정책 개체

Policy 개체는 LSA(로컬 보안 기관) 데이터베이스에 대한 액세스를 제어하는 데 사용되며 전체 시스템에 적용되거나 시스템의 기본값을 설정하는 정보를 포함합니다. 각 시스템에는 하나의 Policy 개체만 있습니다. 이 Policy 개체는 시스템이 시작될 때 LSA에 의해 생성되며 애플리케이션에서 만들거나 삭제할 수 없습니다.

Policy 개체에 저장된 정보에는 다음이 포함됩니다.

• 시스템 기본 메모리 할당량입니다. 달리 지정하지 않으면 시스템에 로그온하는 각 사용자에게 이 메모리 할당량이 할당됩니다. 계정 개체를 통해 그룹 또는 로컬 그룹의 개인 또는 구성원에게 특수 메모리 할당량을 할당할 수 있습니다.
• 시스템 차원의 보안 감사 요구 사항
• 이 시스템의 계정 도메인 이름 및 SID입니다.
• 이 시스템의 기본 도메인에 대한 정보입니다. 이 정보에는 주 도메인의 이름 및 SID, 인증 요청에 사용할 기본 도메인 내 계정 이름, 이름 및 SID 번역, 도메인 내 도메인 컨트롤러의 이름 가져오기가 포함됩니다. 이러한 이름은 오래된 것일 수 있으며 힌트로만 사용해야 합니다. 이 목록의 순서는 중요한 것으로 간주되며 유지 관리됩니다. 예를 들어 목록의 이름이 마지막으로 알려진 주 도메인 컨트롤러를 나타낼 수 있습니다.
• LSA에 정책 정보 또는 복제본(replica) master 복사본이 있는지 여부에 대한 정보입니다. 정책 정보의 일부만 복제됩니다. 나머지는 시스템별로 설정됩니다.

Policy 개체의 AccountDomain 및 PrimaryDomain 필드는 시스템 및 트러스트 관계의 유형에 따라 다른 용도로 사용됩니다.

• 기본 도메인이 없는 시스템에서 AccountDomain 필드에는 컴퓨터 이름과 동일한 시스템 로컬 계정 도메인의 이름 및 SID가 포함됩니다. PrimaryDomain 필드에는 이 컴퓨터가 구성원인 작업 그룹의 이름이 포함됩니다. TrustedDomain 개체는 한 가지 예외로 무시됩니다. 컴퓨터의 기본 도메인인 것처럼 표시되므로 작업 그룹과 이름이 같은 TrustedDomain 개체는 있을 수 없습니다.
• 기본 도메인이 있는 시스템에서 AccountDomain 필드는 이전과 같이 로컬 계정 도메인의 이름과 SID를 식별합니다. 그러나 PrimaryDomain 필드에는 시스템에 대한 기본 도메인의 이름 및 SID가 포함됩니다. 또한 PrimaryDomain 필드에 이름과 SID가 식별된 TrustedDomain 개체가 있어야 합니다. 이 TrustedDomain 개체에는 주 도메인의 도메인 컨트롤러에 대한 보안 채널을 설정하는 데 필요한 계정 및 서버 정보가 포함됩니다. 다른 TrustedDomain 개체는 무시됩니다.
• 도메인 컨트롤러에서 AccountDomain 필드는 시스템의 로컬 계정 도메인을 식별합니다. 그러나 계정 이름은 잘 알려진 이름이 아니라 사용자에게 할당됩니다. 주 도메인은 계정 도메인과 동일하므로 PrimaryDomain 필드는 AccountDomain 필드와 동일한 값을 포함해야 합니다. 또한 모든 TrustedDomain 개체는 유효하고 다른 도메인과의 트러스트 관계를 나타내야 합니다. 시스템에서 다른 도메인을 신뢰하지 않는 경우 TrustedDomain 개체가 없어야 합니다.