Compartilhar via


Objeto Policy

O objeto Policy é usado para controlar o acesso ao banco de dados LSA ( Autoridade de Segurança Local ) e contém informações que se aplicam a todo o sistema ou estabelecem padrões para o sistema. Cada sistema tem apenas um objeto Policy . Esse objeto Policy é criado pela LSA quando o sistema é iniciado e os aplicativos não podem criá-lo ou destruí-lo.

As informações armazenadas em um objeto Policy incluem:

  • Cota de memória padrão do sistema. A menos que especificado de outra forma, cada usuário fazendo logon no sistema receberá essa cota de memória. Cotas de memória especiais podem ser atribuídas a indivíduos ou membros de grupos ou grupos locais por meio de um objeto Account .
  • Requisitos de auditoria de segurança em todo o sistema.
  • O nome e o SID do domínio da conta desse sistema.
  • Informações sobre o domínio primário desse sistema. Essas informações incluem o nome e o SID do domínio primário, o nome da conta dentro do domínio primário que deve ser usado para solicitações de autenticação, conversões de nome e SID e obtenção dos nomes dos controladores de domínio dentro do domínio. Esses nomes podem estar desatualizados e devem ser usados apenas como uma dica. A ordem dessa lista é considerada significativa e será mantida. Isso permite, por exemplo, que o primeiro nome na lista represente o último controlador de domínio primário conhecido.
  • Informações sobre se a LSA contém a cópia master das informações da política ou de um réplica. Somente parte das informações da política é replicada; o restante é estabelecido por sistema.

Os campos AccountDomain e PrimaryDomain do objeto Policy são usados para diferentes finalidades, dependendo do tipo de relações de confiança e sistema:

  • Em um sistema que não tem um domínio primário, o campo AccountDomain contém o nome e o SID do domínio da conta local do sistema, que é o mesmo que o nome do computador. O campo PrimaryDomain contém o nome do grupo de trabalho do qual este computador é membro. Os objetos TrustedDomain são ignorados com uma exceção: não pode haver um objeto TrustedDomain com o mesmo nome que o grupo de trabalho, pois ele aparecerá como se fosse o domínio primário do computador.
  • Em um sistema que tem um domínio primário, o campo AccountDomain identifica o nome e o SID do domínio da conta local, como antes. No entanto, o campo PrimaryDomain contém o nome e o SID do domínio primário para o sistema. Além disso, deve haver um objeto TrustedDomain com o nome e o SID identificados no campo PrimaryDomain . Esse objeto TrustedDomain contém as informações de conta e de servidor necessárias para estabelecer um canal seguro para um controlador de domínio no domínio primário. Todos os outros objetos TrustedDomain são ignorados.
  • Em controladores de domínio, o campo AccountDomain identifica o domínio da conta local para o sistema; no entanto, o nome da conta é atribuído pelo usuário em vez de ser um nome conhecido. Como o domínio primário é o mesmo que o domínio da conta, o campo PrimaryDomain deve conter o mesmo valor que o campo AccountDomain . Além disso, espera-se que todos os objetos TrustedDomain sejam válidos e representem relações de confiança com outros domínios. Se o sistema não confiar em nenhum outro domínio, não deverá haver nenhum objeto TrustedDomain .