延伸 ACL - 範例 2
Renovations 公司使用一個 Domino® 網域。Domino® 名錄內的目錄名稱階層由 O=Renovations 組織組成,其中包含 OU=West 及 OU=East 兩個子層組織單位。
執行這項作業的原因和時機
Renovations 的 Domino® 名錄包括三個管理員群組:
- Admins/Renovations 群組,負責管理整個目錄的文件。
- Admins/West/Renovations 群組,負責管理歸於 OU=West 之下,且名稱結尾是 West/Renovations 的文件。
- Admins/East/Renovations 群組,負責管理歸於 OU=East 之下,且名稱結尾是 East/Renovations 的文件。
為了建立安全性,Renovations 有下列目標:
- 容許 Admins/Renovations 群組成員執行下列動作:
- 具備目錄中所有文件的完整存取權
- 在延伸 ACL 中,管理任何目標的存取權
- 容許 Admins/West/Renovations 群組成員執行下列動作:
- 讀取目錄中所有文件的所有欄位
- 僅建立、修改及刪除歸於 OU=West 之下的文件
- 管理延伸 ACL 的 OU=West 目標
- 容許 Admins/East/Renovations 群組成員執行下列動作:
- 讀取目錄中所有文件的所有欄位
- 僅建立、修改及刪除歸於 OU=East 之下的文件
- 管理延伸 ACL 的 OU=East 目標
- 針對不在這些管理群組中的已驗證使用者,僅容許瀏覽及讀取資料庫的「人員」、「群組」及「資源」文件,其他文件則不允許,並且防止這些使用者建立、刪除及修改任何文件
- 防止匿名使用者使用目錄。
下表說明 Renovations 如何設定 Domino® 名錄資料庫ACL 以及進階 ACL,以達成其安全性目標。
主題 | 存取權 | 說明 |
---|---|---|
-預設- | 讀者 | 需要此權限以允許非管理員瀏覽及讀取「人員」、「群組」及「資源」文件 |
Admins/Renovations 群組 |
|
允許 Admins/Renovations 成員管理全部文件及整個延伸 ACL,不需要延伸 ACL 設定 |
Admins/West/Renovations 群組 |
|
需要此權限以容許 Admins/West/Renovations 成員建立、修改、刪除及管理 West/Renovations 文件的延伸 ACL |
Admins/East/Renovations 群組 |
|
需要此權限以容許 Admins/East/Renovations 成員建立、修改、刪除及管理 East/Renovations 文件的延伸 ACL |
匿名 | 無存取權 | 防止匿名使用者存取目錄中的任何資訊。無需延伸 ACL 設定 |
主旨 | 存取權 | 這個儲存器和所有子儲存器? | 說明 |
---|---|---|---|
-預設- | 預設值:
|
是 | 僅允許非管理員讀取「人員」、「群組」及「資源」文件 |
Admins/West/Renovations 群組 | 預設值:
|
是 | 防止 Admins/West/Renovations 群組成員修改在 /(根目錄)及 O=Renovations 目標的文件 |
Admins/East/Renovations 群組 | 預設值:
|
是 | 防止 Admins/East/Renovations 群組成員修改在 /(根目錄)及 O=Renovations 目標的文件 |
主旨 | 存取權 | 這個儲存器和所有子儲存器? | 說明 |
---|---|---|---|
Admins/West/Renovations 群組 | 預設值:
|
是 | 容許 Admins/West/Renovations 成員具備 OU=West 下文件的完整存取權 |
主旨 | 存取權 | 這個儲存器和所有子儲存器? | 說明 |
---|---|---|---|
Admins/East/Renovations 群組 | 預設值:
|
是 | 容許 Admins/East/Renovations 成員具備 OU=East 下文件的完整存取權 |