Oggetto Policy
L'oggetto Policy viene usato per controllare l'accesso al database LSA ( Local Security Authority ) e contiene informazioni applicabili all'intero sistema o stabilisce le impostazioni predefinite per il sistema. Ogni sistema ha un solo oggetto Policy . Questo oggetto Policy viene creato dall'LSA quando il sistema viene avviato e le applicazioni non possono crearla o eliminarla.
Le informazioni archiviate in un oggetto Policy includono:
- Quota di memoria predefinita del sistema. A meno che non sia specificato diversamente, ogni utente che accede al sistema verrà assegnata questa quota di memoria. Le quote di memoria speciali possono essere assegnate a singoli utenti o membri di gruppi o gruppi locali tramite un oggetto Account .
- Requisiti di controllo della sicurezza a livello di sistema.
- Nome e SID del dominio account di questo sistema.
- Informazioni sul dominio primario di questo sistema. Queste informazioni includono il nome e il SID del dominio primario, il nome dell'account all'interno del dominio primario da usare per le richieste di autenticazione, i nomi e le traduzioni SID e ottenere i nomi dei controller di dominio all'interno del dominio. Questi nomi possono essere non aggiornati e devono essere presi solo come suggerimento. Si presuppone che l'ordine di questo elenco sia significativo e venga mantenuto. Ciò consente, ad esempio, il primo nome nell'elenco per rappresentare l'ultimo controller di dominio primario noto.
- Informazioni sul fatto che LSA contenga la copia master delle informazioni sui criteri o una replica. Viene replicata solo una parte delle informazioni sui criteri; il resto viene stabilito in base al sistema.
I campi AccountDomain e PrimaryDomain dell'oggetto Policy vengono usati per scopi diversi a seconda del tipo di relazioni di sistema e trust:
- In un sistema che non ha un dominio primario, il campo AccountDomain contiene il nome e il SID del dominio account locale del sistema, che corrisponde al nome del computer. Il campo PrimaryDomain contiene il nome del gruppo di lavoro di questo computer. Gli oggetti TrustedDomain vengono ignorati con un'eccezione: non può essere presente un oggetto TrustedDomain con lo stesso nome del gruppo di lavoro perché verrà visualizzato come se fosse il dominio primario del computer.
- In un sistema con un dominio primario, il campo AccountDomain identifica il nome e il SID del dominio account locale, come prima. Tuttavia, il campo PrimaryDomain contiene il nome e il SID del dominio primario per il sistema. Inoltre, deve essere presente un oggetto TrustedDomain con il nome e il SID identificato nel campo PrimaryDomain . Questo oggetto TrustedDomain contiene le informazioni sull'account e sul server necessarie per stabilire un canale sicuro a un controller di dominio nel dominio primario. Tutti gli altri oggetti TrustedDomain vengono ignorati.
- Nei controller di dominio il campo AccountDomain identifica il dominio dell'account locale per il sistema; tuttavia, il nome dell'account viene assegnato dall'utente anziché essere un nome noto. Poiché il dominio primario è uguale al dominio dell'account, il campo PrimaryDomain deve contenere lo stesso valore del campo AccountDomain . Inoltre, tutti gli oggetti TrustedDomain devono essere validi e rappresentano relazioni di trust con altri domini. Se il sistema non considera attendibile altri domini, non devono essere presenti oggetti TrustedDomain .