管理 ECL
在網域中設定第一部伺服器時,HCL Domino® 會建立預設的管理 ECL,之後可以自訂以建立其他具名管理 ECL。
管理 ECL 功能可作為工作站 ECL 的範本運作。每當安裝新的 HCL Notes® 用戶端時,安裝程式會將預設的管理 ECL 或具名的管理 ECL(如果管理員已建立其他管理 ECL),從「Domino® 名錄」複製到 Notes® 用戶端工作站上的「聯絡人」。使用者的 Notes® ID 會新增至工作站 ECL,且允許所有存取權。例如,設定 John Doe 的 Notes® 用戶端時,會自動將 John Doe 新增至用戶端 ECL 簽章者清單。
如果在安裝 Notes® 用戶端時無法使用起始伺服器(例如,中斷使用者的連線時),則會使用預設的設定(而不是從管理 ECL)建立工作站 ECL。
註: 從技術上講,起始安裝伺服器時,不存在預設的「管理 ECL」。用戶端嘗試編輯工作站 ECL,或者使用不存在的管理 ECL 重新整理它時,用戶端會使用以程式寫入用戶端的預設設定值建立 ECL。一旦管理員修改及儲存「管理 ECL」,它就會在存在於磁碟中。一旦將修改的管理 ECL 儲存到磁碟上,它就是複製到使用者工作站上的預設 ECL。
您可以使用管理 ECL 來為使用者定義及部署自訂的 ECL。例如,您可以為組織中的包商建立一個管理 ECL 來定義工作站 ECL 設定,並以另一個管理 ECL 來為全職員工定義工作站 ECL 設定。可以控制 ECL 變更或允許使用者來修改他們自己的 ECL。此外,亦可以更新使用者的工作站 ECL 作為安全性需求變更,方法是透過使用原則中部署的安全性設定值文件(自動),或者藉由請求使用者重新整理其工作站 ECL(手動)。
若要為指定的使用者群組建立可以部署的自訂 ECL,您必須使用透過伺服器原則部署的安全性設定值文件。
建立有效管理 ECL 的準則
作為管理員,其目標是限制作用中內容之信任簽章者的數目,以及作用中內容具有對使用者工作站存取權。若要完成此目標,請限制您組織中可信任簽章者的數目,並確保工作站 ECL 僅信任那些簽章者。
使用這些準則來建立安全的 ECL:
- 請勿授與對未簽署內容的存取權。這會產生安全漏洞,可讓潛在有害的程式碼、惡意或非惡意地存取使用者工作站。請為未簽署的內容,保留預設存取選項。
- 請勿讓您的使用者信任未簽署的內容。若要防止使用者變更其 ECL(例如,授與存取未簽署的內容,或者由在 ECL 中未列出的簽章者所簽署的內容),請在「管理 ECL」中取消選取「容許使用者修改」。
- 瞭解您的簽章者。信任簽署的作用中內容 (特別是信任來自其他組織的內容) 會有風險。在將作用中內容的作者新增至 ECL 之前,請先決定您是否相信該作者已經建立了安全程式碼。
- 為組織單位建立個別發證者,以特別為必須簽署範本及應用程式的使用者發出 ID,例如 Enterprise ECLApp Signer/West/Renovations。則建立範本及應用程式的使用者會使用那些 ID 來簽署範本及應用程式。然後您可以設定管理 ECL,以信任該特定組織單位中的任何使用者,或者以每位使用者為基礎進行調整。