限制管理員存取權
您可以為組織中不同類型的管理員指定各種存取權控制單資訊。例如,您可能想要授與少數人「系統管理員」存取權,而將群組中所有管理員指定為資料庫管理員。
執行這項作業的原因和時機
以階層方式授與管理員存取權限。專用權階層看起來像這樣:
- 完整存取管理員:取得所列出之全部管理存取權的所有權利及使用權限。
- 管理員:取得資料庫管理員及具有完整權限的控制台管理員(但不是系統管理員)的所有權利及使用權限。
- 具完整權限的控制台管理員:取得僅檢視控制台管理員(但不是系統管理員)的所有權利及使用權限
- 系統管理員:取得受限制系統管理員的權利及專用權
您不需要在每個欄位中個別列出使用者。將使用者新增至最高層次的管理員存取權,會自動將針對階層中子層層次所列出的所有專用權授與該使用者。
限制管理員存取權
程序
- 從「Domino® 管理員」中,按一下「配置」標籤,然後開啟「伺服器」文件。
- 按一下安全標籤。
-
在「管理員」區段中,完成下列一個以上欄位後儲存文件。可為所有這些欄位指定個別階層式名稱、群組及萬用字元(例如 */Sales/Renovations)。使用逗點隔開多個項目。
註: 除「管理員」欄位外,所有這些欄位預設均為空白,表示沒有人具有這些存取權。
表 1. 管理員存取說明 欄位
動作
具完整存取權限的管理員
輸入具有伺服器完整管理存取權的管理員名稱。這是最高的管理存取權限。
管理員
輸入可以管理伺服器的管理員名稱。這個欄位的預設值是最初設定伺服器的管理員名稱。此處列出的管理員具有下列權利:
- 「網路管理員」資料庫(WEBADMIN.NSF) 的管理員存取權。
- 建立、更新及刪除資料夾及資料庫鏈結
- 建立、更新及刪除目錄鏈結 ACL
- 壓縮及刪除資料庫
- 建立、更新及刪除全文檢索
- 建立資料庫、抄本及「主要範本」
- 取得及設定某些資料庫選項(例如,服務中或暫停服務、資料庫配額等等)
- 使用訊息追蹤及追蹤主體
- 使用控制台來遠端管理 UNIX™ 伺服器
- 發出任何遠端控制台指令
註: 如果使用 (Java™)「伺服器控制器」,而且在此欄位中輸入群組名稱,則該群組必須擁有「多用途」群組類型,才能容許管理員名稱出現在「管理員」欄位中。註: 若為 Domino® 6.0 及後續版本,如果 NOTES.INI 變數Server_Restricted是用來限制伺服器存取,則管理員仍然可以開啟伺服器上的資料庫。資料庫管理員
輸入負責管理伺服器之資料庫的管理員名稱。請注意,不會自動授與資料庫管理員對伺服器上資料庫的「管理員」存取權,這些管理員也不會擁有「網路管理員」資料庫的存取權。此處列出的使用者僅具有下列權利:
- 建立、更新及刪除「資料夾」及「資料庫」鏈結
- 建立、更新及刪除目錄鏈結 ACL
- 壓縮及刪除資料庫
- 建立、更新及刪除全文檢索
- 建立資料庫、抄本及「主要範本」
- 取得及設定某些資料庫選項(例如,服務中或暫停服務、資料庫配額等等)
具有完整權限的遠端主控台管理員
輸入可以使用遠端主控台來發出指令給這個伺服器的管理員名稱。
只能檢視的管理員
輸入可以使用遠端控制台的管理員名稱,此管理員只能發出提供系統狀態資訊的指令,如 SHOW TASKS 及 SHOW SERVER。
僅檢視管理員無法發出影響伺服器作業的指令。
系統管理員
輸入可以發出所有作業系統指令給伺服器的管理員名稱。
指令的類型及範圍視伺服器作業系統而定。例如,Linux™伺服器的管理員只能發出 Linux™ 指令。
註: 此功能需要您在伺服器機器上執行 Domino® 伺服器控制器。受限系統管理員
輸入只容許發出「受限系統指令」欄位所列出之作業系統指令的管理員名稱。
註: 此功能需要您在伺服器機器上執行 Domino® 伺服器控制器。受限系統指令
輸入「受限系統管理員」可以發出的作業系統指令子集。指令的類型及範圍視伺服器作業系統及受限制系統管理員需要執行的作業而定。
例如,您可能需要受限系統管理員來管理 UNIX™ 列印佇列。在此欄位中輸入管理列印佇列的 UNIX™ 指令。您在「受限系統管理員」欄位中輸入的任何名稱將僅具有這些指令的存取權。
從瀏覽器管理伺服器(Domino® 6 時已作廢)
基於向後相容性,這項設定僅適用於 Domino 6 之前的伺服器。「Domino®網路管理員」用戶端將只能使用於 Domino® 6 以及更新版本伺服器。如果現有網域的 Domino® 名錄已從 Domino® 5 升級至更新版本,則尚未升級的伺服器仍需於其「伺服器」文件中保留這份設定,才能使用舊版的「網路管理員」。
結果
具完整存取權限的管理員
執行這項作業的原因和時機
完整存取管理員對伺服器具有最大的管理存取權層次。完整存取管理員功能,可取代在伺服器本端執行 Notes® 用戶端的需求。建立完整存取管理員,可以解決當資料庫ACL 僅有的管理員離開組織時可能產生的存取控制問題。
完整存取管理員具有下列權利:
- 在每一個存取層次中授與管理員的所有權限(請參閱表 1)。
- 伺服器上所有資料庫的「管理員」存取權,並啟用所有存取權限,而不論資料庫ACL 設定值為何。 註: 仍必須為完整存取管理員手動啟用的 ACL 角色。
- 「網路管理員」資料庫 (WEBADMIN.NSF) 的「管理者」存取權,並啟用所有角色及專用權。
- 所有資料庫中全部文件的存取權,而不考慮「讀者姓名」欄位。
- 建立在具有完整管理權利的未限制模式中執行之代理程式的能力。
- 對伺服器上任何未加密資料的存取權。註: 完整存取管理員不允許存取加密資料。需要使用指定使用者的私密金鑰來解密以公開金鑰加密的文件。同樣地,解密以私密金鑰加密的文件需要私密金鑰。
啟用完整存取管理員模式
執行這項作業的原因和時機
為在完整存取管理員模式中工作,管理員必須:
- 使用「管理員用戶端」。
- 列在「伺服器」文件「安全性」標籤之「管理員」區段中的「具完整存取權限的管理員」欄位中。此欄位預設為空白。
- 選取「」,在「管理員」用戶端中啟用「完整存取權管理」模式。如果不啟用此模式,那麼即使在「伺服器」文件中被列為完整存取管理員,使用者也不會具有伺服器的完整管理員存取權。而是會授與這些使用者「管理員」權利。
啟用完整存取管理員模式後,在用戶端的視窗標題、標籤標題及狀態列會顯示已啟用此模式。這可以提醒使用者他們正以最高層次的專用權存取伺服器,因而應該謹慎操作。
如果管理員在「管理」用戶端中啟用完整管理模式,則也會對 Domino® Designer 及 Notes® 用戶端啟用此模式。完整管理員存取權亦會在其視窗標題、標籤標題及狀態列中有所反映。
如果使用者試圖切換至完整存取管理員模式,但在「伺服器」文件中沒有被列為此類管理員,則會拒絕該使用者的完整存取權,並且在狀態列及伺服器主控台會顯示一則訊息。用戶端將處於完整存取權模式,但該使用者不會具有該特定伺服器的完整管理員存取權。如果該使用者試圖切換伺服器,則會依據新伺服器的「伺服器」文件檢查該人的存取權。
停用完整存取管理員功能
您可以在 NOTES.INI 檔中設定 SECURE_DISABLE_FULLADMIN = 1,來停用「完整存取管理員」欄位。此設定值會停用具完整存取權的管理員專用權,並覆寫「伺服器」文件中該欄位內所列出的全部名稱。只有對伺服器具有實體存取權的使用者及可編輯伺服器的 NOTES.INI 檔的使用者,才可設定此 NOTES.INI 參數。此參數不能使用伺服器主控台、遠端控制台來設定,或在「伺服器」文件中設定。
管理具完整存取權的管理員功能選項
執行這項作業的原因和時機
授與具完整存取權管理員的方式有數種:
- 建立特殊 Full Admin ID 檔(例如「Full Admin/Sales/Renovations」),並且僅將該名稱放入「完整管理」欄位。然後必須以這個使用者 ID 登入或切換至此 ID,以便取得這個層次的存取權。亦可選擇性地設定此 ID 檔要求多重密碼。
- 建立 OU 層次發證者以授與完整管理員存取權,並向信任的管理員發出其他 ID,例如 Jane Admin/Full Admin/Acme。
- 保留「完整存取管理員」欄位空白。針對緊急狀況新增信任的個人名稱,並在狀況解決後移除它。
- 在「完整存取管理員」欄位中填入一組有限的信任管理員。
您亦可追蹤此功能的使用方式:
- 配置「事件處理程式」,以在呼叫完整存取管理專用權時透過 EVENTS4.NSF 傳送通知。
- 任何使用完整存取管理員存取權來完成的資料庫動作均會記錄在資料庫動作日誌中「資料庫內容」下。
- 伺服器會記錄該功能的使用情況。