以不同目标范围将主题向目标类别添加两次
尽管这种情况很少发生,但您还是可以将一个主题以不同的访问权设置向一个目标类别中添加两次:将主题添加到目标类别,并指定访问范围为仅此容器。再次将主题添加到同一目标类别,并指定访问范围为此容器和所有后代。使用此方法,可以使用一个主题条目设置主题对多个目标子类别的访问权,且不用在每个子类别中分别设置该主题的权限。
关于此任务
例如,假设您希望允许 Admins/Renovations 组的成员能完全访问直接在 O=Renovations 下分类的文档。同时还需要允许该组的成员浏览和读取在 OU=East 和 OU=West 下分类的文档,但又需要禁止他们创建、删除和编写这些文档,以及为这些文档设置扩展访问权。最后还需要拒绝该组对其他所有文档的访问权。要实现此目的,请执行以下操作:
- 将 Admins/Renovations 添加到数据库 ACL 中,使其具有“编辑者”访问权,且拥有所有特权和管理角色。
- 将 Admins/Renovations 添加为 /(根)位置的主题,拒绝所有访问并且选择此容器和所后代范围。
- 将 Admins/Renovations 添加到 O=Renovations,允许所有访问,并且选择仅此容器范围。
- 再次将 Admins/Renovations 添加到 O=Renovations,仅允许“浏览”和“读取”访问并禁止所有其他访问,然后选择此容器和所有后代范围。
为组织级别 (O=Renovations) 的 Admins/Renovations 组创建主题条目并指定范围仅此容器时,即确定了 Admins 组对 Renovations 组织内直接包含的文档具有的访问级别;您的操作并未定义对从属组织容器中文档的访问权。换言之,位于相同 O=Renovations 组织级别但范围为此容器和所有后代的同一 Admins/Renovations 组的辅助主题可确定 Admins 对 Renovations 组织以及对从属 East 和 West 组织单元(OU=East 或 OU=West)中的文档具有的访问级别。
注: 扩展 ACL 中包含的其他主题会影响访问级别。