用于解决目标中权限冲突的优先规则
在“target 中的扩展访问权”对话框中选择目标时,缺省情况下,该对话框会显示扩展 ACL 中具有对该目标的访问权设置的所有主题。其中包括通过此容器和所有后代范围在更高层的目标中设置并继承了访问权的主题。(您可以选择显示修改内容以仅查看直接在目标中设置了访问权的主题。)
关于此任务
可以对应一个特定用户选定目标中显示的多个主题。例如,某个用户可能是两个组的成员,每个组都对目标 O=Renovations 设置了访问权。当目标中有多个应用于用户的主题时,将使用下列优先规则确定该用户对目标拥有的权限。
- 无论主题类型如何,针对范围为仅此容器的主题设置的访问权优先于针对范围为此容器和所有后代的主题设置的访问权。例如,针对主题 */Renovations 和范围仅此容器设置的访问权优先于针对主题 Kathy Brown/Renovations 和范围此容器和所有后代设置的访问权。
- 在范围相同的主题中,类型更明确的主题的权限比类型较为含糊的主题要优先。主题的明确性按从高到低的顺序为:
- 单个用户或服务器
- 自己
- 组
- 通配符 - 例如 */Renovations
- -Default-
例如,针对范围为此容器和所有后代的 Kathy Brown/Renovations 设置的访问权优先于针对范围为此容器和所有后代的组 Admins/Renovations 设置的访问权。
- 评估多个组主题或多个通配符主题时,各个主题的权限设置将合并,且“拒绝”权限优先于“允许”权限。例如,如果组 Admins/Renovations 拒绝“写入”访问权而允许其他所有访问权,组 Managers/Renovations 拒绝“创建”访问权而允许其他所有访问权,那么对于同时属于这两个组的用户,将拒绝“写入”和“创建”访问权而允许其他所有访问权。
注: 即使应用了优先规则,用户的权限也不可能超出数据库 ACL 允许该用户的权限。
提示: 在评估扩展访问权设置和数据库访问权后,要确定用户对扩展 ACL 目标的有效访问权,请在“target 中的扩展访问权”对话框中选择目标,然后单击“有效访问权”。
主题 1 | 主题 2 | 组合权限(不可能超出数据库 ACL 中授予的权限) | 应用的规则 |
---|---|---|---|
主题:*/Renovations 作用域: 此容器和所有后代 允许:读取、浏览 拒绝:创建、删除、写入 |
主题:*/Renovations 作用域: 仅此容器 允许:创建、删除、写入 拒绝:读取、浏览 |
允许:创建、删除、写入 拒绝:读取、浏览 |
规则 1 |
主题:Admins/Renovations 组 作用域: 此容器和所有后代 允许:全部 |
主题:*/Renovations 作用域: 此容器和所有后代 拒绝:全部 |
允许:全部 | 规则 2 |
主题:Admins/Renovations 组 作用域: 此容器和所有后代 允许:读取、浏览 拒绝:创建、删除、写入 |
主题:Managers/Renovations 组 作用域: 此容器和所有后代 允许:创建、删除、写入 拒绝:读取、浏览 |
拒绝:全部 | 规则 3 |