Lotus Domino Administrator 8.51 說明 - 限制管理員存取權

安全性

限制管理員存取權
您可以為組織中不同類型的管理員指定各種存取權控制單資訊。例如，您可能想要授與少數人「系統管理員」存取權，而將群組中所有管理員指定為資料庫管理員。

以階層方式授與管理員存取權限。專用權階層看起來像這樣：

具完整存取權的管理員 -- 取得所列出之全部管理存取權的所有權利及專用權。
管理員 -- 取得資料庫管理員及具有完整權限的控制台管理員 (但不是系統管理員) 的所有權利及專用權。
具有完整權限的控制台管理員 -- 取得僅檢視控制台管理員 (但不是系統管理員) 的所有權利及專用權
系統管理員 -- 取得受限制系統管理員的權利及專用權

您不需要在每個欄位中個別列出使用者。將使用者新增至管理員存取權的最高層次，會自動將所列出之階層下方更受限制存取權層次的所有專用權授與該使用者。

限制管理員存取權

1. 從「IBM Lotus Domino 管理員」中，按一下「配置」標籤，並開啟「伺服器」文件。

2. 按一下「安全性」標籤。

3. 在「管理員」區段中，完成下列一或多個欄位後儲存文件。

可為所有這些欄位指定個別階層式名稱、群組及萬用字元 (例如，*/Sales/Acme)。使用逗點隔開多個項目。

附註除「管理員」欄位外，所有這些欄位預設均為空白，表示沒有人具有這些存取權限。

欄位動作

具完整存取權的管理員輸入具有伺服器完整管理存取權的管理員名稱。這是最高的管理存取權限。若需相關資訊，請參閱下列。

管理員輸入可以管理伺服器的管理員名稱。這個欄位的預設值是最初設定伺服器的管理員名稱。此處列出的管理員具有下列權利：

「Web 管理員」資料庫 (WEBADMIN.NSF) 的「管理員」存取權。
建立、更新及刪除資料夾及資料庫鏈結
建立、更新及刪除目錄鏈結 ACL
壓縮及刪除資料庫
建立、更新及刪除全文索引
建立資料庫、抄本及「主要範本」
取得及設定某些資料庫選項 (例如，服務中或暫停服務、資料庫配額等等)
使用訊息追蹤及追蹤主旨
使用控制台來遠端管理 UNIX 伺服器
發出任何遠端控制台指令
附註如果使用 (Java)「伺服器控制器」，而且在此欄位中輸入群組名稱，則該群組必須擁有「多用途」群組類型，才能容許管理員名稱出現在「管理員」欄位中。
附註若為 Domino 6.0 及後續的版本，如果 Notes.ini 變數 Server_Restricted 是用來限制伺服器存取，則管理員仍然可以開啟伺服器上的資料庫。

資料庫管理者輸入負責管理伺服器之資料庫的管理員名稱。請注意，不會自動授與資料庫管理員對伺服器上資料庫的「管理員」存取權，這些管理員也不會擁有「Web 管理員」資料庫的存取權。此處列出的使用者僅具有下列權利：

建立、更新及刪除「資料夾」及「資料庫」鏈結
建立、更新及刪除目錄鏈結 ACL
壓縮及刪除資料庫
建立、更新及刪除全文索引
建立資料庫、抄本及「主要範本」
取得及設定某些資料庫選項 (例如，服務中或暫停服務、資料庫配額等等)

具有完整權限的遠端主控台管理員輸入可以使用遠端主控台來發出指令給這個伺服器的管理員名稱。

只能檢視的管理員輸入可使用遠端控制台的管理員名稱，此管理員只能發出提供系統狀態資訊的指令，如 SHOW TASKS 及 SHOW SERVER。
僅檢視管理員無法發出影響伺服器作業的指令。

系統管理員輸入可以發出所有作業系統指令給伺服器的管理員名稱。
指令的類型及範圍視伺服器作業系統而定。例如，Linux 伺服器的管理員只能發出 Linux 指令。
附註此功能需要您在伺服器機器上執行 Domino 伺服器控制器。

受限系統管理員輸入只容許發出「受限系統指令」欄位所列出之作業系統指令的管理員名稱 (如下所示)。
附註此功能需要您在伺服器機器上執行 Domino 伺服器控制器。

受限系統指令輸入「受限系統管理者」可以發出的作業系統指令子集。指令的類型及範圍視伺服器作業系統及受限制系統管理員需要執行的作業而定。
例如，您可能想要受限制系統管理員來管理 UNIX 列印佇列。在此欄位中輸入管理列印佇列的 UNIX 指令。您在「受限制的系統管理員」欄位中輸入的任何名稱將僅具有這些指令的存取權。

從瀏覽器管理伺服器 (Domino 6 時便停用) 基於向後相容性，這項設定僅適用於 Domino 6 之前的伺服器。Domino 6 Web Administrator 用戶端只能搭配 Domino 6 或更新版本的伺服器一起使用。如果現有的網域「Domino 名錄」已從 Domino 5 升級至 Domino 6，則尚未升級的伺服器仍需於其「伺服器」文件中保留這份設定，才能使用前版的 Web Administrator。

警告即使並沒有將伺服器文件「安全性」標籤上「具完整存取權的管理員」、「管理員」及「資料庫管理員」欄位中列出的管理員列為資料庫 ACL 中的管理員，這些管理員亦獲准刪除該伺服器上的任何資料庫。

具完整存取權的管理員

具完整存取權的管理員是伺服器管理存取權的最高層次。具完整存取權管理員功能可取代在伺服器本端執行 Notes 用戶端。它解決了存取權控制問題，例如，當組織中僅剩下資料庫 ACL 管理員時導致的問題。

具完整存取權的管理員具有下列權利：

對所有管理員存取權控制單資訊列出的全部權利 (請參閱上述)。
伺服器上所有資料庫的「管理員」存取權，並啟用所有存取權限，而不論資料庫 ACL 設定值為何。
附註仍必須為具完整存取權的管理員手動啟用的 ACL 角色。
「Web 管理員」資料庫 (WEBADMIN.NSF) 的「管理員」存取權，並啟用所有角色及專用權。
所有資料庫中全部文件的存取權，而不考慮「讀者姓名」欄位。
建立在具有完整管理權利的未限制模式中執行之代理程式的能力。
對伺服器上任何未加密資料的存取權。
附註具完整存取權的管理員不允許存取加密資料。需要使用指定使用者的私密金鑰來解密以公開金鑰加密的文件。同樣地，解密以私密金鑰加密的文件需要私密金鑰。

啟用具完整存取權的管理員模式

為在具完整存取權的管理員模式中工作，管理員必須：

使用「管理員用戶端」。
列在「伺服器」文件「安全性」標籤之「管理員」區段的「具完整存取權的管理員」欄位中。此欄位預設為空白。
選取 [管理] - [完整存取管理]，在「管理員」用戶端啟用「完整存取管理」模式。如果不啟用此模式，那麼即使在「伺服器」文件中被列為具完整存取權的管理員，使用者也不會具有伺服器的完整管理員存取權。而是會授與這些使用者「管理員」權利。

啟用具完整存取權的管理員模式後，在用戶端的視窗標題、標籤標題及狀態列會顯示已啟用此模式。這可以提醒使用者他們正以最高層次的專用權存取伺服器，因而應該謹慎操作。

如果管理員在「管理」用戶端啟用完整管理模式，則亦會對 IBM Lotus Domino Designer 及 Lotus Notes 用戶端啟用此模式。完整管理員存取權亦會在其視窗標題、標籤標題及狀態列中有所反映。

如果使用者試圖切換至具完整存取權的管理員模式，但在「伺服器」文件中沒有被列為此類管理員，則會拒絕該使用者的完整存取權，並且在狀態列及伺服器控制台會顯示一則訊息。用戶端將處於完整存取權模式，但該使用者不會具有該特定伺服器的完整管理員存取權。如果該使用者試圖切換伺服器，則會依據新伺服器的伺服器文件檢查該人的存取權。

停用具完整存取權的管理員功能

您可以在 NOTES.INI 檔中設定 SECURE_DISABLE_FULLADMIN = 1，來停用「具完整存取權的管理員」欄位。此設定值會停用具完整存取權的管理員專用權，並複寫「伺服器」文件中該欄位內所列出的任何名稱。此 NOTES.INI 參數只能由具有該伺服器實體存取權、可編輯伺服器之 NOTES.INI 檔的使用者來設定。此參數不能使用伺服器控制台、遠端控制台來設定，或在「伺服器」文件中設定。

管理具完整存取權的管理員功能選項

授與具完整存取權管理員的方式有數種：

建立特殊 Full Admin ID 檔 (例如，Full Admin/Sales/Acme)，並且僅將該名稱放入 Full Admin 欄位。然後必須以這個使用者 ID 登入或切換至此 ID，以便取得這個層次的存取權。亦可選擇性地設定此 ID 檔要求多重密碼。
建立 OU 層次發證者以授與完整管理員存取權，並向信任的管理員發出其他 ID，例如 Jane Admin/Full Admin/Acme。
保留「具完整存取權的管理員」欄位空白。針對緊急狀況新增信任的個人名稱，並在狀況解決後移除它。
在「具完整存取權的管理員」欄位中填入一組有限的信任管理員。

您亦可追蹤此功能的使用方式：

配置「事件處理程式」在呼叫完整存取管理專用權時，透過 EVENTS4.NSF 傳送通知。
任何使用具完整存取權的管理員存取權來完成的資料庫動作均會記錄在資料庫動作日誌中「資料庫內容」下。
伺服器會記錄該功能的使用情況。

相關主題

Server_Restricted

伺服器控制器及 Domino 控制台

賦予 Web 管理員的存取權給其他管理員

名詞解釋

建議說明或 產品可用性?

說明的說明

所有說明內容

名詞解釋

欄位	動作
具完整存取權的管理員	輸入具有伺服器完整管理存取權的管理員名稱。這是最高的管理存取權限。若需相關資訊，請參閱下列。
管理員	輸入可以管理伺服器的管理員名稱。這個欄位的預設值是最初設定伺服器的管理員名稱。此處列出的管理員具有下列權利：「Web 管理員」資料庫 (WEBADMIN.NSF) 的「管理員」存取權。建立、更新及刪除資料夾及資料庫鏈結建立、更新及刪除目錄鏈結 ACL 壓縮及刪除資料庫建立、更新及刪除全文索引建立資料庫、抄本及「主要範本」取得及設定某些資料庫選項 (例如，服務中或暫停服務、資料庫配額等等) 使用訊息追蹤及追蹤主旨使用控制台來遠端管理 UNIX 伺服器發出任何遠端控制台指令附註如果使用 (Java)「伺服器控制器」，而且在此欄位中輸入群組名稱，則該群組必須擁有「多用途」群組類型，才能容許管理員名稱出現在「管理員」欄位中。附註若為 Domino 6.0 及後續的版本，如果 Notes.ini 變數 Server_Restricted 是用來限制伺服器存取，則管理員仍然可以開啟伺服器上的資料庫。
資料庫管理者	輸入負責管理伺服器之資料庫的管理員名稱。請注意，不會自動授與資料庫管理員對伺服器上資料庫的「管理員」存取權，這些管理員也不會擁有「Web 管理員」資料庫的存取權。此處列出的使用者僅具有下列權利：建立、更新及刪除「資料夾」及「資料庫」鏈結建立、更新及刪除目錄鏈結 ACL 壓縮及刪除資料庫建立、更新及刪除全文索引建立資料庫、抄本及「主要範本」取得及設定某些資料庫選項 (例如，服務中或暫停服務、資料庫配額等等)
具有完整權限的遠端主控台管理員	輸入可以使用遠端主控台來發出指令給這個伺服器的管理員名稱。
只能檢視的管理員	輸入可使用遠端控制台的管理員名稱，此管理員只能發出提供系統狀態資訊的指令，如 SHOW TASKS 及 SHOW SERVER。僅檢視管理員無法發出影響伺服器作業的指令。
系統管理員	輸入可以發出所有作業系統指令給伺服器的管理員名稱。指令的類型及範圍視伺服器作業系統而定。例如，Linux 伺服器的管理員只能發出 Linux 指令。附註此功能需要您在伺服器機器上執行 Domino 伺服器控制器。
受限系統管理員	輸入只容許發出「受限系統指令」欄位所列出之作業系統指令的管理員名稱 (如下所示)。附註此功能需要您在伺服器機器上執行 Domino 伺服器控制器。
受限系統指令	輸入「受限系統管理者」可以發出的作業系統指令子集。指令的類型及範圍視伺服器作業系統及受限制系統管理員需要執行的作業而定。例如，您可能想要受限制系統管理員來管理 UNIX 列印佇列。在此欄位中輸入管理列印佇列的 UNIX 指令。您在「受限制的系統管理員」欄位中輸入的任何名稱將僅具有這些指令的存取權。
從瀏覽器管理伺服器 (Domino 6 時便停用)	基於向後相容性，這項設定僅適用於 Domino 6 之前的伺服器。Domino 6 Web Administrator 用戶端只能搭配 Domino 6 或更新版本的伺服器一起使用。如果現有的網域「Domino 名錄」已從 Domino 5 升級至 Domino 6，則尚未升級的伺服器仍需於其「伺服器」文件中保留這份設定，才能使用前版的 Web Administrator。