ACL のアクセスレベル
データベース ACL でユーザーに割り当てたアクセスレベルによって、ユーザーがそのデータベースで実行できるタスクが決まります。アクセスレベル権限により、ACL で各ユーザーに割り当てたアクセスレベルの拡張や制限を行います。ACL にリストされているユーザー、グループ、サーバーそれぞれについて、基本のアクセスレベルとユーザーの種類を選択します。アクセス権を微調整するには、一連のアクセス権限を選択します。アプリケーションの設計者がロールを作成している場合は、該当するユーザー、グループ、サーバーにそれらのロールを割り当てます。
データベース ACL でサーバーに割り当てるアクセス権は、サーバーがデータベース内のどの情報を複製できるようにするかを制御するものです。
特定のサーバー上にあるデータベースにアクセスする場合、HCL Notes® ユーザーは、データベースとサーバーの両方に対する適切なレベルのアクセス権を持っている必要があります (サーバーへのアクセス権は HCL Domino® ディレクトリ内のサーバー文書で指定されます)。
データベース ACL を表示するには、ユーザーは [読者] 以上のアクセス権を持っている必要があります。
注意: 特殊な ACL アクセス権
ユーザーがデータベース ACL で定義されていない重要なデータベースアクセス権を持つ場合もあります。このアクセス権は、他の Domino® 領域で設定されている権限を通じて、またはサーバー自体へのアクセス権を持つことによって付与されます。システム管理者は、サーバーデータベースを完全に保護するため、次のような他の種類のアクセス権についても理解しておく必要があります。
- サーバー文書でフルアクセスアドミニストレーターとして指定されている管理者は、全データベースに対して [管理者] のアクセス権を持ちます。この管理者は、データベース ACL にリストされているかどうかには関係なく、サーバー上ですべての権限が有効になっています。一方で、フルアクセスアドミニストレーターのロールは、手動で有効にする必要があります。注: ユーザーがデータベースへのフル管理者アクセスを持つ場合は、データベース ACL で [有効なアクセス権] ダイアログボックスの [フルアクセスアドミニストレーター] チェックボックスがオンになります。
- サーバー文書で管理者またはデータベース管理者として指定されている管理者は、データベース ACL 内で管理者としてリストされていない場合でも、サーバー上の任意のデータベースの編集 (システム管理サーバーの指定や全文索引の作成など) または削除を実行できます。
- IBM Domino 以外からサーバーにアクセスするか、制限なしエージェントを使用して実行ファイルを起動することによって、サーバー上の任意の実行ファイルを起動できる管理者
- サーバーマシン、またはサーバーのデータベースファイルに対してファイルレベルのアクセス権を持つマシン上で Notes® クライアントを直接実行する管理者
- ユーザーは、データベース ACL にリストされていない場合でも、「制限なしのフルアクセス」権限でエージェントを実行することにより、データベースにアクセスできます。この権限は、ACL と読者リストをバイパスします。
アクセス権レベル |
ユーザーが実行できるタスク |
担当者 |
---|---|---|
稼働環境のカスタマイズ |
データベース ACL を更新する。 データベースを暗号化する。 複製の設定を更新する。 データベースを削除する。 下位のアクセスレベルで許可されているすべてのタスクを実行します。 |
データベース担当者 2 人。これは、1 人が不在のときにもう 1 人がデータベースを管理できるようにするためです。 |
Design |
データベースの全設計要素を更新する。 全文索引を作成する。 下位のアクセスレベルで許可されているすべてのタスクを実行します。 |
データベース設計者と今後の設計変更の担当者か、そのどちらか |
編集者 |
文書を作成する。 他のユーザーが作成した文書も含め、すべての文書を編集する。 フォームに [読者] フィールドがない場合は、すべての文書を読む。[読者] フィールドに編集者がリストされていない場合、ACL に [編集者] のアクセス権があるユーザーは、文書を読んだり、編集できません。 |
データベースの文書の作成、編集を許可する任意のユーザー |
作成者 |
ユーザーまたはサーバーに [文書の作成] のアクセスレベル権限がある場合は、文書を作成する。ユーザーまたはサーバーに [作成者] のアクセス権を割り当てるときは、[文書の作成] のアクセスレベル権限も指定する必要があります。 文書に [作成者] フィールドがあり、そのユーザーが指定されている場合は、その文書だけを編集する。 フォームに [読者] フィールドがない場合は、すべての文書を読む。 |
データベースに文書を投稿する必要のあるユーザー |
読者 |
フォームに [読者] フィールドがあり、そのユーザーが指定されている場合は、その文書を読む。 |
データベースの文書を読む必要はあるが、作成したり編集したりする必要のないユーザー |
投稿者 |
文書を作成する。ただし、パブリック文書 [読者] とパブリック文書 [作成者] のオプションがオンになっている場合に限ります。それ以外の場合は、アクセス権はありません。これは、設計者が付与を選択できる権限です。 |
データベースに文書を投稿する必要はあるが、自分や他のユーザーの文書を読んだり編集したりする必要のないユーザー。例えば、投票箱アプリケーションに使用します。 |
アクセス権限なし |
アクセス権はありません。ただし、パブリック文書 [読者] とパブリック文書 [作成者] のオプションがオンになっている場合は例外です。これは、設計者が付与を選択できる権限です。 |
退職したユーザー、データベースにアクセスする必要のないユーザー、特別にアクセスを許されたユーザー。 注: 個人的にはデータベースにアクセスしないものの、データベースにアクセスするグループのメンバーになる可能性のあるユーザーに対しては、[なし] を個別に割り当てるほうがよい場合もあります。 |