Доброго времени суток! Возможно ли назначить права одному из пользователей так, чтобы он мог удалять только определенных пользователей в базе names?
-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Так он получит права удалять любую запись, а не отдельно взятые.........а если в поле Administrators, то он только редактировать сможет но не удалять
Wanderstep
Lotus Team
Пользуем Extended ACL
Включается он в ACL Domino Directory - ставится галка на Enable Extended Access, после чего станет доступной тонкая настройка доступа.
Но она реально тонкая, прежде чем включать, лучше предварительно изучить тему и продумать схему вашего ACL.
Чаще всего, ваша тема, решается через заведение OU и размещение в них людей. После чего, в ACL организовывается различный доступ в каждом из OU.
P.S. Перечитал вопрос и понял, что задача стоит проще. Моя тема, конечно же, слишком глобальна для решения локальной темы удаления пользователей
Но зато extended ACL решит раз и навсегда вопрос раздельного администрирования и управления различных групп пользователей.
Ссылка скрыта от гостей
Включается он в ACL Domino Directory - ставится галка на Enable Extended Access, после чего станет доступной тонкая настройка доступа.
Но она реально тонкая, прежде чем включать, лучше предварительно изучить тему и продумать схему вашего ACL.
Чаще всего, ваша тема, решается через заведение OU и размещение в них людей. После чего, в ACL организовывается различный доступ в каждом из OU.
P.S. Перечитал вопрос и понял, что задача стоит проще. Моя тема, конечно же, слишком глобальна для решения локальной темы удаления пользователей
Но зато extended ACL решит раз и навсегда вопрос раздельного администрирования и управления различных групп пользователей.Пользуем Extended ACL
Ссылка скрыта от гостей
Включается он в ACL Domino Directory - ставится галка на Enable Extended Access, после чего станет доступной тонкая настройка доступа.
Но она реально тонкая, прежде чем включать, лучше предварительно изучить тему и продумать схему вашего ACL.
Чаще всего, ваша тема, решается через заведение OU и размещение в них людей. После чего, в ACL организовывается различный доступ в каждом из OU.
P.S. Перечитал вопрос и понял, что задача стоит проще. Моя тема, конечно же, слишком глобальна для решения локальной темы удаления пользователейНо зато extended ACL решит раз и навсегда вопрос раздельного администрирования и управления различных групп пользователей.
Т.е если я включу Enable Extended Access и создам группу добавив в нее пользователей и назначив администратора этой отдельно взятой группы, я смогу дать ему мозможность редактировать инфу о пользователях и удалять записи вместе с ящиками пользователей только этой группы...?
solomonec мне кажется у вас какое-то искажение информации...
не проводите аналогию с МС продуктами - здесь все работает иначе
ящики никак не связаны (физически) с записями в АК. АК - это отдельная база, ящики - др. БД
Добавлено: группы оказывают влияние на доступ к записям в БД (к документам), на основе ACL и полей authors/readers, также и к самой БД
не проводите аналогию с МС продуктами - здесь все работает иначе
ящики никак не связаны (физически) с записями в АК. АК - это отдельная база, ящики - др. БД
Добавлено: группы оказывают влияние на доступ к записям в БД (к документам), на основе ACL и полей authors/readers, также и к самой БД
Этот Extended ACL полная туфта, никакого разграничения доступа он не обеспечевает.....я в тестовой среде с ним долбался весь вечер и хоть бы хны.....тут основные права и роли правят балом но уж никак не Extended ACL....Или я что-то не так делаю....
удалять записи о пользователях и желательно вместе с базами + дать мозможность изменять информацию о пользователях... Если мое виденье так искажено то поясните как все устроено....или все за пределами логики и здравого смысла?
А вообще кто-то имеет реальный практический опыт использования Extended ACL и как его правильно использовать?
Wanderstep
Lotus Team
Использовал его на прошлом месте работы.
Для разных зон администрирования создавалось свое OU.
Для каждого OU в Extended ACL прописывались свои админы.
Все работало без проблем.
Каждое OU - это филиал из целой кучи, разбросанных по всей России.
А если использовать Extended ACL локально применительно к группе пользователей, а не к OU. Я пробывал с группами, но права Extended ACL при любом типе доступа не перекрывают права ACL (Author - Designer) .... могу выложить свои настройки в виде скринов
solomonec вам именно Extended ACL нужны или просто права редактирования записей в NAB?
если второе - то уже описано что можно сделать
как работает ACL - доступ к базе (создание/удаление/изменение), вам нужен тип Author (для группы)
если теперь, эту группу прописать в документ юзера, в NAB, в поле администраторы - то и получите право на удаление юзера
этим заведует поле типа Authors (коим и является администраторы)
чтобы удобнее управлять группой пользователей - предлагалось создать доп. NAB и прописать её в DA, тогда нек. пользователи будут собраны в одном месте, ну и каждому не нужно будет прописывать группу
если второе - то уже описано что можно сделать
как работает ACL - доступ к базе (создание/удаление/изменение), вам нужен тип Author (для группы)
если теперь, эту группу прописать в документ юзера, в NAB, в поле администраторы - то и получите право на удаление юзера
этим заведует поле типа Authors (коим и является администраторы)
чтобы удобнее управлять группой пользователей - предлагалось создать доп. NAB и прописать её в DA, тогда нек. пользователи будут собраны в одном месте, ну и каждому не нужно будет прописывать группу
solomonec вам именно Extended ACL нужны или просто права редактирования записей в NAB?
если второе - то уже описано что можно сделать
как работает ACL - доступ к базе (создание/удаление/изменение), вам нужен тип Author (для группы)
если теперь, эту группу прописать в документ юзера, в NAB, в поле администраторы - то и получите право на удаление юзера
этим заведует поле типа Authors (коим и является администраторы)
чтобы удобнее управлять группой пользователей - предлагалось создать доп. NAB и прописать её в DA, тогда нек. пользователи будут собраны в одном месте, ну и каждому не нужно будет прописывать группу
Да вы правы эти варианты решения действительно работают, но меня на данный момент весьма заинтересовало примение Extended ACL, а именно возникают вопросы как правильно его исполльзовать, используется ли он только для разграничения доступа к базам размещенных на удаленных серверах лотуса или его можно использовать для разграничения доступа в рамках одного сервера(локально, назначив админов пользователям находящихся в группах).....Пробовал в рамках локального сервака назначить права доступа, но не получается, все перекрывается ACL базы.....возможно я что-то не так делаю или понимаю....хотя буржуйский хелп на сайте ibm по Extended ACL я прочел....
Обучение наступательной кибербезопасности в игровой форме. Начать игру!