Hilfe zu IBM Domino Social Edition Administrator 9.0.1

KONFIGURIEREN

Erweiterte ACL - Beispiel 2
Das Unternehmen Renovations verwendet eine Domino-Domäne. Die Verzeichnisnamenshierarchie innerhalb des Domino-Verzeichnisses besteht aus der Organisation O=Renovations und den beiden darin enthaltenen Unterorganisationen OU=West und OU=Ost.

Warum und wann dieser Vorgang ausgeführt wird

Das Domino-Verzeichnis von Renovations enthält die folgenden drei Gruppen von Administratoren:

Die Gruppe "Admins/Renovations", die für das Verwalten von Dokumenten im gesamten Verzeichnis verantwortlich ist.
Die Gruppe "Admins/West/Renovations", die für das Verwalten von Dokumenten verantwortlich ist, die unter OU=West fallen und deren Namen auf "West/Renovations" enden.
Die Gruppe "Admins/Ost/Renovations", die für das Verwalten von Dokumenten verantwortlich ist, die unter OU=Ost fallen und deren Namen auf "Ost/Renovations" enden.

Um die Sicherheit sicherzustellen, hat Renovations die folgenden Ziele:

1. Mitgliedern der Gruppe "Admins/Renovations" wird Folgendes erlaubt:

Vollständiger Zugriff auf alle Dokumente im Verzeichnis
Managerzugriff auf alle Ziele in der erweiterten ACL

2. Mitgliedern der Gruppe "Admins/West/Renovations" wird Folgendes erlaubt:

Lesezugriff auf alle Felder in allen Dokumenten im Verzeichnis
Es dürfen nur Dokumente erstellt, geändert oder gelöscht werden, die unter OU=West fallen
Die erweiterte ACL für das Ziel OU=West darf verwaltet werden

3. Mitgliedern der Gruppe "Admins/Ost/Renovations" wird Folgendes erlaubt:

Lesezugriff auf alle Felder in allen Dokumenten im Verzeichnis
Es dürfen nur Dokumente erstellt, geändert oder gelöscht werden, die unter OU=Ost fallen
Die erweiterte ACL im Ziel OU=Ost darf verwaltet werden

4. Authentifizierte Benutzer, die keiner dieser Administrationsgruppen angehören, dürfen Personen-, Gruppen- oder Ressourcendokumente, aber keine anderen Dokumente in der Datenbank durchsuchen und lesen. Außerdem dürfen diese Benutzer keine Dokumente erstellen, löschen oder ändern.

5. Anonyme Benutzer dürfen auf das Verzeichnis nicht zugreifen.

In den folgenden Tabellen wird beschrieben, wie Renovations die Datenbank-ACL des Domino-Verzeichnisses und die erweiterte ACL einrichtet, um die festgelegten Sicherheitsziele zu erreichen.

Tabelle 1. Datenbank-ACL

Benutzerobjekt Zugriff Beschreibung

-Default- Leser Erforderlich, um Nicht-Administratoren das Durchsuchen und Lesen von Personen-, Gruppen- und Ressourcendokumenten zu erlauben

Gruppe "Admins/Renovations"

Manager
Löschen
Alle Administrationsrollen
Erlaubt es Mitgliedern von "Admins/Renovations", alle Dokumente und die gesamte erweiterte ACL zu verwalten, ohne dass Einstellungen für die erweiterte ACL erforderlich sind

Gruppe "Admins/West/Renovations"

Editor
Erstellen, Löschen
Alle Administrationsrollen
Erforderlich, um Mitgliedern von "Admins/West/Renovations" zu erlauben, West/Renovations-Dokumente zu erstellen, zu ändern, zu löschen und die erweiterte ACL dieser Dokumente zu verwalten

Gruppe "Admins/Ost/Renovations"

Editor
Erstellen, Löschen
Alle Administrationsrollen
Erforderlich, um Mitgliedern von "Admins/Ost/Renovations" zu erlauben, Ost/Renovations-Dokumente zu erstellen, zu ändern, zu löschen und die erweiterte ACL dieser Dokumente zu verwalten

Anonymous Kein Zugriff Verhindert, dass anonyme Benutzer auf Informationen im Verzeichnis zugreifen können. Es sind keine erweiterten ACL-Einstellungen erforderlich

Tabelle 2. Ziel / (Root) in erweiterter ACL verwenden

Benutzerobjekt Zugriff Dieser und untergeordnete Container? Beschreibung

-Default- Vorgabe:

Alle Personen, Gruppen und Ressourcen ablehnen:
Zulassen: Durchsuchen, Lesen
Ablehnen: Erstellen, Löschen, Schreiben, Verwalten
Ja Erlaubt Nicht-Administratoren das Lesen von Personen-, Gruppen- und Ressourcendokumenten

Gruppe "Admins/West/Renovations" Vorgabe:

Zulassen: Durchsuchen, Lesen
Ablehnen: Erstellen, Löschen, Schreiben, Verwalten
Ja Verhindert, dass Mitglieder der Gruppe "Admins/West/Renovations" Dokumente in den Zielen / (Root) und O=Renovations ändern können

Gruppe "Admins/Ost/Renovations" Vorgabe:

Zulassen: Durchsuchen, Lesen
Ablehnen: Erstellen, Löschen, Schreiben, Verwalten
Ja Verhindert, dass Mitglieder der Gruppe "Admins/Ost/Renovations" Dokumente in den Zielen / (Root) und O=Renovations ändern können

Tabelle 3. Ziel OU=West in erweiterter ACL

Benutzerobjekt Zugriff Dieser und untergeordnete Container? Beschreibung

Gruppe "Admins/West/Renovations" Vorgabe:

Alle zulassen
Ja Mitgliedern von "Admins/West/Renovations" vollständigen Zugriff auf Dokumente unter OU=West gewähren

Tabelle 4. Ziel OU=Ost in erweiterter ACL

Benutzerobjekt Zugriff Dieser und untergeordnete Container? Beschreibung

Gruppe "Admins/Ost/Renovations" Vorgabe:

Alle zulassen
Ja Mitgliedern von "Admins/Ost/Renovations" vollständigen Zugriff auf Dokumente unter OU=Ost gewähren

Zugehörige Tasks
Beispiele für erweiterte ACLs

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Benutzerobjekt	Zugriff	Beschreibung
-Default-	Leser	Erforderlich, um Nicht-Administratoren das Durchsuchen und Lesen von Personen-, Gruppen- und Ressourcendokumenten zu erlauben
Gruppe "Admins/Renovations"	Manager Löschen Alle Administrationsrollen	Erlaubt es Mitgliedern von "Admins/Renovations", alle Dokumente und die gesamte erweiterte ACL zu verwalten, ohne dass Einstellungen für die erweiterte ACL erforderlich sind
Gruppe "Admins/West/Renovations"	Editor Erstellen, Löschen Alle Administrationsrollen	Erforderlich, um Mitgliedern von "Admins/West/Renovations" zu erlauben, West/Renovations-Dokumente zu erstellen, zu ändern, zu löschen und die erweiterte ACL dieser Dokumente zu verwalten
Gruppe "Admins/Ost/Renovations"	Editor Erstellen, Löschen Alle Administrationsrollen	Erforderlich, um Mitgliedern von "Admins/Ost/Renovations" zu erlauben, Ost/Renovations-Dokumente zu erstellen, zu ändern, zu löschen und die erweiterte ACL dieser Dokumente zu verwalten
Anonymous	Kein Zugriff	Verhindert, dass anonyme Benutzer auf Informationen im Verzeichnis zugreifen können. Es sind keine erweiterten ACL-Einstellungen erforderlich

Benutzerobjekt	Zugriff	Dieser und untergeordnete Container?	Beschreibung
-Default-	Vorgabe: Alle Personen, Gruppen und Ressourcen ablehnen: Zulassen: Durchsuchen, Lesen Ablehnen: Erstellen, Löschen, Schreiben, Verwalten	Ja	Erlaubt Nicht-Administratoren das Lesen von Personen-, Gruppen- und Ressourcendokumenten
Gruppe "Admins/West/Renovations"	Vorgabe: Zulassen: Durchsuchen, Lesen Ablehnen: Erstellen, Löschen, Schreiben, Verwalten	Ja	Verhindert, dass Mitglieder der Gruppe "Admins/West/Renovations" Dokumente in den Zielen / (Root) und O=Renovations ändern können
Gruppe "Admins/Ost/Renovations"	Vorgabe: Zulassen: Durchsuchen, Lesen Ablehnen: Erstellen, Löschen, Schreiben, Verwalten	Ja	Verhindert, dass Mitglieder der Gruppe "Admins/Ost/Renovations" Dokumente in den Zielen / (Root) und O=Renovations ändern können