新增兩次目標範圍不同的主體到目標種類
雖然一般不這麼做,但可將一個主體以不同的存取權設定,新增兩次到一個目標種類。將主旨新增至目標種類,然後指定範圍「僅限這個儲存器」的存取權。再次將主旨新增至相同的目標種類,然後指定範圍「這個儲存器及所有子儲存器」的存取權。利用這種方式,可使用一個主體項目,將主體的存取權設定到多個目標子種類,不必在每個子種類分別設定主體的存取權。
執行這項作業的原因和時機
例如,假設您想要允許群組 Admins/Renovations 的成員,對直接分類到 O=Renovations 下的文件具有完整存取權。您也想要許可群組成員瀏覽及讀取分類到 OU=East 及 OU=West 之下的文件,但不讓他們建立、刪除、寫入及設定這些文件的延伸存取設定。您想要拒絕群組對所有其他文件的存取權。為達成此目的,可執行下列事項:
- 將 Admins/Renovations 新增至具有「編輯者」存取權及所有使用權限與管理角色的資料庫ACL。
- 在 /(根目錄)上新增 Admins/Renovations 以作為主旨、拒絕所有的存取,然後選取範圍「這個儲存器及所有子儲存器」。
- 將 Admins/Renovations 新增至 O=Renovations、允許所有存取權,然後選取範圍「僅限這個儲存器」。
- 再次將 Admins/Renovations 新增至 O=Renovations、僅允許「瀏覽及讀取」存取權、拒絕所有其他存取權,然後選取範圍「這個儲存器及所有子儲存器」。
當您在組織層次 (O=Renovations) 建立 Admins/Renovations 群組的主旨項目,並指定「僅限此儲存器」範圍時,請決定 Admins 群組對只在 Renovations 組織內直接包含的文件所具有的存取層次;您的動作不會定義對子層組織儲存器中文件的存取權。另一方面,位於相同 O=Renovations 組織層次但具有「這個儲存器及所有子儲存器」範圍的相同 Admins/Renovations 群組的次要主旨,可決定 Admins 群組對不僅在 Renovations 組織,還有在子層 East 及 West 組織單位(OU=East 或 OU=West)中的文件所具有的存取層次。
註: 延伸 ACL 中若包括其他主體,則可能會影響存取層次。