Policy オブジェクト
Policy オブジェクトは、ローカル セキュリティ機関 (LSA) データベースへのアクセスを制御するために使用され、システム全体に適用される情報、またはシステムの既定値を設定する情報が含まれます。 各システムには、 ポリシー オブジェクトが 1 つだけ含まれます。 この Policy オブジェクトは、システムの起動時に LSA によって作成され、アプリケーションで作成または破棄することはできません。
Policy オブジェクトに格納される情報には、次のものが含まれます。
- システムの既定のメモリ クォータ。 特に指定がない限り、システムにログオンする各ユーザーには、このメモリ クォータが割り当てられます。 Account オブジェクトを使用して、グループまたはローカル グループの個人またはメンバーに特別なメモリ クォータを割り当てることができます。
- システム全体のセキュリティ監査要件。
- このシステムのアカウント ドメインの名前と SID。
- このシステムのプライマリ ドメインに関する情報。 この情報には、プライマリ ドメインの名前と SID、認証要求に使用されるプライマリ ドメイン内のアカウントの名前、名前と SID の変換、ドメイン内のドメイン コントローラーの名前の取得が含まれます。 これらの名前は古くなっている可能性があり、ヒントとしてのみ使用する必要があります。 このリストの順序は重要であると見なされ、維持されます。 これにより、たとえば、リスト内の名が最後に知られているプライマリ ドメイン コントローラーを表すことができます。
- LSA がポリシー情報またはレプリカのマスター コピーを保持するかどうかに関する情報。 ポリシー情報の一部のみがレプリケートされます。剰余はシステムごとに確立されます。
Policy オブジェクトの AccountDomain フィールドと PrimaryDomain フィールドは、システムと信頼関係の種類に応じて、さまざまな目的で使用されます。
- プライマリ ドメインがないシステムでは、 AccountDomain フィールドには、コンピューター名と同じシステムのローカル アカウント ドメインの名前と SID が含まれます。 PrimaryDomain フィールドには、このマシンがメンバーであるワークグループの名前が含まれています。 TrustedDomain オブジェクトは 1 つの例外で無視されます。ワークグループと同じ名前の TrustedDomain オブジェクトは、マシンのプライマリ ドメインのように見えるのでできません。
- プライマリ ドメインを持つシステムでは、 AccountDomain フィールドは、以前と同様にローカル アカウント ドメインの名前と SID を識別します。 ただし、 PrimaryDomain フィールドには、システムのプライマリ ドメインの名前と SID が含まれています。 さらに、 PrimaryDomain フィールドで識別される名前と SID を持つ TrustedDomain オブジェクトが存在する必要があります。 この TrustedDomain オブジェクトには、プライマリ ドメイン内のドメイン コントローラーへのセキュリティで保護されたチャネルを確立するために必要なアカウントとサーバー情報が含まれています。 その他の TrustedDomain オブジェクトは無視されます。
- ドメイン コントローラーの AccountDomain フィールドは、システムのローカル アカウント ドメインを識別します。ただし、アカウント名は既知の名前ではなく、ユーザー割り当てです。 プライマリ ドメインはアカウント ドメインと同じであるため、 PrimaryDomain フィールドには AccountDomain フィールドと同じ値が含まれている必要があります。 さらに、すべての TrustedDomain オブジェクトが有効であり、他のドメインとの信頼関係を表す必要があります。 システムが他のドメインを信頼しない場合は、 TrustedDomain オブジェクトを存在させるべきではありません。