瞭解原則階層及有效原則

對於使用者而言,有效原則是一組衍生的原則設定值,會在執行原則時動態計算。有效原則中的欄位值可源自與套用至使用者的原則文件相關聯的許多不同原則設定文件。使用者可以有原則設定的組合,包括設定在其 OU 層級上的值、以明確原則設定的值:包括指派至使用者為其成員之一的群組的值:及繼承自母項原則的設定。那些設定的解析決定每一個使用者的有效原則。

如果多個原則指派至單一使用者,不論是在原則文件上動態指派 (由於多個群組成員資格) 或直接指派,會先決定群組層級上的每一個有效原則。其結果可能是指派至單一使用者的多個有效動態原則。為了替每一個使用者建立一個有效動態原則,動態原則會合併建立一個動態原則。

當動態有效原則合併時,會檢查有效動態原則中的每一項設定,以判斷是否與另一個原則中的某項設定相衝突。如果沒有衝突,則此設定會新增至最後的有效動態原則。如果有衝突,則使用最高優先的動態原則設定值。原則優先是指在動態原則之間發生衝突時用來決定以哪些原則設定為優先。

您可以在「Domino® 名錄」(names.nsf) 中手動指定動態原則的優先順序,或使用在建立動態原則時設定的預設優先順序值。依預設建立新的動態原則時,指派給原則的優先順序值會高於其他現有原則的優先順序值。原則優先順序是依遞減優先順序以數字分級,從最小到最大。亦即,優先順序值為一 (1) 的原則具有最大優先順序,而數值為二 (2) 或更大的原則具有更小的優先順序。當此程序完成時,其結果就是最後的有效動態原則。有效動態原則是用來幫助決定有效原則。

有效原則的決定方式如下:

  1. 最先決定及套用的是組織原則。
  2. 下一個解析及套用的是具有動態原則指派的明確原則。
  3. 最後解析及套用的是不具有動態原則指派的明確原則。

使用先前的順序,使用者「人員」文件中的明確原則會覆寫動態原則,接著覆寫組織原則。

決定套用至使用者的設定時,Domino® 會使用指派給該使用者來自最明確原則的設定,除非已勾選「強制」設定。如果已啟用「在子項設定中強制執行」,則設定必須衍生自特定的原則,而且不會由來自更明確原則的設定所覆寫。更明確原則是在使用者「人員」文件中已指派的原則,而不是透過群組成員資格指派的原則。指派給群組的原則比指派給使用者的階層式明確原則更加明確。

判定原則階層及有效原則

有兩個工具可以協助您決定管理每個使用者的有效原則。「原則檢視器」顯示原則階層及相關設定文件;「原則概要」報告顯示衍生出每個有效設定值的原則。與有效原則的計算有關的動態原則會依優先順序顯示,並以列表格式顯示動態原則決策所衍生的每一項設定的值。

原則繼承

在決定組織原則及明確原則中使用者的原則設定值時,沿用起著重要的作用。透過上下代關係,您可以建立原則階層,以在整個企業中設定管理實務。

在原則階層中,原則文件建立關係,而原則設定文件根據其在階層中的位置來決定欄位的值。使用欄位沿用及強制執行,您可以控制預設設定值。

在組織原則中,會根據組織的階層來自動決定原則的階層。原則 */Sales/Renovations 是 */Renovations 的子項原則。因為明確原則不遵循組織結構,所以在建立明確原則時,您根據命名結構來建立階層。例如,您建立名為 /Contractors 的明確原則,其包含數個僅套用至被雇用六個月到一年之簽約員工的設定值。但您想要短期臨時雇員(僅雇用了一或兩週)來沿用那些設定值中的部分設定值。您建立稱為 Short term/Contractors 的子項明確原則。

使用者繼承欄位層次設定的另一個方法是透過強制執行。例如,在「登錄」原則設定文件中欄位層次上的母項原則中,強制執行密碼品質設定。

如果在母項原則中強制設定值,則在子項原則層次上的設定值不適用。

例如,管理員想要使用原則來達成下列目標:

  • 為所有使用者設定相同的網際網路位址格式
  • 將 Renovations/Sales 中的使用者設為漫遊使用者
  • 對 Renovations/Sales 的員工設定自訂郵件範本
  • 為正式員工設定 24 個月的憑證到期
  • 為臨時員工設定 6 個月的憑證到期
  • 控制誰對 Widgets 和 Live Text 功能具有何種存取層次
  • 控制誰可以安裝其他 Notes® 協力廠商功能及外掛程式
  • 控制誰可以在以下項目中,執行使用者起始的功能更新: Notes®

若要達成先前清單中的目標,管理員將建立下列原則:

  • 針對所有 Renovations 員工 (*/Renovations) 的組織原則,包括登錄原則設定文件,其指定將移入登錄對話框的網際網路郵件格式及其他預設值。這些預設原則設定值包括 24 個月的憑證有效期限。
  • 針對 Sales/Renovations (*/Sales/Renovations) 的組織原則,其設定漫遊選項並指定自訂郵件範本。
  • 針對臨時員工的明確原則,其指定 6 個月的憑證到期。臨時員工註冊之後,會套用此明確原則,以及與員工註冊所在之組織單位有關連的組織原則。