ACL 中的访问级别
在数据库 ACL 中分配给用户的访问级别控制用户可以在数据库中执行哪些任务。访问级别权限可增强或限制分配给 ACL 中每个名称的访问级别。对于 ACL 中列出的每个用户、组或服务器,您可以选择基本访问级别和用户类型。要进一步细化访问权限,您可以选择一系列访问权限。如果应用程序设计者创建了角色,请将它们分配给适当的用户、组或服务器。
数据库 ACL 中分配给服务器的访问级别控制服务器可以复制数据库中的哪些信息。
要访问特定服务器上的数据库, HCL Notes®用户必须具有适当的数据库访问权限以及HCL Domino®目录中的服务器文档中指定的适当服务器访问权限。
要查看数据库 ACL,用户必须具有“读者”访问权限或更高级别的访问权限。
警告:特殊 ACL 访问
在某些情况下,用户可以对数据库 ACL 中未定义的数据库拥有重要访问权限。此访问权限是通过在Domino ®的其他区域中设置的权限或通过访问服务器本身来授予的。作为管理员,您需要了解这些其他类型的访问,以便能够全面保护服务器数据库。
- 在“服务器”文档中被指定为完全访问管理员的管理员对服务器上的所有数据库都具有管理访问权限并启用所有权限,无论他们是否在数据库 ACL 中列出。但是,对于具有完全访问权限的管理员,仍然必须手动启用角色。注意:如果用户具有数据库的完全管理员访问权限,则数据库 ACL 将通过启用“有效访问”对话框中的“完全访问管理员”复选框来指示这一点。
- 在“服务器”文档中被指定为管理员或数据库管理员的管理员可以修改(例如,指定管理服务器或创建全文索引)或删除服务器上的任何数据库,即使他们没有在数据库 ACL 中被列为管理者。
- 管理员可以通过非 Domino 访问服务器或通过使用启动可执行文件的不受限制的代理,在服务器上运行任意可执行文件。
- Administrators who run the Notes® client directly on the server machine or on a machine that has file level access to the server database files.
- 即使用户未在数据库 ACL 中列出,他们仍可以通过运行具有“不受限制且具有完全访问权限”权限的代理来访问数据库。此特权绕过了 ACL 和读者列表。
| 访问权限 |
允许用户 |
分配给 |
|---|---|---|
| 经理 |
修改数据库ACL。 加密数据库。 修改复制设置。 删除数据库。 执行较低访问级别允许的所有任务。 |
负责数据库的两个人。这样,如果一个人缺席,另一个人可以管理数据库。 |
| 设计师 |
修改所有数据库设计元素。 创建全文搜索索引。 执行较低访问级别允许的所有任务。 |
数据库设计者和/或负责未来设计更新的人员。 |
| 编辑 |
创建文档。 编辑所有文档,包括其他人创建的文档。 阅读所有文档,除非表格中有读者字段。如果“读者”字段中未列出编辑者,则具有编辑者 ACL 访问权限的用户无法阅读或编辑该文档。 |
允许在数据库中创建和编辑文档的任何用户。 |
| 作者 |
如果用户或服务器也具有创建文档访问级别权限,则创建文档。当您为用户或服务器分配“作者”访问权限时,还必须指定“创建文档”访问级别权限。 编辑文档,文档中包含“作者”字段,并且“作者”字段中指定用户。 阅读所有文档,除非表格中有读者字段。 |
需要向数据库贡献文档的用户。 |
| 读者 |
阅读表单中包含“读者”字段且该字段中指定用户名的文档。 |
只需要读取数据库中的文档但不需要创建或编辑文档的用户。 |
| 储户 |
创建文档,但无权访问其他内容,但“读取公共文档”和“写入公共文档”选项除外。这些是设计师可以选择授予的特权。 |
只需贡献文档,不需要阅读或编辑自己或其他用户的文档的用户。例如,将存款人访问权限用于投票箱应用程序。 |
| 无法访问 |
除了读取公共文档和写入公共文档的选项外,没有其他访问权限。这些是设计师可以选择授予的特权。 |
已终止的用户、不需要访问数据库的用户或以特殊方式拥有访问权限的用户。 注意:您可能希望专门为那些不应具有数据库访问权限但可能是具有数据库访问权限的组的成员的个人分配“无访问权限”。 |