管理员访问权限是分层授予的。权限层次如下所示：

• 具有完全权限的管理员 -- 具有列出的所有管理存取级别的所有权限和特权。
• 管理员 -- 具有数据库管理员和完全控制台管理员（但非系统管理员）的所有权限和特权。
• 完全控制台管理员 -- 具有仅查看控制台管理员（但非系统管理员）的权限和特权。
• 系统管理员 -- 具有受限制的系统管理员的权限和特权

限制管理员访问

1. 从 Domino Administrator 中，单击“配置”附签，然后打开“服务器”文档。

2. 单击“安全性”附签。

3. 在“管理员”区段中，完成下列一个或多个域，然后保存文档。

对于所有这些域，可以指定各个层次名称、群组和通配符（如 */Sales/Acme）。各项目之间用逗号分隔。

注意 除了管理员域以外，缺省情况下，其他所有域均为空白，这意味着没有人具有这些访问权限。

域	操作
具有完全权限的管理员	请输入具有完全服务器管理权限的管理员的名称。这是管理权限的最高级别。有关详细信息，请参阅下面的内容。
Administrators	输入可以管理服务器的管理员的名称。此域的缺省值是最初设置服务器的管理员的名称。此处列出的管理员具有下列权限： 对 Web Administrator 数据库 (WEBADMIN.NSF) 的“管理者”存取级别 创建、更新和删除文件夹和数据库链接 创建、更新和删除目录链接 ACL 压缩和删除数据库 创建、更新和删除全文索引 创建数据库、复本和主模板 获取和设置某些数据库选项（如运行/停止服务、数据库限额等等） 使用邮件跟踪与跟踪主题 使用控制台远程管理 UNIX 服务器 发布任何远程控制台命令
数据库管理员	输入将负责管理服务器上的数据库的管理员的名称。请注意数据库管理员既不会自动被授予对服务器上数据库的“管理者”存取级别，也不会拥有对 Web Administrator 数据库的任何访问权限。此处列出的用户仅具有下列权限： 创建、更新和删除文件夹和数据库链接 创建、更新和删除目录链接 ACL 压缩和删除数据库 创建、更新和删除全文索引 创建数据库、复本和主模板 获取并设置某些数据库选项（如运行/停止服务、数据库限额等等）
完全远程控制台管理员	输入可使用远程控制台向此服务器发布命令的管理员的名称。
仅查看管理员	输入只能使用远程控制台发布系统状态信息提供命令（如 SHOW TASKS 和 SHOW SERVER）的管理员的名称 仅查看管理员不能发布影响服务器运行的命令。
系统管理员	输入允许发布完全范围的操作系统命令至服务器的管理员的名称。 命令的类型和范围取决于服务器操作系统。例如，如果 Domino 服务器是一个 NT 服务器，那么这些管理员可以在系统命令级提示符下发布 NT 命令。类似地，UNIX 服务器的管理员可以发布 UNIX 命令。 注意 此功能要求您在服务器计算机上运行 Domino 服务器控制器。有关详细信息，请参阅“设置和使用 Domino 管理工具”一章中的服务器控制器和 Domino 控制台主题。
受限制的系统管理员	输入只能发布在“受限制的系统管理员”域（见下）中列出的操作系统命令的管理员的名称。 注意 此功能要求您在服务器计算机上运行 Domino 服务器控制器。有关详细信息，请参阅“设置和使用 Domino 管理工具”一章中的服务器控制器和 Domino 控制台主题。
受限制的系统命令	输入受限制的系统管理员可以发布的操作系统命令的子集。这些命令的类型和范围取决于服务器操作系统和受限制的系统管理员需要执行的任务。 例如，您可能希望由一名受限制的系统管理员来管理 UNIX 打印队列。请在此域中输入管理打印队列的 UNIX 命令。在“受限制的系统管理员”域中输入的所有名称将只能访问这些命令。
通过浏览器管理服务器（仅适用于 Notes 6 之前的服务器）	为了向后兼容，此设置仅应用于 Domino 6 之前的服务器。Domino 6 Web Administrator 客户机将只使用 Domino 6 服务器。如果现有网络域的 Domino 目录由 Domino 5 升级至 Domino 6，则那些尚未升级的服务器将只需要在它们的“服务器”文档中进行此项设置，就可以使用早期版本的 Web Administrator。

具有完全权限的管理员

具有完全权限的管理员具有对服务器的最高管理存取级别。有了完全权限的管理员功能，便无需在服务器本地运行 Notes 客户机。它解决了存取控制问题，例如，唯一的数据库 ACL 管理者离开组织后引起的那些问题。

具有完全权限的管理员具有下列权限：

• 为所有管理员存取级别列出的所有权限（见上）。
• 对于服务器上所有数据库的管理者权限，并启用所有的角色和访问权限（无论数据库 ACL 的设置）。
• 对于 Web Administrator 数据库 (WEBADMIN.NSF) 的管理者权限，并启用所有的角色和访问权限。
• 对于所有数据库中的所有文档的访问权限（而无论“读者姓名”域）。
• 使用完全管理权限创建在受限模式下运行的代理的能力。
• 对于服务器上任何未加密数据的访问。

  注意 具有完全权限的管理员不允许访问加密数据。需要使用指定用户的私有密钥来解密使用公用密钥加密的文档。类似地，需要一个加密密钥来解密使用加密密钥加密的文档。

为了在具有完全权限的管理员模式下工作，管理员必须：

• 使用管理员客户机。
• 在“服务器”文档的“安全性”附签的“管理员”区段中的“具有完全权限的管理员”域中列出。缺省情况下，此域为空。
• 通过选择“管理”“完全访问管理”在 Administrator 客户机中启用“完全访问管理”模式。如果此模式未启用，用户将无法获得对服务器的完全管理员权限，即使他们在“服务器”文档中作为“具有完全权限的管理员”列出。此时用户将只具有管理员权限。

如果管理员在管理客户机中启用了完全管理模式，则也会为 Domino Designer 和 Lotus Notes 客户机启用此模式。完全管理员权限也会在窗口标题、附签标题和状态栏中反映出来。

如果用户试图切换至“具有完全权限的管理员”模式，但并未在“服务器”文档中作为具有完全权限的管理员列出，则会拒绝用户进行完全访问，并会在状态栏和服务器控制台上显示一条消息。客户机将处于完全访问模式，但用户没有对该特定服务器的完全管理权限。如果用户试图切换服务器，则会对照新服务器的服务器文档检查该用户的访问权限。

禁用“具有完全权限的管理员”功能

可以通过在 NOTES.INI 文件中设置 SECURE_DISABLE_FULLADMIN = 1 来禁用“具有完全权限的管理员”域。此设置会禁用“具有完全权限的管理员”权限并覆盖在“服务器”文档的该域中列出的任何名称。此 NOTES.INI 参数只能由对服务器具有物理访问权限的用户（该用户可以编辑服务器的 NOTES.INI 文件）设置。此参数不能使用服务器控制台、远程控制台设置，也不能在“服务器”文档中设置。

管理“具有完全权限的管理员”功能的选项

有几种方法可授予具有完全权限的管理员权限：

• 创建特殊的“完全管理员标识符”文件（如“Full Admin/Sales/Acme”），且仅将该名称置于“完全管理员”域中。然后必须使用此用户标识符登录或切换至此用户标识符以获得此存取级别。或者，可以通过设置此标识符文件来要求多个口令。
• 创建 OU 级验证者以授予完全管理员权限，并向受信任的管理员（如 Jane Admin/Full Admin/Acme）发布相应的标识符。
• 保留“具有完全权限的管理员”域为空。添加紧急情形下受信任的个人的姓名，并在该情形解决后将其删除。
• 使用受信任管理员的有限集填充“具有完全权限的管理员”域。

• 在调用“具有完全权限的管理员”权限时，配置事件处理程序以通过 EVENTS4.NSF 发送通知。
• 使用“具有完全权限的管理员”权限完成的所有数据库活动都记录在“数据库属性”下的数据库活动日志中。
• 此项功能的使用由服务器进行记录。

授予其他管理员对 Web Administrator 的访问权限