設定

ターゲットでのアクセス権の競合の解決に使用する優先ルール
[拡張アクセス: ターゲット] ダイアログボックスでターゲットを選択すると、そのターゲットに設定されたアクセス設定を持ち、拡張 ACL にあるサブジェクトがすべてこのダイアログボックスにデフォルトで表示されます。これには、範囲 [このコンテナとすべての子コンテナ] によって、アクセス権が上位ターゲットで設定されたサブジェクト、およびアクセス権を上位ターゲットから継承したサブジェクトが含まれます([変更を表示] を選択すると、アクセス権がそのターゲットで直接設定されたサブジェクトのみが表示されます)。

このタスクについて

選択したターゲットで表示される複数のサブジェクトを 1 人のユーザーに適用できます。たとえば、1 人のユーザーが 2 つのグループのメンバーであり、その両方のグループがターゲット O=Renovations に対するアクセス権を持っていることがあります。あるターゲットで 1 人のユーザーに複数のサブジェクトが適用されている場合に、ターゲットに対するユーザーのアクセス権を決めるには次の優先ルールが適用されます。

1. 範囲 [このコンテナのみ] を指定してサブジェクトに設定されたアクセス権は、サブジェクトのタイプに関係なく、範囲 [このコンテナとすべての子コンテナ] を指定してサブジェクトに設定されたアクセス権より優先されます。たとえば、サブジェクト */Renovations と範囲 [このコンテナのみ] に設定されたアクセス権は、サブジェクト Kathy Brown/Renovations と範囲 [このコンテナとすべての子コンテナ] に設定されたアクセス権より優先されます。

2. 同じ範囲を指定したサブジェクトでは、より限定的なタイプのサブジェクトのアクセス権が優先されます。サブジェクトを限定的なものから順に挙げると、次のようになります。


3. 複数のグループサブジェクトまたは複数のワイルドカードサブジェクトを評価する場合、サブジェクトのアクセス権設定は結合され、[許可] アクセス権より [禁止] アクセス権のほうが優先されます。たとえば、グループ Admins/Renovations では [書き込み] アクセス権を許可せず、その他すべてのアクセス権を許可にします。また、グループ Managers/Renovations では [作成] アクセス権を許可せず、その他すべてのアクセス権を許可にします。この場合、両方のグループに属しているユーザーに対しては、[書き込み] アクセス権と [作成] アクセス権が許可されず、その他すべてのアクセス権が許可されます。

注: この優先ルールが適用されても、ユーザーのアクセス権は、データベース ACL がそのユーザーに許可したアクセス権を超えることはありません。

ヒント: 拡張アクセス権設定とデータベースアクセス権が評価された後の、拡張 ACL ターゲットに対するユーザーの実際のアクセス権を判別するには、[拡張アクセス: ターゲット] ダイアログボックスで目的のターゲットを選択し、[有効なアクセス権] をクリックします。

表 1. 優先ルールの例
サブジェクト 1サブジェクト 2結合されたアクセス権 (データベース ACL で許可されたアクセス権を超えることはできません)適用されるルール
件名: */Renovations

範囲: このコンテナとすべての子。

許可: 読み込み、参照

禁止: 作成、削除、書き込み

件名: */Renovations

範囲: このコンテナのみ。

許可: 作成、削除、書き込み

禁止: 読み込み、参照

許可: 作成、削除、書き込み

禁止: 読み込み、参照

ルール 1
件名: Admins/Renovations group

範囲: このコンテナとすべての子。

許可: すべて

件名: */Renovations

範囲: このコンテナとすべての子。

禁止: すべて

許可: すべてルール 2
件名: Admins/Renovations group

範囲: このコンテナとすべての子。

許可: 読み込み、参照

禁止: 作成、削除、書き込み

件名: Managers/Renovations group

範囲: このコンテナとすべての子。

許可: 作成、削除、書き込み

禁止: 読み込み、参照

禁止: すべてルール 3

関連概念
拡張 ACL の要素
拡張 ACL を設定および管理する

関連タスク
拡張 ACL アクセス権設定