使用者及伺服器配置
如果多個政策指定至單一使用者,不論是在政策文件上動態指定 (由於多個群組成員資格) 或直接指定,會先決定群組層級上的每一個有效政策。其結果可能是指定至單一使用者的多個有效動態政策。為了替每一個使用者建立一個有效動態政策,動態政策會合併建立一個動態政策。
當動態有效政策合併時,會檢查有效動態政策中的每一項設定,以判斷是否與另一個政策中的某項設定相衝突。如果沒有衝突,則此設定會新增至最後的有效動態政策。如果有衝突,則使用最高優先的動態政策設定值。政策優先是指在動態政策之間發生衝突時用來決定以哪些政策設定為優先。
您可以在「Domino 名錄」中手動指定動態政策的優先,或使用您在建立動態政策時設定的預設優先值。依預設,建立新的動態政策時,該政策會指定至現有優先的最後。優先號碼越低,越優先,優先號碼越高,越不優先。例如,優先 1 表示最高優先,優先 2 或大於 1 的任何其他號碼表示較不優先。當此程序完成時,其結果就是最後的有效動態政策。有效動態政策是用來幫助決定有效政策。
有效政策的決定方式如下:
1. 最先決定及套用的是組織政策。
2. 下一個解析及套用的是具有動態政策指定的明確政策。
3. 最後解析及套用的是不具有動態政策指定的明確政策。
如果遵循上面的順序,您將決定使用者的「人員」文件中的明確政策是否置換動態政策,接著置換組織政策。
當決定套用至使用者的設定時,Domino 會使用來自已指派給該使用者的最明確政策的設定,除非已勾選「強制執行」設定。如果勾選「在子項設定中強制執行」,則設定必須衍生自特定的政策,而且來自更明確政策的設定不會置換它。更明確政策將是在「人員」文件中已指派給給您的政策,與透過群組中的成員資格指派的政策相對。透過群組成員資格指派的政策比指派給使用者的階層式明確政策更加明確。
有兩個工具可以協助您決定管理每個使用者的有效政策。「政策檢視器」顯示政策階層及相關設定文件;「政策概要」報告顯示衍生出每個有效設定值的政策。與有效政策的計算有關的動態政策會依優先順序顯示,並以列表格式顯示動態政策決策所衍生的每一項設定的值。
沿用及子項政策關係
在決定組織政策及明確政策中使用者的政策設定值時,沿用起著重要的作用。透過父項與子項的關係,您可以建立政策階層,以在整個企業中設定管理練習。在政策階層中,政策文件建立關係,而政策設定文件根據其在階層中的位置來決定欄位的值。使用欄位沿用及強制執行,您可以控制預設設定值。
在組織政策中,會根據組織的階層來自動決定政策的階層。政策 */Sales/Acme 是 */Acme 的子項政策。因為明確政策不遵循組織結構,所以在建立明確政策時,您根據命名結構來建立階層。例如,您建立名為 /Contractors 的明確政策,其包含數個僅套用至被雇用六個月到一年之簽約員工的設定值。但您想要短期臨時雇員 (僅雇用了一或兩週) 來沿用那些設定值中的部份設定值。您建立稱為 Short term/Contractors 的子項明確政策。
下圖顯示政策階層。在此階層中,每個組織層次上的政策均設定了其自身的密碼品質設定值。
在下圖中,Joe User 從父項政策沿用密碼品質設定值。沿用設定值出現在政策設定文件內欄位層次上的子項政策中。
使用者「沿用」欄位層次設定值的另一個方法是透過強制執行。在下面的圖示中,在「註冊」政策設定文件內欄位層次上的父項政策中強制密碼品質設定值。如果在父項政策中強制設定值,則在子項政策層次上的設定值不適用。
使用政策的範例
Acme 公司的管理員想要使用政策來: