扩展 ACL - 示例 2
Renovations 公司使用一个 Domino® 域。该 Domino® 目录内的目录名称层次结构包括:组织 O=Renovations,其中包含两个下级组织单元 OU=West 和 OU=East。
关于此任务
Renovations Domino® 目录包括三个管理员组:
- Admins/Renovations 组,负责管理整个目录中的文档。
- Admins/West/Renovations 组,负责管理归属于 OU=West 且名称以 West/Renovations 结尾的文档。
- Admins/East/Renovations 组,负责管理归属于 OU=East 且名称以 East/Renovations 结尾的文档。
为建立安全性,Renovations 有以下目标:
- 允许 Admins/Renovations 组的成员:
- 对目录中的所有文档有完全权限
- 管理扩展 ACL 中任意目标的权限
- 允许 Admins/West/Renovations 组的成员:
- 读取目录中所有文档中的所有字段
- 仅创建、修改和删除 OU=West 下的文档
- 管理 OU=West 目标的扩展 ACL
- 允许 Admins/East/Renovations 组的成员:
- 读取目录中所有文档中的所有字段
- 仅创建、修改和删除 OU=East 下的文档
- 管理 OU= East 目标的扩展 ACL
- 仅允许不在任何管理组中的已认证用户浏览和读取整个数据库中的“个人”、“组”和“资源”文档(而非其他任何文档),并阻止这些用户创建、删除和修改任何文档
- 禁止匿名用户访问目录。
以下各表描述 Renovations 如何设置 Domino® 目录数据库 ACL 和扩展 ACL 以实现其安全性目标。
| 主题 | 访问 | 描述 |
|---|---|---|
| -Default- | 读者 | 允许非管理员浏览和读取“个人”、“组”和“资源”文档。 |
| Admins/Renovations 组 |
|
允许 Admins/Renovations 的成员管理所有文档和整个扩展 ACL,而不需要任何扩展 ACL 设置 |
| Admins/West/Renovations 组 |
|
需要此项才能允许 Admins/West/Renovations 的成员创建、修改、删除和管理 West/Renovations 文档的扩展 ACL |
| Admins/East/Renovations 组 |
|
需要此项才能允许 Admins/East/Renovations 的成员创建、修改、删除和管理 East/Renovations 文档的扩展 ACL |
| 匿名 | 不可访问 | 禁止匿名用户访问目录中的任何信息。不需要扩展 ACL 设置 |
| 主题 | 访问 | 此容器和所有子容器? | 描述 |
|---|---|---|---|
| -Default- | 缺省值:
|
是 | 仅允许非管理员读取“个人”、“组”和“资源”文档 |
| Admins/West/Renovations 组 | 缺省值:
|
是 | 阻止 Admins/West/Renovations 组的成员修改 /(根)和 O=Renovations 目标中的文档 |
| Admins/East/Renovations 组 | 缺省值:
|
是 | 阻止 Admins/East/Renovations 组的成员修改 /(根)和 O=Renovations 目标中的文档 |
| 主题 | 访问 | 此容器和所有子容器? | 描述 |
|---|---|---|---|
| Admins/West/Renovations 组 | 缺省值:
|
是 | 允许 Admins/West/Renovations 的成员具有对 OU=West 下的文档的完全访问权 |
| 主题 | 访问 | 此容器和所有子容器? | 描述 |
|---|---|---|---|
| Admins/East/Renovations 组 | 缺省值:
|
是 | 允许 Admins/East/Renovations 的成员具有对 OU=East 下的文档的完全访问权 |