目錄服務

解決目標使用權衝突所用的優先規則
當您在「延伸存取於:目標」對話方塊中選取目標時,對話方塊預設會顯示出在延伸 ACL 中有目標使用權設定的所有主體,並且含有透過「這個容器和所有子容器」範圍所設定、及從更高目標承繼使用權的主體。(選取「顯示已修改」即可僅檢視使用權直接設定於目標的主體。)

選定的目標處顯示的不只一個主體,可套用至一特定使用者。例如,使用者可能是兩個群組的成員,兩者的使用權都設定為目標 O=Acme。已套用下列優先規則,以判定若有多個主體適用於目標的使用者時,使用者對於目標具備的使用權。

附註 即使優先規則套用之後,使用者的使用權也永遠無法高過資料庫 ACL 提供該使用者的使用權。

1. 以「這個容器僅」範圍為主體設定的使用權,主體類型不計,一律優先於以「這個容器和所有子容器」範圍為主體設定的使用權。例如,針對主體 */Acme 及範圍「這個容器僅」設定的使用權,優先於針對主體 Kathy Brown/Acme 及範圍「這個容器和所有子容器」設定的使用權。

2. 相同範圍的主體之間,較特定主體類型的使用權,優先於較不特定之主體類型的使用權。主體特定性的順序,由最特定到最不特定,依序為:


3. 在評估不只有一個群組主體、或不只一個使用萬用字元的主體時,主體的使用權設定會合併,其中「拒絕」使用權優先於「容許」使用權。例如,若群組 Admins/Acme 拒絕「寫入」使用權,並容許所有其他使用權,而群組 Managers/Acme 拒絕「建立」使用權,並容許所有其他使用權時,身為這兩個群組成員的使用者,其「寫入」及「建立」使用權會被拒,但擁有所有其他使用權。

秘訣 延伸使用權設定及資料庫使用權接受評估之後,若要判定使用者對延伸 ACL 目標的有效使用權,在「目標上的延伸使用權」對話方塊中,選取目標,再按一下「有效使用權」。

優先規則的範例
主旨 1主旨 2使用權合併後 (永遠無法超出資料庫 ACL 中授與的使用權)套用的規則
主體:*/Acme

範圍:「這個容器和所有子容器」

容許:讀取,瀏覽

拒絕:建立、刪除、寫入

主體:*/Acme

範圍:這個容器僅

容許:建立、刪除、寫入

拒絕:讀取,瀏覽

容許:建立、刪除、寫入

拒絕:讀取,瀏覽

規則 1
主體:Admins/Acme 群組

範圍:這個容器和所有子容器

容許:全部

主體:*/Acme

範圍:「這個容器和所有子容器」

拒絕:全部

容許:全部規則 2
主體:Admins/Acme 群組

範圍:「這個容器和所有子容器」

容許:讀取,瀏覽

拒絕:建立、刪除、寫入

主體:Managers/Acme 群組

範圍:「這個容器和所有子容器」

容許:建立、刪除、寫入

拒絕:讀取,瀏覽

拒絕:全部規則 3
另請參閱