ディレクトリサービス

ターゲットでのアクセス権の競合の解決に使用する優先ルール
[拡張アクセス: ターゲット] ダイアログボックスでターゲットを選択すると、そのターゲットに設定されたアクセス設定を持ち、拡張 ACL にあるサブジェクトがすべてこのダイアログボックスにデフォルトで表示されます。これには、範囲 [このコンテナとすべての子コンテナ] によって、アクセス権が上位ターゲットで設定されたサブジェクト、およびアクセス権を上位ターゲットから継承したサブジェクトが含まれます([変更を表示] を選択すると、アクセス権がそのターゲットで直接設定されたサブジェクトのみが表示されます)。

選択したターゲットで表示される複数のサブジェクトを 1 人のユーザーに適用できます。たとえば、1 人のユーザーが 2 つのグループのメンバーであり、その両方のグループがターゲット O=Acme に対するアクセス権を持っていることがあります。あるターゲットで 1 人のユーザーに複数のサブジェクトが適用されている場合に、ターゲットに対するユーザーのアクセス権を決めるには次の優先ルールが適用されます。

メモ この優先ルールが適用されても、ユーザーのアクセス権は、データベース ACL がそのユーザーに許可したアクセス権を超えることはありません。

1 範囲 [このコンテナのみ] を指定してサブジェクトに設定されたアクセス権は、サブジェクトのタイプに関係なく、範囲 [このコンテナとすべての子コンテナ] を指定してサブジェクトに設定されたアクセス権より優先されます。たとえば、サブジェクト */Acme と範囲 [このコンテナのみ] に設定されたアクセス権は、サブジェクト Kathy Brown/Acme と範囲 [このコンテナとすべての子コンテナ] に設定されたアクセス権より優先されます。

2 同じ範囲を指定したサブジェクトでは、より限定的なタイプのサブジェクトのアクセス権が優先されます。サブジェクトを限定的なものから順に挙げると、次のようになります。


3 複数のグループサブジェクトまたは複数のワイルドカードサブジェクトを評価する場合、サブジェクトのアクセス権設定は結合され、[許可] アクセス権より [禁止] アクセス権のほうが優先されます。たとえば、グループ Admins/Acme では [書き込み] アクセス権を許可せず、その他すべてのアクセス権を許可にします。また、グループ Managers/Acme では [作成] アクセス権を許可せず、その他すべてのアクセス権を許可にします。この場合、両方のグループに属しているユーザーに対しては、[書き込み] アクセス権と [作成] アクセス権が許可されず、その他すべてのアクセス権が許可されます。

ヒント 拡張アクセス権設定とデータベースアクセス権が評価された後の、拡張 ACL ターゲットに対するユーザーの実際のアクセス権を判別するには、[拡張アクセス: ターゲット] ダイアログボックスで目的のターゲットを選択し、[有効なアクセス権] をクリックします。

優先ルールの例
サブジェクト 1サブジェクト 2結合されたアクセス権 (データベース ACL で許可されたアクセス権を超えることはできません)適用されるルール
サブジェクト: */Acme

範囲: このコンテナとすべての子コンテナ

許可:読み込み、参照

禁止:作成、削除、書き込み

サブジェクト: */Acme

範囲: このコンテナのみ

許可:作成、削除、書き込み

禁止:読み込み、参照

許可:作成、削除、書き込み

禁止:読み込み、参照

ルール 1
サブジェクト: Admins/Acme グループ

範囲: このコンテナとすべての子コンテナ

許可:[すべて]

サブジェクト: */Acme

範囲: このコンテナとすべての子コンテナ

禁止:[すべて]

許可:[すべて]ルール 2
サブジェクト: Admins/Acme グループ

範囲: このコンテナとすべての子コンテナ

許可:読み込み、参照

禁止:作成、削除、書き込み

サブジェクト: Managers/Acme グループ

範囲: このコンテナとすべての子コンテナ

許可:作成、削除、書き込み

禁止:読み込み、参照

禁止:[すべて]ルール 3
関連項目