses Systems.
Informationen zur primären Domäne dieses Systems. Diese Informationen umfassen den Namen und die SID der primären Domäne, den Namen des Kontos in der primären Domäne, das für Authentifizierungsanforderungen verwendet werden soll, den Namen und die SID-Übersetzungen sowie das Abrufen der Namen von Domänencontrollern innerhalb der Domäne. Diese Namen sind möglicherweise veraltet und sollten nur als Hinweis verwendet werden. Die Reihenfolge dieser Liste wird als signifikant angenommen und wird beibehalten. Dadurch kann beispielsweise der Vorname in der Liste den letzten bekannten primären Domänencontroller darstellen.
Informationen darüber, ob der LSA die master Kopie der Richtlinieninformationen oder ein Replikat enthält. Nur ein Teil der Richtlinieninformationen wird repliziert. der Rest wird systembezogen festgelegt.
Die Felder AccountDomain und PrimaryDomain des Policy-Objekts werden je nach Typ der System- und Vertrauensstellungen für unterschiedliche Zwecke verwendet:
Auf einem System ohne primäre Domäne enthält das Feld AccountDomain den Namen und die SID der lokalen Kontodomäne des Systems, die mit dem Computernamen identisch ist. Das Feld PrimaryDomain enthält den Namen der Arbeitsgruppe, der dieser Computer angehört.
TrustedDomain-Objekte werden mit einer Ausnahme ignoriert: Es kann kein TrustedDomain-Objekt mit demselben Namen wie die Arbeitsgruppe vorhanden sein, da es so aussieht, als sei es die primäre Domäne des Computers.
Auf einem System mit einer primären Domäne identifiziert das Feld AccountDomain wie zuvor den Namen und die SID der lokalen Kontodomäne. Das Feld PrimaryDomain enthält jedoch den Namen und die SID der primären Domäne für das System. Darüber hinaus sollte ein TrustedDomain-Objekt mit dem Namen und der SID im Feld PrimaryDomain angegeben sein. Dieses TrustedDomain-Objekt enthält die Konto- und Serverinformationen, die zum Einrichten eines sicheren Kanals zu einem Domänencontroller in der primären Domäne erforderlich sind. Alle anderen TrustedDomain-Objekte werden ignoriert.
Auf Domänencontrollern identifiziert das Feld AccountDomain die lokale Kontodomäne für das System. Der Kontoname ist jedoch einem Benutzer zugewiesen und nicht ein bekannter Name. Da die primäre Domäne mit der Kontodomäne identisch ist, muss das Feld PrimaryDomain den gleichen Wert wie das Feld AccountDomain enthalten. Darüber hinaus wird erwartet, dass alle TrustedDomain-Objekte gültig sind und Vertrauensbeziehungen zu anderen Domänen darstellen. Wenn das System anderen Domänen nicht vertraut, sollte es keine TrustedDomain-Objekte geben.