Domino ディレクトリの ACL にある管理ロールを使用する

Domino® ディレクトリの ACL には、管理者に割り当てる [Creator] ロールと [Modifier] ロールが含まれています。これらのロールを割り当てられた管理者は、それぞれ特定の種類の文書を作成する権限や編集する権限を持ちます。一般的なアクセスレベルに加え、ロールを 1 つ以上割り当てることにより、管理者が、特定の種類の文書に対しては限定されたアクセス権を持ち、その他の種類の文書に対しては広いアクセス権を持つようにできます。

このタスクについて

ロールは、管理者のグループの業務が分業化されている場合に有用です。組織にいるすべての管理者のシステム管理業務が同一であれば、各管理者にすべてのロールを割り当てます。ロールによって ACL で定義されたアクセス権の範囲は、一般的なアクセスレベルの範囲を超えることはありません。たとえば、ACL で [読者] アクセス権のみを持つ管理者に [UserCreator] ロールを割り当てても、その管理者は [作成] メニューを使用してユーザー文書を作成することはできません。

[Creator] ロール

このタスクについて

Domino ディレクトリで文書を作成できるユーザーを制御するには、[Creator] ロールを割り当てます。Domino ディレクトリで文書を作成する管理者は、以下の権限とロールを持つ必要があります。

  • [文書の作成] 権限
  • 作成する文書の種類に対応する [Creator] ロール
表 1. [Creator] ロール

ロール

管理者が可能な操作

GroupCreator

グループ文書の作成

NetCreator

ユーザー、グループ、ポリシー、サーバーの各文書を除くすべての文書の作成

PolicyCreator

ポリシー文書の作成

ServerCreator

サーバー文書の作成

UserCreator

ユーザー文書の作成

注意: [Creator] ロールを割り当てても、セキュリティが確保されるわけではありません。これは、管理者がプログラムを使用して文書をディレクトリに追加する場合に、Domino で [Creator] ロールが無視されることがあるためです。

[Modifier] ロール

このタスクについて

管理者が編集できる文書の種類を制御するには、管理者がすべての文書を変更できるようにする。[編集者] アクセス権を割り当てるのではなく、1 つ以上の [Modifier] ロールとともに [作成者] アクセス権を割り当てます。たとえば、ユーザーの管理を業務とする管理者には [UserModifier] ロールを割り当てます。[Creator] ロールと異なり、[Modifier] ロールは本当の意味でセキュリティの機能です。

表 2. [Modifier] ロール

ロール

管理者が可能な操作

GroupModifier

グループ文書の編集

NetModifier

ユーザー、グループ、ポリシー、サーバーの各文書を除くすべての文書の編集

PolicyModifier

ポリシー文書の編集

ServerModifier

サーバー文書の編集

UserModifier

ユーザー文書の編集

[Modifier] ロールを使用する場合は、以下の点に注意してください。

  • [作成者] アクセス権と [Modifier] ロールを持つ管理者は、[使用するには編集者以上のアクセス権が必要] セキュリティプロパティを割り当てられたフィールドを編集できません。
  • 文書を削除するには、管理者に [作成者] アクセス権、[文書の削除] 特権、適切な [Modifier] ロールが必要です。
  • [Modifier] ロールは、[作成者] アクセス権を持つ管理者のみが対象になります。[編集者] 以上のアクセス権を持つ管理者には、ポリシー文書以外のすべての文書を変更できる権限が自動的に与えられます。ポリシー文書を編集するには、[編集者] アクセス権を持つ管理者であっても [PolicyModifier] ロールが必要です。