ターゲットでのアクセス権の競合の解決に使用する優先ルール
[拡張アクセス:target ] ダイアログボックスでターゲットを選択すると、そのターゲットに設定されたアクセス設定を持ち、拡張 ACL にあるサブジェクトがすべてこのダイアログボックスにデフォルトで表示されます。これには、範囲 [このコンテナとすべての子コンテナ] によって、アクセス権が上位ターゲットで設定されたサブジェクト、およびアクセス権を上位ターゲットから継承したサブジェクトが含まれます([変更を表示] を選択すると、アクセス権がそのターゲットで直接設定されたサブジェクトのみが表示されます)。
このタスクについて
選択したターゲットで表示される複数のサブジェクトを 1 人のユーザーに適用できます。たとえば、1 人のユーザーが 2 つのグループのメンバーであり、その両方のグループがターゲット O=Renovations に対するアクセス権を持っていることがあります。あるターゲットで 1 人のユーザーに複数のサブジェクトが適用されている場合に、ターゲットに対するユーザーのアクセス権を決めるには次の優先ルールが適用されます。
- 範囲 [このコンテナのみ] を指定してサブジェクトに設定されたアクセス権は、サブジェクトのタイプに関係なく、範囲 [このコンテナとすべての子コンテナ] を指定してサブジェクトに設定されたアクセス権より優先されます。たとえば、サブジェクト */Renovations と範囲 [このコンテナのみ] に設定されたアクセス権は、サブジェクト Kathy Brown/Renovations と範囲 [このコンテナとすべての子コンテナ] に設定されたアクセス権より優先されます。
- 同じ範囲を指定したサブジェクトでは、より限定的なタイプのサブジェクトのアクセス権が優先されます。サブジェクトを限定的なものから順に挙げると、次のようになります。
- 個別のユーザーまたはサーバー
- セルフ
- グループ
- */Renovations のようなワイルドカード
- -デフォルト-
たとえば、範囲 [このコンテナとすべての子コンテナ] を指定した Kathy Brown/Renovations のアクセス権設定は、範囲 [このコンテナとすべての子コンテナ] を指定したグループ Admins/Renovations のアクセス権設定よりも優先されます。
- 複数のグループサブジェクトまたは複数のワイルドカードサブジェクトを評価する場合、サブジェクトのアクセス権設定は結合され、[許可] アクセス権より [禁止] アクセス権のほうが優先されます。たとえば、グループ Admins/Renovations では [書き込み] アクセス権を許可せず、その他すべてのアクセス権を許可にします。また、グループ Managers/Renovations では [作成] アクセス権を許可せず、その他すべてのアクセス権を許可にします。この場合、両方のグループに属しているユーザーに対しては、[書き込み] アクセス権と [作成] アクセス権が許可されず、その他すべてのアクセス権が許可されます。
| サブジェクト 1 | サブジェクト 2 | 結合されたアクセス権 (データベース ACL で許可されたアクセス権を超えることはできません) | 適用されるルール |
|---|---|---|---|
件名: */Renovations 有効範囲: このコンテナとすべての子コンテナ 許可: 読み込み、参照 禁止: 作成、削除、書き込み |
所有者: */Renovations 有効範囲: このコンテナのみ 許可: 作成、削除、書き込み 禁止: 読み込み、参照 |
許可: 作成、削除、書き込み 禁止: 読み込み、参照 |
ルール 1 |
所有者: Admins/Renovations グループ 有効範囲: このコンテナとすべての子コンテナ。 許可: すべて |
所有者: */Renovations 有効範囲: このコンテナとすべての子コンテナ 禁止: すべて |
許可: すべて | 規則 2: |
所有者: Admins/Renovations グループ 有効範囲: このコンテナとすべての子コンテナ 許可: 読み込み、参照 禁止: 作成、削除、書き込み |
所有者: Managers/Renovations group 有効範囲: このコンテナとすべての子コンテナ 許可: 作成、削除、書き込み 禁止: 読み込み、参照 |
禁止: すべて | 規則 3: |