ну не только лишь все
Справедливости ради - начало был в том, что бы "ограничить админов". Потом скорректировали термин - "управлять только пользователями" - что решается раздачей прав на записи в АК person группе "управляющих юзерами" + роли в АК + группа в п\я юзверов.
Так вот - в такой конфигурации возможно создание "левых" документов в виде например правила перенаправления почты или program док на шутдаун сервера ибо у "недоадминов" есть право создания доков в АК. И потому что нельзя автора ограничить правом создавать только определенный тип доков.
Так же говорилось о том, что можно обойти enforce consistent acl across all replicas через левый сервер с пральным именем или через правку .nsf (если не прикрыли). так же есть возможность любому (дефолт - автор с правом создания доков) создать левый запрос в admin4.nsf на подпись агента - но тут надо смотреть на поля секурети сервера. есть у некоторых ленивых доступ анонимуса к серверу - и т.п. Вот эти на самом деле интересные темы были как то замылены.
Ни о какой возможности ридерсу создать доки в АК речи и не шло по моему.
