了解策略层次结构和有效策略

供用户使用的有效策略是一个在策略执行时动态计算的派生策略设置集。有效策略中的字段值可能源于与为用户应用的策略文档相关的许多不同策略设置文档。用户可能拥有不同策略设置的组合,其中包含在 OU 级别设置的值、以显式策略设置的值(包括为用户所在组分配的值)和从父策略继承的设置。这些设置的解析决定了每个用户的有效策略。

如果为单个用户分配了多个策略,方式是因属于多个组而动态分配或直接在策略文档中分配,那么将首先确定组级别的每个有效策略。结果可能是多个有效动态策略分配给单个用户。为了为每个用户创建一个有效动态策略,这些动态策略将进行合并,以创建一个动态策略。

当动态有效策略合并后,将检查有效动态策略中的每个设置,以确定是否与其他策略的设置有所冲突。如果没有冲突,该设置将添加到最终的有效动态策略中。如果存在冲突,将采用具有最高优先级的动态策略的设置值。使用策略优先级来确定当动态策略之间发生冲突时,哪些策略设置将具有更高优先级别。

您可以在 Domino® 目录 (names.nsf) 中手动指定动态策略的优先级,也可以使用创建动态策略时设置的缺省优先级值。缺省情况下,新动态策略创建时,将为该策略分配高于其他现有策略的优先级值。策略优先级以数字方式按降序优先级从最小到最大排列。即优先级值为一 (1) 的策略具有最高优先级,而数字值为二 (2) 或更大值的策略具有较低的优先级。当过程完成后,将生成最终的有效动态策略。有效动态策略随后将用于帮助确定有效策略。

有效策略按如下所示确定:

  1. 组织策略最先确定并应用。
  2. 接下来解析并应用带有动态策略分配的显式策略。
  3. 最后解析并应用不带动态策略分配的显式策略。

通过以上顺序,您将确定用户“个人”文档中的显式策略是否会覆盖动态策略,而动态策略又反过来覆盖组织策略。

确定应用于用户的设置时,除非选中了强制设置,否则 Domino® 会使用分配给该用户的最显式策略中的设置。如果启用了在子设置中强制,那么设置必须衍生自特定的策略,且不会由更显式的策略所覆盖。更显式的策略将是在用户的“个人”文档中指定的策略,而不是通过组成员资格指定的策略。指定给组的策略比指定给用户的分层显式策略更为显式。

确定策略层次结构和有效策略

有两种工具可帮助确定控制每个用户的有效策略。“策略查看器”显示策略层次和相关设置文档,“策略摘要”报告显示每个派生的有效设置的源策略。有效策略计算中涉及的动态策略按优先级顺序显示,而由动态策略决策派生的每个设置的值以表格格式显示。

策略继承

继承在确定组织和显式策略中的用户的策略设置方面起着非常重要的作用。通过父子关系可创建一个策略层次,以便设置整个企业的管理措施。

在策略层次中,策略文档用来建立关系,策略设置文档用来根据字段在层次结构中的位置来确定字段值。使用字段继承和强制可控制缺省设置。

在组织策略中,将根据组织的层次结构自动确定策略层次。策略 */Sales/Renovations 是 */Renovations 的子策略。因为显式策略不遵循组织结构,因此,创建显式策略时,您要根据命名结构在层次结构中进行建立。例如,如果创建名为 /Contractors 的显式策略,该策略包含只应用于雇佣六个月到一年的合同雇员的几项设置。但是,您需要使雇佣时间为一或两周的短期临时雇员只继承其中的部分设置。此时,可创建一个称为“Short term/Contractors”的子显式策略。

用户继承字段级设置的另一种方法是强制。在父策略“注册”策略设置文档中的字段级中强制密码质量设置。

如果在父策略中强制设置,子策略级的设置将不可用。

例如,管理员希望使用策略来实现以下目标:

  • 为所有用户设置相同的因特网地址格式
  • 将 Renovations/Sales 中的用户设置为漫游用户
  • 为 Renovations/Sales 中的雇员设置定制邮件模板
  • 为永久雇员设置长达 24 个月的证书到期期限
  • 为临时雇员设置长达 6 个月的证书到期期限
  • 控制哪些用户对窗口小部件和实时文本功能部件具有什么访问级别
  • 控制哪些用户可以安装附加 Notes® 第三方功能部件和插件
  • 控制哪些用户可以在 中执行用户启动的功能部件更新 Notes®

要完成上面列表中的目标,管理员应创建以下策略:

  • 为所有 Renovations 雇员 (*/Renovations)创建组织策略,该策略包括指定因特网邮件格式和注册对话框中需要填入的其他缺省设置的注册策略设置文档。这些缺省设置包括长达 24 个月的证书到期期限。
  • 为 Sales/Renovations (*/Sales/Renovations) 创建组织策略,该策略设置漫游选项并指定定制邮件模板。
  • 为临时雇员创建显式策略,该策略指定为期六个月的证书到期期限。注册临时雇员时,将应用该显式策略以及与雇员注册的组织单元关联的组织策略。