扩展 ACL 目标
可以选择目标以指定要控制主题访问权限的文档类别或特定文档。建议选择文档类别作为目标,因为可以一次设置对多个文档的权限,并且此权限适用于将来添加到类别中的文档。
使用“目标中的扩展访问权”对话框中的目标框来选择目标。可以在一个目标中为多个主题设置权限。
缺省情况下,在目标框中只能看到文档类别,而不是个别文档。取消选择仅显示容器可查看类别内包含的文档。
目标框如何对文档分类
目标框按文档名称对文档进行分类。目标框中的顶级类别是 /(根)。缺省情况下,/(根)中设置的访问权会应用于目录中的所有文档,因为 /(根)内包含的文档在缺省情况下将继承 /(根)中定义的访问级别。对于 /(根)中具有由 FullName、ListName 或 ServerName 字段定义的分层名称的文档,目标框按其在目录名称层次结构中的位置对其划分子分类。例如,目标框按如下所示对包含名称 CN=Alan Jones/O=Renovations、CN=Derek Malone/OU=East/O=Renovations 和 CN=Karen Lessing/OU=West/O=Renovations 的“个人”文档进行分类:
- O=Renovations
- Alan Jones/Renovations
- OU=East
- Derek Malone/East/Renovations
- OU=West
- Karen Lessing/West/Renovations
要将文档分类为在名称层次结构中 /(根)的下级,该文档的名称必须包含多个部分。例如,其名称由验证者定义的“个人”文档分类为 /(根)的下级。另外,该文档的名称必须存储在名为 FullName、ListName 或 ServerName 的字段中。ListName 字段存储 Domino® “组”文档的名称,ServerName 字段存储 Domino® “服务器”文档的名称,而 FullName 字段存储其他类型文档的名称,例如 Domino®“个人”、“验证者”和“策略”文档。
具有平级名称(只有一个部分的名称)的文档或带有 FullName、ListName 或 Servername 之外的字段中所指定名称的文档将分类在 /(根)下。“目标” 框不会显示 /(根)下通过 FullName、ListName 或 ServerName 之外的字段命名的文档。您可以通过 /(根)目标设置对这些文档类型的访问权,但不能设置对个别文档的访问权。例如,“假日”和“连接”文档的名称不是通过 FullName、ListName 或 ServerName 字段进行控制的,因此无法在 /(根)下看到或选择这些文档。但是,在 /(根)中设置访问权时,该访问权将应用于这些文档。
使用类别而不是单个文档作为目标的好处
您可以选择特定文档作为目标,在该目标中设置主题的访问权限,但是我们建议您选择目标类别来设置权限。选择目标类别时,缺省情况下将自动设置对直接位于所选类别内的所有文档以及属于所选类别的子类别的文档的访问权。以这种方式开发访问权方案可最大限度减少主题在扩展 ACL 中列出的次数。例如,在目标 O=Renovations 中设置某个主题的访问权时,缺省情况下该访问权将自动应用于属于 O=Renovations 的所有文档以及属于 O=Renovations 所含组织单元(如 OU=West 和 OU=East)的文档。
Domino® 当扩展 ACL 中同时出现某个主题的次数较少时, 可以更快地验证该主题的目录访问权。另外,使用类别作为目标时,更易于管理扩展 ACL,因为要跟踪的主题更少。
要充分利用将类别用作目标的优势,您可能需要为 FullName、ListName 或 ServerName 字段中有平级名称的文档指定分层名称,以使目标框可以在目录名称层次结构的相应级别内对它们划分子分类。例如,由于“组”文档通常具有平级名称,因此缺省情况下,目标框会自动将这些文档分类为属于 /(根)。通过修改“组”文档的名称来反映分层关系,可以使用类别目标来定义对这些文档的访问权。
以下文档通常在 FullName、ListName 或 ServerName 字段中定义了分层名称,因此将分类为目录名称层次结构中相应位置内 /(根)的下级。
- “个人”文档
- 服务器文档
- 验证者文档
- 策略文档