Lotus Domino Administrator 6.5.1 帮助 - 用于解决目标中权限冲突的优先规则

目录服务

用于解决目标中权限冲突的优先规则
在“扩展存取权限：target”对话框中选择目标时，缺省情况下该对话框会显示扩展 ACL 中具有对于该目标的权限设置的所有主题，其中包括通过“此容器和所有子容器”范围在更高层的目标中设置权限或从更高层的目标继承权限的主题。（也可以选择“显示修改内容”以仅显示直接在目标中设置的权限）。

可以对应一个特定用户选定目标中显示的多个主题。例如，某个用户可以是两个群组的成员，每个群组都对目标 O=Acme 有权限设置。当目标中有多个应用于用户的主题时，将使用下列优先规则确定该用户对目标拥有的权限。

注意即使应用了优先规则，用户的权限也不可能超出数据库 ACL 允许该用户的权限。

1. 无论主题类型如何，范围为“此容器仅”的主题权限设置比范围为“此容器和所有子容器”的主题优先。例如，范围为“此容器仅”的 */Acme 主题的权限设置的优先级高于范围为“此容和所有子容器”的 Kathy Brown/Acme 主题的权限设置。

2. 在范围相同的主题中，类型更明确的主题的权限比类型较为含糊的主题要优先。主题的明确性按从高到低的顺序为：

单个用户或服务器
自己
Group
通配符 -- 如 */Acme
-Default-

范围为“此容器和所有子容器”的 Kathy Brown/Acme 的权限设置优先级高于范围为“此容器和所有子容器”的 Admins/Acme 群组的权限设置。

3. 评估多个群组主题或多个通配符主题时，各个主题的权限设置将合并，且“拒绝”权限优先于“允许”权限。例如，如果 Admins/Acme 群组拒绝“写入”权限而允许其他所有权限，Managers/Acme 群组拒绝“创建”权限而允许其他所有权限，则同为这两个群组成员的用户将被拒绝“写入”和“创建”权限，而允许其他所有权限。

提示评估扩展权限设置和数据库访问权限后，要确定用户对扩展 ACL 的有效权限，请在“扩展存取权限：target”对话框中选中目标，然后单击“有效权限”。

优先规则样例

主题 1 主题 2 组合权限（不可能超出数据库 ACL 中授予的权限） 应用的规则

主题：*/Acme
范围：“此容器和所有子容器”
允许：读取、浏览
拒绝：创建、删除、写入
主题：*/Acme
范围：“此容器仅”
允许：创建、删除、写入
拒绝：读取、浏览
允许：创建、删除、写入
拒绝：读取、浏览
规则 1

主题：Admins/Acme 群组
范围：“此容器和所有子容器”
允许：所有
主题：*/Acme
范围：“此容器和所有子容器”
拒绝：所有
允许：所有规则 2

主题：Admins/Acme 群组
范围：“此容器和所有子容器”
允许：读取、浏览
拒绝：创建、删除、写入
主题：Managers/Acme 群组
范围：“此容器和所有子容器”
允许：创建、删除、写入
拒绝：读取、浏览
拒绝：所有规则 3

另请参阅

扩展 ACL 访问设置

扩展 ACL 的元素

设置和管理扩展 ACL

术语表

帮助反馈

如何使用帮助

打开整个帮助窗口

术语表

帮助反馈

如何使用帮助

打开整个帮助窗口

主题 1	主题 2	组合权限（不可能超出数据库 ACL 中授予的权限）	应用的规则
主题：*/Acme 范围：“此容器和所有子容器” 允许：读取、浏览拒绝：创建、删除、写入	主题：*/Acme 范围：“此容器仅” 允许：创建、删除、写入拒绝：读取、浏览	允许：创建、删除、写入拒绝：读取、浏览	规则 1
主题：Admins/Acme 群组范围：“此容器和所有子容器” 允许：所有	主题：*/Acme 范围：“此容器和所有子容器” 拒绝：所有	允许：所有	规则 2
主题：Admins/Acme 群组范围：“此容器和所有子容器” 允许：读取、浏览拒绝：创建、删除、写入	主题：Managers/Acme 群组范围：“此容器和所有子容器” 允许：创建、删除、写入拒绝：读取、浏览	拒绝：所有	规则 3