Compartir a través de


Policy (objeto)

El objeto Policy se usa para controlar el acceso a la base de datos de la Autoridad de seguridad local (LSA) y contiene información que se aplica a todo el sistema o establece los valores predeterminados para el sistema. Cada sistema solo tiene un objeto Policy . El LSA crea este objeto Policy cuando se inicia el sistema y las aplicaciones no pueden crearlo ni destruirlo.

La información almacenada en un objeto Policy incluye:

  • Cuota de memoria predeterminada del sistema. A menos que se especifique lo contrario, a cada usuario que inicie sesión en el sistema se le asignará esta cuota de memoria. Las cuotas de memoria especiales se pueden asignar a individuos o miembros de grupos o grupos locales a través de un objeto Account .
  • Requisitos de auditoría de seguridad para todo el sistema.
  • Nombre y SID del dominio de cuenta de este sistema.
  • Información sobre el dominio principal de este sistema. Esta información incluye el nombre y el SID del dominio principal, el nombre de la cuenta dentro del dominio principal que se va a usar para las solicitudes de autenticación, el nombre y las traducciones del SID, y la obtención de los nombres de los controladores de dominio dentro del dominio. Estos nombres pueden estar obsoletos y solo se deben tomar como sugerencia. Se supone que el orden de esta lista es significativo y se mantendrá. Esto permite, por ejemplo, el nombre de la lista representar el último controlador de dominio principal conocido.
  • Información sobre si el LSA contiene la copia maestra de la información de la directiva o una réplica. Solo se replica parte de la información de la directiva; el resto se establece por sistema.

Los campos AccountDomain y PrimaryDomain del objeto Policy se usan para diferentes propósitos en función del tipo de relaciones de confianza y del sistema:

  • En un sistema que no tiene un dominio principal, el campo AccountDomain contiene el nombre y el SID del dominio de cuenta local del sistema, que es el mismo que el nombre del equipo. El campo PrimaryDomain contiene el nombre del grupo de trabajo del que forma parte esta máquina. Los objetos TrustedDomain se omiten con una excepción: no puede haber un objeto TrustedDomain con el mismo nombre que el grupo de trabajo porque aparecerá como si fuera el dominio principal de la máquina.
  • En un sistema que tiene un dominio principal, el campo AccountDomain identifica el nombre y el SID del dominio de la cuenta local, como antes. Sin embargo, el campo PrimaryDomain contiene el nombre y el SID del dominio principal del sistema. Además, debe haber un objeto TrustedDomain con el nombre y el SID identificados en el campo PrimaryDomain . Este objeto TrustedDomain contiene la información de cuenta y servidor necesaria para establecer un canal seguro en un controlador de dominio del dominio principal. Se omite cualquier otro objeto TrustedDomain .
  • En los controladores de dominio, el campo AccountDomain identifica el dominio de cuenta local para el sistema; sin embargo, el nombre de cuenta es asignado por el usuario en lugar de ser un nombre conocido. Dado que el dominio principal es el mismo que el dominio de cuenta, el campo PrimaryDomain debe contener el mismo valor que el campo AccountDomain . Además, se espera que todos los objetos TrustedDomain sean válidos y representen relaciones de confianza con otros dominios. Si el sistema no confía en ningún otro dominio, no debe haber ningún objeto TrustedDomain .