システム管理プロセスのアクセス制御リストを設定する
システム管理プロセスを使用してタスクを実行する管理者はそれぞれ、Domino® ディレクトリ (NAMES.NSF)、2 次ディレクトリ (該当する場合)、システム管理要求データベース (ADMIN4.NSF)、認証ログデータベース (CERTLOG.NSF) に適切なアクセス権とロールを持っていなければなりません。
Domino システム管理者に適切なアクセス権を与える最も簡単な方法は、管理に必要な一番低いレベルのアクセス権を与えることです。
- Domino® ディレクトリでは、種類が [ユーザーグループ] でアクセス権が [編集者] の管理者のグループを作成し、このグループに管理者を追加します。
- システム管理要求データベースでは、IBM Domino 管理者に [作成者] アクセス権を与えます。管理要求を承認する管理者には [編集者] アクセス権を与えます。
- 認証ログデータベースでは、IBM Domino 管理者に [文書の作成] 権限がある [作成者] アクセス権を与えます。
次の表に、各タスクに必要なアクセスを示します。システム管理タスクを実行中にエラーが発生した場合に IBM Domino 管理者がこのタスクを再実行するには、システム管理要求データベースのアクセス制御リストで [編集者] アクセス権を持っていなければなりません。
| タスク | Domino® ディレクトリで必要な管理者アクセス権 | ADMIN4.NSF で必要な管理者アクセス権 | ほかのデータベースで必要な管理者アクセス権 |
|---|---|---|---|
| 会議室予約データベースへのリソースの追加と削除 |
なし。ただし、システム管理プロセスが、変更を反映して Domino® ディレクトリを更新します。 |
[文書の作成] 権限がある [作成者] アクセス権 |
会議室予約データベースの [CreateResource] ロール |
| グループの追加 |
[文書の作成] 権限がある [作成者] アクセス権と [ServerModifier] ロール |
[文書の作成] 権限がある [作成者] アクセス権と [GroupModifier] ロール |
|
| グループへのユーザーの追加 |
[作成者] アクセス権と [GroupModifier] ロール管理者に [作成者] 以上のアクセス権があれば、そのアクセスには十分です。 |
||
| クラスタへのサーバーの追加と削除 |
次のどちらかのアクセス権
|
[文書の作成] 権限がある [作成者] アクセス権 |
「なし」 |
| ユーザー名を別の階層に移動する要求の承認 |
次のどちらかのアクセス権
|
[編集者] アクセス権 (Editor access) |
認証ログデータベースに対する [文書の作成] 権限がある [作成者] アクセス権 |
| 会議室予約データベースからリソースを削除する操作の承認 |
[文書の削除] アクセス権 |
[編集者] アクセス権 (Editor access) |
「なし」 |
| ユーザー登録中のメールファイルの自動作成 |
[作成者] アクセス権と [UserCreator] ロール |
[文書の作成] 権限がある [作成者] アクセス権 |
登録サーバーでの新規データベース作成アクセス権 |
| データベースのレプリカの作成 |
なし |
[文書の作成] 権限がある [作成者] アクセス権 |
次のすべてのアクセス権
|
| グループの削除 |
次のどちらかのアクセス権
|
[文書の作成] 権限がある [作成者] アクセス権 |
「なし」 |
| サーバーの削除 |
次のどちらかのアクセス権
|
[文書の作成] 権限がある [作成者] アクセス権 |
「なし」 |
| ユーザーの削除* |
次のどちらかのアクセス権
|
[文書の作成] 権限がある [作成者] アクセス権 |
「なし」 |
| ユーザーとメールファイルの削除 ユーザーとプライベート設計要素の削除 注: ユーザーを削除するときに Active Directory のユーザーアカウントも削除するには、ユーザーアカウントを削除する権限を持った Active Directory 管理者が、Active Directory が実行されているコンピュータからユーザー削除要求を作成しなければなりません。 |
次のどちらかのアクセス権
|
編集者 |
「なし」 |
| 認証中のパスワードチェックの有効化 |
[編集者] アクセス権 (Editor access) |
[文書の作成] 権限がある [作成者] アクセス権 |
「なし」 |
| 名前の検索 |
[編集者] アクセス権と [UserModifier] ロール |
「なし」 |
「なし」 |
| クラスタサーバーからのレプリカの移動 |
「なし」 |
[文書の作成] 権限がある [作成者] アクセス権 |
次の両方のアクセス権
|
| 非クラスタサーバーからのレプリカの移動 |
「なし」 |
編集者 |
次の両方のアクセス権
|
| ほかのサーバーへのユーザーの移動 |
次のどちらかのアクセス権
|
編集者 |
新規メールサーバーでのレプリカ作成アクセス権 このほかに、元のメールサーバーには新規メールサーバーへのレプリカ作成アクセス権が必要です。また、自分のメールファイルを移動するユーザーは Notes® R5 以上を実行している必要があります。 |
| ユーザー ID とサーバー ID の再認証 |
次のどちらかのアクセス権
|
[文書の作成] 権限がある [作成者] アクセス権 |
認証ログデータベースに対する [文書の作成] 権限がある [作成者] アクセス権 |
| ユーザーの登録 |
[文書の作成] 権限がある [作成者] アクセス権と [User/Creater] ロール |
バックグラウンド処理用にシステム管理プロセスを使用しているときは、[文書の作成] 権限がある [作成者] アクセス権 |
メールファイルまたはローミングファイルを作成するときは、それぞれメールサーバーまたはローミングサーバー (場合によっては両方) で [データベースの作成] アクセス権 レプリカを作成するときは、レプリカサーバーで [レプリカの作成] アクセス権 登録サーバーに CERTLOG.NSF があるときは、CERTLOG.NSF での [文書の作成] アクセス権 |
| データベースのすべてのレプリカの削除 |
「なし」 |
なし\n |
「なし」 |
| ユーザー名の変更と、ユーザー名とサーバー名の階層名への変換 |
次のどちらかのアクセス権
|
[文書の作成] 権限がある [作成者] アクセス権 |
認証ログデータベースに対する [文書の作成] 権限がある [作成者] アクセス権 |
| データベースへの署名 |
「なし」 |
なし\n |
「なし」 |
| サーバー文書へのマスターアドレス帳名の指定 |
次のどちらかのアクセス権
|
[文書の作成] 権限がある [作成者] アクセス権 |
「なし」 |
| インターネット証明書の追加 |
編集者 |
[文書の作成] 権限がある [作成者] アクセス権 |
「なし」 |
| ユーザー文書のクライアント情報の更新 |
「なし」 |
なし\n |
「なし」 |