解決目標存取權衝突所用的優先規則

當您在延伸存取權於:target 對話框中選取目標時,對話框依預設會顯示出在延伸 ACL 中含有目標存取設定的所有主體。包括在「這個儲存器及所有子儲存器」範圍中所設定、以及繼承自更高目標存取權的主旨。(選取「顯示已修改」,即可僅查看存取直接設定於目標的主旨。)

執行這項作業的原因和時機

選定的目標處顯示的不只一個主體,可套用至一特定使用者。例如,使用者可能是兩個群組的成員,兩者的存取權都設定為目標 O=Renovations。已套用下列優先規則,以判定若有多個主體適用於目標的使用者時,使用者對於目標具備的存取。

  1. 不論主旨的類型為何,以「僅限這個儲存器」範圍為主旨所設定的存取,一律優先於以「這個儲存器及所有子儲存器」範圍為主旨所設定的存取。例如,為主旨 */Renovations 及範圍「僅限這個儲存器」所設定的存取,優先於為主旨 Kathy Brown/Renovations 及範圍「這個儲存器及所有子儲存器」所設定的存取。
  2. 相同範圍的主體之間,較特定主體類型的存取,優先於較不特定之主體類型的存取。主體特定性的順序,由最特定到最不特定,依序為:
    1. 個別的使用者或伺服器
    2. 自己
    3. 群組
    4. 萬用字元:例如,*/Renovations
    5. -預設-

    例如,為 Kathy Brown/Renovations 及範圍「這個儲存器及所有子儲存器」所設定的存取,優先於為群組 Admins/Renovations 及範圍「這個儲存器及所有子儲存器」所設定的存取。

  3. 在評估不只有一個群組主體、或不只一個使用萬用字元的主體時,主體的存取設定會合併,其中「拒絕」存取優先於「允許」存取。例如,如果群組 Admins/Renovations 拒絕「寫入」存取,並容許所有其他存取,而群組 Managers/Renovations 拒絕「建立」存取並容許所有其他存取,則同時屬於這兩個群組成員的使用者之「寫入」及「建立」存取就會遭拒,但可擁有所有其他的存取。
註: 即使優先規則套用之後,使用者的存取權也永遠無法高過資料庫ACL 提供該使用者的存取權。
提示: 在評估延伸存取權設定及資料庫存取權後,若要判定使用者對進階 ACL 目標的有效存取權,請在延伸存取權於:target 對話框中選取目標,然後按一下「有效存取權」。
1. 優先規則的範例
主體 1 主體 2 存取權合併後(永不超出資料庫ACL 中授與的存取權) 套用的規則

主體:*/Renovations

範圍: 此儲存器及所有子儲存器。

允許:讀取、瀏覽

拒絕:建立、刪除、寫入

主體:*/Renovations

範圍: 僅限此儲存器

允許:建立、刪除、寫入

拒絕:讀取、瀏覽

允許:建立、刪除、寫入

拒絕:讀取、瀏覽

 規則 1

主體:Admins/Renovations 群組

範圍: 這個儲存器及所有後代。

允許:全部

主體:*/Renovations

範圍: 此儲存器及所有子儲存器。

拒絕:全部

 允許:全部 規則 2

主體:Admins/Renovations 群組

範圍: 此儲存器及所有子儲存器。

允許:讀取、瀏覽

拒絕:建立、刪除、寫入

主體:Managers/Renovations 群組

範圍: 此儲存器及所有子儲存器。

允許:建立、刪除、寫入

拒絕:讀取、瀏覽

 拒絕:全部 規則 3