ポリシーの階層と有効ポリシーを理解する

ユーザーの有効ポリシーとは、ポリシーの実行時に動的に計算される抽出されたポリシー設定のセットです。有効ポリシーのフィールド値は、ユーザーに適用されるポリシー文書に関連するさまざまなポリシー設定文書から取得されます。ユーザーのポリシー設定は、自分の組織単位 (OU) レベルで設定された値、明示的ポリシーで設定された値 (ユーザーが所属するグループに割り当てられた値を含む)、親ポリシーから継承した値が組み合わさっていることがあります。これらの設定を解釈して、各ユーザーの有効ポリシーが決定されます。

単一のユーザーに複数のポリシーが割り当てられる場合 (複数のグループに所属していることで動的に複数のポリシーが割り当てられる場合、またはポリシー文書で直接複数のポリシーが割り当てられる場合)、グループレベルの有効ポリシーが最初に決定されます。そのため、単一のユーザーに複数の有効ポリシーが動的に割り当てられることがあります。各ユーザーごとに 1 つの動的な有効ポリシーを作成するには、複数の動的ポリシーをマージして 1 つの動的ポリシーを作成します。

複数の動的な有効ポリシーをマージする際には、ポリシー間の設定に矛盾が生じないかどうかを確認するために、動的な有効ポリシーの設定が個別に調べられます。設定に矛盾がない場合、その設定は最終的な動的有効ポリシーに追加されます。設定に矛盾がある場合、最も優先度の高い動的ポリシーの設定値が使用されます。動的ポリシー間に矛盾がある場合には、ポリシーの優先順位を使用して優先するポリシー設定を特定します。

動的ポリシーの優先順位は Domino® ディレクトリ (names.nsf) で手動で指定できます。また、動的ポリシーを作成する際に設定されるデフォルトの優先設定値を使用することもできます。動的ポリシーを新規に作成する場合は、デフォルトで、そのポリシーに既存の他のポリシーよりも高い優先順位値が割り当てられます。ポリシーの優先順位は、最小値から最大値まで降順の優先順位でランク付けされます。つまり、優先順位値 1 のポリシーは優先度が最も高く、数値 2 以上のポリシーの方が優先度が低くなります。このプロセスが終了すると、最終的な動的有効ポリシーが完成します。この有効な動的ポリシーを使用すると、有効ポリシーを特定することができます。

有効ポリシーは、次の手順で特定されます。

  1. 最初に、組織ポリシーが特定されて、適用されます。
  2. 次に、動的ポリシー割り当てに対応した明示的ポリシーが解決されて、適用されます。
  3. 最後に、動的ポリシー割り当てに対応していない明示的ポリシーが解決されて、適用されます。

前述のシーケンスでは、ユーザーのユーザー文書の明示的ポリシーが動的ポリシーよりも優先され、動的ポリシーが組織ポリシーよりも優先されます。

ユーザーに適用される設定を決定する場合、[強制] 設定がチェックされている場合を除き、Domino® はそのユーザーに割り当てられている最も明示的なポリシーの設定を使用します。[子ポリシーで強制] が有効になっている場合、設定は必ず特定のポリシーから取得され、より明示的なポリシーの設定によって上書きされることはありません。グループメンバーシップによって割り当てられるポリシーではなく、より明示的なポリシーがあれば、そのポリシーがユーザーのユーザー文書で割り当てられるポリシーになります。グループに割り当てられるポリシーは、ユーザーに割り当てられる階層的な明示的ポリシーよりも明示的です。

ポリシーの階層と有効ポリシーの決定

2 種類のツールが、各ユーザーを制御する有効ポリシーの決定に役立ちます。Policy Viewer にはポリシー階層と関連の設定文書が表示され、ポリシー一覧レポートには、各有効設定の抽出元のポリシーが表示されます。有効ポリシーの計算に関与した動的ポリシーが優先度順に表示され、各動的ポリシーの評価によって得られた各設定値が表形式で表示されます。

ポリシーの継承

継承は、組織ポリシーや明示的ポリシーの中で、ユーザーのポリシー設定を決定する上で重要な役割を果たします。階層化された親子関係のポリシーを作成することによって、組織全体に管理手続きを設定できます。

ポリシー文書がポリシー階層の関係を構築し、ポリシー設定文書が階層内の位置に応じてフィールドの値を決定します。フィールドの継承と強制を使用して、デフォルト設定を制御できます。

組織ポリシーでは、組織の階層に基づいてポリシーの階層が自動的に決定されます。ポリシー */Sales/Renovations は、*/Renovations の子ポリシーです。明示的ポリシーは組織の体系に従うものではなく、したがって明示的ポリシーを作成するときは命名の体系に基づいて階層を構築します。たとえば、6 ヵ月から 1 年契約の契約社員だけに適用する /Contractors という名前の明示的ポリシーを作成したとします。1 から 2 週間の短期間のみ雇用する一時雇用の社員がこの設定の一部を継承するようにするには、Short term/Contractors という明示的子ポリシーを作成します。

ユーザーは、強制によってもフィールドレベル設定を継承します。たとえば、パスワードクオリティ設定は、登録ポリシー設定文書のフィールドレベルの親ポリシーで強制されます。

親ポリシーで設定が強制されると、子ポリシーレベルの設定は適用されません。

たとえば、管理者は、ポリシーを使用して以下の目標を達成する必要があります。

  • ユーザー全員に同じインターネットアドレス形式を設定する。
  • Renovations/Sales 内のユーザーをローミングユーザーとして設定する。
  • Renovations/Sales の従業員用にカスタムメールテンプレートを設定する。
  • 正社員の認証の有効期限を 24 ヵ月に設定する。
  • 一時雇用の社員の認証の有効期限を 6 ヵ月に設定する。
  • ウィジェットとライブテキストフィーチャーへのアクセスを付与するユーザーとアクセスレベルを制御する。
  • Notes® のサードパーティフィーチャーとプラグインをインストールできるユーザーを制御する。
  • 以下でユーザー開始フィーチャーの更新を実行できるユーザーを制御する: Notes®

前述のリストに示す目標を達成するために、管理者は以下のポリシーを作成します。

  • Renovations の全従業員用の組織ポリシー (*/Renovations)。これには、[登録] ダイアログにデータを取り込むインターネットメール形式や他のデフォルト設定を指定する登録ポリシー設定文書が含まれます。これらのデフォルトポリシー設定には、認証の 24 ヵ月の有効期限が含まれます。
  • Sales/Renovations 用の組織ポリシー (*/Sales/Renovations)。ローミングオプションを設定し、カスタムメールテンプレートを指定します。
  • 認証の有効期限が 6 ヵ月の一時雇用の社員用の明示的ポリシー。一時雇用の社員の登録時には、登録先の組織単位に対応する組織ポリシーと併せて、この明示的ポリシーが適用されます。