異なるターゲット範囲を指定してターゲットカテゴリにサブジェクトを 2 回追加する
頻繁に行うことはありませんが、1 つのサブジェクトを 1 つのターゲットカテゴリに異なるアクセス権設定で 2 回追加できます。サブジェクトをターゲットカテゴリに追加し、範囲 [このコンテナのみ] に対してアクセス権を指定します。同じサブジェクトを同じターゲットカテゴリに再度追加し、範囲 [このコンテナとすべての子コンテナ] のアクセス権を指定します。この方法で、サブジェクトのエントリを 1 つ使用して、ターゲットの複数の下位カテゴリに対し、サブジェクトのアクセス権を設定できます。下位カテゴリそれぞれで個別にサブジェクトのアクセス権を設定する必要はありません。
このタスクについて
例えば、グループ Admins/Renovations のメンバーには、O=Renovations の直下に分類される文書に対するアクセス権をすべて許可するとします。また、そのグループのメンバーが、OU=East および OU=West に分類される文書を参照し、読み取れるようにします。ただし、これらの文書に対する拡張アクセス権設定の作成、削除、書き込み、設定は禁止するとします。他のすべての文書に対してはそのグループのアクセス権を許可しません。このようにするには、次のように設定します。
- [編集者] アクセス権とすべての権限とシステム管理ロール付きで、Admins/Renovations をデータベース ACL に追加します。
- / (ルート) でサブジェクトとして Admins/Renovations を追加し、アクセス権をまったく許可せず、[このコンテナとすべての子コンテナ] を選択します。
- Admins/Renovations を O=Renovations に追加し、すべてのアクセス権を許可し、範囲 [このコンテナのみ] を選択します。
- Admins/Renovations を O=Renovations に再度追加して [参照] と [読み込み] のアクセス権のみを許可し、その他すべてのアクセス権を許可しないようにします。そして、範囲 [このコンテナとすべての子コンテナ] を選択します。
Admins/Renovations グループに対するサブジェクトのエントリを組織レベル (O=Renovations) で作成し、範囲を [このコンテナのみ] に指定する場合は、Renovations 組織のみに直接含まれている文書に対する Admins グループのアクセスレベルを決定します。このアクションでは、下位の組織コンテナ内の文書に対するアクセス権は定義されません。一方、同じ Admins/Renovations グループに対する 2 番目のサブジェクトを同じ O=Renovations 組織レベルで作成しても、範囲を [このコンテナとすべての子コンテナ] に指定する場合は、Renovations 組織だけでなく、下位の East および West 組織単位 (OU=East または OU=West) に含まれる文書に対しても、Admins グループのアクセスレベルが決定されます。