Objek Kebijakan
Objek Kebijakan digunakan untuk mengontrol akses ke database Otoritas Keamanan Lokal (LSA) dan berisi informasi yang berlaku untuk seluruh sistem atau menetapkan default untuk sistem. Setiap sistem hanya memiliki satu objek Kebijakan . Objek Kebijakan ini dibuat oleh LSA ketika sistem dimulai, dan aplikasi tidak dapat membuat atau menghancurkannya.
Informasi yang disimpan dalam objek Policy meliputi:
- Kuota memori default sistem. Kecuali ditentukan lain, setiap pengguna yang masuk ke sistem akan diberi kuota memori ini. Kuota memori khusus dapat ditetapkan ke individu atau anggota grup atau grup lokal melalui objek Akun .
- Persyaratan audit keamanan di seluruh sistem.
- Nama dan SID domain akun sistem ini.
- Informasi tentang domain utama sistem ini. Informasi ini mencakup nama dan SID domain utama, nama akun dalam domain utama yang akan digunakan untuk permintaan autentikasi, terjemahan nama dan SID, dan mendapatkan nama pengendali domain dalam domain. Nama-nama ini mungkin kedaluarsa dan harus diambil hanya sebagai petunjuk. Urutan daftar ini diasumsikan signifikan dan akan dipertahankan. Ini memungkinkan, misalnya, nama depan dalam daftar untuk mewakili pengontrol domain utama yang terakhir diketahui.
- Informasi tentang apakah LSA menyimpan salinan master informasi kebijakan atau replika. Hanya sebagian informasi kebijakan yang direplikasi; sisanya ditetapkan berdasarkan per sistem.
Bidang AccountDomain dan PrimaryDomain dari objek Policy digunakan untuk tujuan yang berbeda tergantung pada jenis hubungan sistem dan kepercayaan:
- Pada sistem yang tidak memiliki domain utama, bidang AccountDomain berisi nama dan SID domain akun lokal sistem, yang sama dengan nama komputer. Bidang PrimaryDomain berisi nama grup kerja tempat komputer ini menjadi anggotanya. Objek TrustedDomain diabaikan dengan satu pengecualian—tidak boleh ada objek TrustedDomain dengan nama yang sama dengan grup kerja karena akan muncul seolah-olah itu adalah domain utama komputer.
- Pada sistem yang memiliki domain utama, bidang AccountDomain mengidentifikasi nama dan SID domain akun lokal, seperti sebelumnya. Namun, bidang PrimaryDomain berisi nama dan SID domain utama untuk sistem. Selain itu, harus ada objek TrustedDomain dengan nama dan SID yang diidentifikasi di bidang PrimaryDomain . Objek TrustedDomain ini berisi informasi akun dan server yang diperlukan untuk membuat saluran aman ke pengendali domain di domain utama. Objek TrustedDomain lainnya diabaikan.
- Pada pengendali domain, bidang AccountDomain mengidentifikasi domain akun lokal untuk sistem; namun, nama akun ditetapkan pengguna daripada menjadi nama terkenal. Karena domain utama sama dengan domain akun, bidang PrimaryDomain harus berisi nilai yang sama dengan bidang AccountDomain . Selain itu, semua objek TrustedDomain diharapkan valid dan mewakili hubungan kepercayaan dengan domain lain. Jika sistem tidak mempercayai domain lain, seharusnya tidak ada objek TrustedDomain .
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk