为管理进程设置 ACL

使用管理进程来执行任务的每个管理员都必须在 Domino® 目录 (NAMES.NSF)、辅助目录(如果适用)、“管理请求”数据库 (ADMIN4.NSF) 和“验证日志”数据库 (CERTLOG.NSF) 中具有适当的访问权限和角色。

为管理员提供所需权限的最快方法是为其授予最小的访问级别:

  • 对于 Domino® 目录,创建具有“编辑者”访问权、类型为“个人组”的管理员组,并在组中列出管理员。
  • 对于“管理请求”数据库,为管理员授予“作者”访问级别。如果管理员将批准请求,则为其授予“编辑者”访问级别。
  • 对于“验证日志”数据库,为管理者授予具有“创建文档”权限的“作者”访问级别。

下表描述了特定任务所需的访问权。在任何管理任务执行期间发生错误时,管理员都必须在“管理请求”数据库的 ACL 中具有“编辑者”访问级别,才能再次执该行任务。

注: 如果启用了扩展 ACL,并且指定了可以为组织修改文档的人员,则当未在扩展 ACL 中指定的人员初始化管理请求时,请求将失败。
1. 管理员运行“管理进程”任务的访问权
任务 管理员需要在 Domino® 目录中具有以下访问权 管理员需要在 ADMIN4.NSF 中具有以下访问级别 管理员需要在其他数据库中具有以下访问级别

在“资源预定”数据库中添加或删除资源

无。但是,管理进程将更新 Domino® 目录以反映所作的更改

具有“创建文档”权限的“作者”访问级别

“资源预定”数据库中的 CreateResource 角色

添加组

具有“创建文档”权限和 ServerModifier 角色的“作者”访问级别

具有“创建文档”权限和 GroupModifier 角色的“作者”访问级别

将用户添加到组

具有 GroupModifier 角色的“作者”访问级别。如果管理员具有高于“作者”的访问级别,该级别已足够

在集群中添加和删除服务器

执行下列某一按键操作:

  • “作者”访问级别和 ServerModifier 角色
  • “编辑者”访问权

具有“创建文档”权限的“作者”访问级别

批准将用户名移动至另一层次的请求

执行下列某一按键操作:

  • 具有“创建文档”权限和 UserModifier/Server Modifier 角色的“作者”访问级别
  • “编辑者”访问权

“编辑者”访问权

对证书日志具有“作者”和“创建文档”访问权

批准从“资源预定”数据库中删除资源

“删除文档”权限

“编辑者”访问权

在用户注册期间自动创建邮件文件

“作者”访问级别和 UserCreator 角色

具有“创建文档”权限的“作者”访问级别

在注册服务器上具有“新建的数据库”访问级别

创建数据库副本

无需求

具有“创建文档”权限的“作者”访问级别

下列所有访问级别:

  • 对目标服务器具有“创建副本”权限
  • 对源服务器上的数据库具有“读者”访问级别
  • 此外,源服务器必须具有对目标服务器的“创建副本”权限,而目标服务器必须对数据库的一个副本具有“读者”访问级别

删除组

执行下列某一按键操作:

  • 具有“删除文档”权限和 GroupModifier 角色的“作者”访问级别
  • “编辑者”访问权

具有“创建文档”权限的“作者”访问级别

删除服务器

执行下列某一按键操作:

  • 具有“删除文档”权限和 ServerModifier 角色的“作者”访问级别
  • “编辑者”访问权

具有“创建文档”权限的“作者”访问级别

删除用户*

执行下列某一按键操作:

  • 具有“删除文档”权限和 UserModifier 角色的“作者”访问级别
  • “编辑者”访问权

具有“创建文档”权限的“作者”访问级别

删除用户及其邮件文件

删除用户及其个人设计元素

注: 要从 Active Directory 中删除用户,则在删除用户时,必须在运行 Active Directory 的计算机上创建“删除个人”请求,创建者必须是具有删除用户帐户权限的 Active Directory 管理员。

执行下列某一按键操作:

  • 具有“删除文档”权限和 UserModifier 角色的“作者”访问级别
  • 具有“删除文档”权限的“编辑者”访问级别

编辑者

在认证过程中启用密码检查

“编辑者”访问权

具有“创建文档”权限的“作者”访问级别

查找姓名

具有 UserModifier 角色的“编辑者”访问级别

从集群服务器上移动副本

具有“创建文档”权限的“作者”访问级别

以下两种访问级别:

  • 创建数据库副本相同的访问权
  • 对原始数据库具有“管理者”访问级别

从非集群服务器上移动副本

编辑者

以下两种访问级别:

  • 创建数据库副本相同的访问权
  • 对原始数据库具有“管理者”访问级别

将用户移至另一个服务器

执行下列某一按键操作:

  • “作者”访问级别和 UserModifier 角色
  • “编辑者”访问权

编辑者

在新邮件服务器上具有“创建副本”权限

此外,旧邮件服务器必须具有对新邮件服务器的“创建副本”权限,且正在移动其邮件文件的个人必须运行 Notes® R5 或更高版本的客户机。

重新验证用户标识和服务器标识

执行下列某一按键操作:

  • 具有“创建文档”权限和 UserModifier/Server Modifier 角色的“作者”访问级别
  • “编辑者”访问权

具有“创建文档”权限的“作者”访问级别

对证书日志具有“作者”和“创建文档”访问权

注册用户

具有“创建文档”权限和 User/Creater 角色的“作者”访问级别

具有“创建文档”权限的“作者”访问级别(如果使用管理进程进行后台处理)

如果正在创建邮件文件/漫游文件,需要相应具有对邮件服务器和/或漫游服务器的“创建文档”权限。

如果正在创建副本,需要在副本服务器具有“创建副本”权限

如果 CERTLOG.NSF 驻留在注册服务器上,需要具有对 CERTLOG.NSF 的“创建文档”权限。

删除数据库的所有副本

重命名用户,以及将用户和服务器转换为层次命名

执行下列某一按键操作:

  • 具有“创建文档”权限和 UserModifier/Server Modifier 角色的“作者”访问级别
  • “编辑者”访问权

具有“创建文档”权限的“作者”访问级别

对证书日志具有“作者”和“创建文档”访问权

为数据库签名

在“服务器”文档中指定“主通讯录”名称

执行下列某一按键操作:

  • 具有 ServerModifier 角色的“作者”访问级别
  • “编辑者”访问权

具有“创建文档”权限的“作者”访问级别

添加因特网证书

编辑者

具有“创建文档”权限的“作者”访问级别

更新个人记录中的客户机信息