test

Sun Java System Web Proxy Server 4.0.8 管理指南

第 4 章 管理使用者和群組

本章說明如何增加、刪除、修改及管理可存取 Proxy Server 的使用者和群組。

本章包含下列小節:

存取關於使用者和群組的資訊

使用 Administration Server 可以存取關於使用者帳號、群組清單、存取權限、組織單元以及其他使用者和群組特定資訊的應用程式資料。

使用者和群組資訊會儲存在文字格式的平面檔案中,或是在支援 LDAP (簡易目錄存取協定) 的目錄伺服器 (如 Sun Java System Directory Server) 中。LDAP 是一種在 TCP/IP (傳輸控制通訊協定/網際網路通訊協定) 上執行的開放式目錄存取協定,且可延伸至全域規模及數百萬個項目。

關於目錄服務

目錄服務可以從單一來源管理所有使用者資訊。利用 Proxy Server,可以配置三種不同類型的目錄服務:LDAP、金鑰檔案及摘要檔案。

如果尚未配置其他目錄服務,則第一個建立的新目錄服務會設定為 default 值 (類型不拘)。建立目錄服務時,server-root /userdb/dbswitch.conf 檔案中會更新目錄服務詳細資訊。

本小節說明 LDAP、金鑰檔案及摘要檔案的目錄服務。

LDAP 目錄服務

利用 LDAP 目錄服務,使用者和群組資訊可儲存在 LDAP 型目錄伺服器中。

如果 LDAP 服務為預設服務,則會如下列範例所示更新 dbswitch.conf 檔案:

directory default ldap://test22.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcomdefault:binddn cn=Directory Managerdefault:encoded bindpw YWRtaW5hZG1pbg==

如果 LDAP 服務不是預設服務,則會如下列範例所示更新 dbswitch.conf 檔案:

directory ldap ldap://test22.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcomldap:binddn cn=Directory Managerldap:encoded bindpw YWRtaW5hZG1pbg==

金鑰檔案目錄服務

金鑰檔案是一個文字檔案,其中包含雜湊格式的使用者密碼以及該使用者所屬群組的清單。只有在打算使用 HTTP 基本認證時才能使用金鑰檔案格式。如需有關此認證方法的更多資訊,請參閱指定使用者和群組

建立基於金鑰檔案的資料庫時,會如以下範例所示更新 dbswitch.conf 檔案:

directory keyfile filekeyfile:syntax keyfilekeyfile:keyfile D:\\test22\\keyfile\\keyfiledb

摘要檔案目錄服務

摘要檔案會根據已加密的使用者名稱和密碼來儲存使用者和群組資訊。

摘要檔案格式的功能是支援使用 HTTP 摘要認證,但也支援基本認證,所以同時適用於這兩種認證方法。如需有關這些方法的更多資訊,請參閱指定使用者和群組

建立基於摘要的資料庫時,會如以下範例所示更新 dbswitch.conf 檔案:

directory digest filedigest:syntax digestdigest:digestfile D:\\test22\\digest\\digestdb

備註 –

若要配置分散式管理,則預設目錄服務必須是 LDAP 型目錄服務。

配置目錄服務

在 Administration Server 的 [Global Settings] 標籤上可以建立和配置目錄服務。接著,在 Administration Server 的 [Users and Groups] 標籤上可以建立和管理使用者、群組及組織單元。

本小節說明建立及編輯目錄服務的方法。

Procedure建立目錄服務

  1. 存取 Administration Server,然後按一下 [Global Settings] 標籤。

  2. 按一下 [Configure Directory Service] 連結。

  3. 從 [Create New Service of Type] 下拉式清單中,選取您要建立的目錄服務類型,然後按一下 [New]。

    此時會顯示此目錄服務的配置頁面。

  4. 提供配置資訊,然後按一下 [Save Changes]。

    如需有關特定欄位的更多資訊,請參閱線上說明。

    備註 –

    如果尚未配置其他目錄服務,則第一個建立的新目錄服務會設定為 default 值 (類型不拘)。

Procedure編輯目錄服務

  1. 存取 Administration Server,然後按一下 [Global Settings] 標籤。

  2. 按一下 [Configure Directory Service] 連結。

  3. 按一下您要編輯的目錄服務的連結。

  4. 進行所需的變更,然後按一下 [Save Changes]。

    如需有關特定欄位的更多資訊,請參閱線上說明。

瞭解辨別名稱 (DN)

Administration Server 中的 [Users and Groups] 標籤可用於建立或修改使用者、群組及組織單元。使用者是 LDAP 資料庫中的個人,例如貴公司的員工。群組是共用某個一般屬性的兩個或多個使用者。組織單元是組織內使用 organizationalUnit 物件類別的一個細分單位。本章稍後將詳細說明使用者、群組及組織單元。

您企業內的每個使用者和群組皆以辨別名稱 (DN) 屬性來表示。DN 屬性是一個包含關聯使用者、群組或物件之識別資訊的文字字串。每當使用者或群組目錄項目變更時,您都必須使用 DN。例如,每次建立或修改目錄項目、配置存取控制以及為應用程式 (如郵件或發佈) 配置使用者帳號時,您都必須提供 DN 資訊。Proxy Server 的 [Users and Groups] 介面可用於建立或修改 DN。

下列範例顯示 Sun Microsystems 員工的典型 DN:

uid=doe,e=doe@sun.com,cn=John Doe,o=Sun Microsystems Inc.,c=US

此範例中的縮寫有下列意義:

DN 可能包含各種「名稱-值」對,且可在支援 LDAP 的目錄中用於識別憑證主體及項目。

使用 LDIF

如果您目前沒有目錄,或您想要在現有目錄中增加新的子樹狀結構,可以使用目錄伺服器的 LDIF (簡易目錄交換格式) 匯入功能。此功能接受包含 LDIF 的檔案,並且會嘗試從 LDIF 項目建立目錄或新子樹。您也可以使用目錄伺服器的 LDIF 匯出功能,將目前目錄匯出至 LDIF。此功能會建立一個代表您目錄的 LDIF 格式的檔案。您可以使用 ldapmodify 指令行公用程式 (如果可用) 及適當的 LDIF 更新敘述來增加或編輯項目。

若要使用 LDIF 向資料庫中增加項目,請先在 LDIF 檔案中定義項目,然後從目錄伺服器匯入此 LDIF 檔案。

建立使用者

Administration Server 中的 [Users and Groups] 標籤可用於建立及修改使用者項目。使用者項目包含有關資料庫中個別使用者或物件的資訊。

備註 –

請確定使用者無法未經授權就存取資源,以保護伺服器的安全性。Proxy Server 會使用基於 ACL 的授權及認證模型。如需有關基於 ACL 的安全性的更多資訊,請參閱第 8 章控制對伺服器的存取。如需其他安全性資訊,另請參閱第 5 章使用憑證和金鑰

本小節說明在 LDAP 型認證資料庫、金鑰檔案認證資料庫及摘要檔案認證資料庫中建立使用者的方法。

在 LDAP 型認證資料庫中建立使用者

當使用者項目增加到 LDAP 型目錄服務中後,LDAP 型目錄伺服器下的服務即可用於認證及授權這些使用者。本小節列出在使用 LDAP 型認證資料庫時需要考慮的準則,並說明透過 Proxy Server Administration Server 來增加使用者的方法。

建立 LDAP 型使用者項目的準則

當使用 Proxy Server 管理主控台在 LDAP 型目錄服務中建立新的使用者項目時,請考慮下列準則:

Directory Server 使用者項目

請注意下列有關目錄伺服器使用者項目的資訊:

表 4–1 LDAP 屬性 - 建立或編輯使用者項目

使用者欄位 

LDAP 屬性 

Given Name 

givenName

Surname 

sn

Full Name 

cn

使用者 ID 

uid

Password 

userPassword

E-mail Address 

mail

Title 

title

Phone Number 

telephoneNumber

建立 LDAP 型使用者項目

若要建立使用者項目,請參閱建立 LDAP 型使用者項目的準則中的準則,然後執行下列程序。

Procedure在 LDAP 型認證資料庫中建立使用者

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Create User] 連結。

  3. 從下拉式清單中選取 LDAP 目錄服務,然後按一下 [Select]。

  4. 在顯示的頁面上提供資訊。

    如需有關特定欄位的更多資訊,請參閱線上說明。

    另請參閱Directory Server 使用者項目

  5. 按一下 [Create] 以建立使用者項目,或按一下 [Create and Edit] 以建立使用者項目,並前進至剛建立之項目的編輯頁面。

在金鑰檔案認證資料庫中建立使用者

金鑰檔案是一個文字檔案,其中包含雜湊格式的使用者密碼以及該使用者所屬群組的清單。

Procedure在金鑰檔案認證資料庫中建立使用者

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Create User] 連結。

  3. 從下拉式清單中選取基於金鑰檔案的目錄服務,然後按一下 [Select]。

  4. 在顯示的頁面上鍵入資訊,然後按一下 [Create User]。

    如需有關特定欄位的更多資訊,請參閱線上說明。

在摘要檔案認證資料庫中建立使用者

摘要檔案認證資料庫會以加密形式來儲存使用者和群組資訊。

Procedure在摘要檔案認證資料庫中建立使用者

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Create User] 連結。

  3. 從下拉式清單中選取基於摘要檔案的目錄服務,然後按一下 [Select]。

  4. 在顯示的頁面上鍵入資訊,然後按一下 [Create User]。

    如需有關特定欄位的更多資訊,請參閱線上說明。

    備註 –

    使用 [Proxy Server ACL] 使用者介面建立使用摘要認證的 ACL 時,必須指定相同的範圍字串。如需更多資訊,請參閱設定存取控制

管理使用者

您可以在 [Administration Server Users and Groups] 標籤的 [Manage Users] 頁面上編輯使用者屬性。您可以在此頁面尋找、變更、重新命名及刪除使用者項目。

本小節描述了下列主題:

尋找使用者資訊

您必須先找到並顯示使用者項目,才能編輯此項目。對於基於 LDAP 的目錄服務,您可以為您要編輯的項目提供描述性的值。

您可以提供下列任何一項資訊

建立自訂搜尋查詢

對於 LDAP 服務,[Find All Users Whose] 區段可讓您建立自訂搜尋篩選器。請使用欄位來縮小 [Find User] 搜尋所傳回的搜尋結果範圍。

左側的下拉式清單可以指定搜尋所依據的屬性。下表列出可用的搜尋屬性選項。

表 4–2 搜尋屬性選項

選項 

搜尋相符項目 

全名 

每個項目的全名 

Last name 

每個項目的姓氏 

使用者 ID 

每個項目的使用者 ID 

Phone number 

每個項目的電話號碼 

E-mail address 

每個項目的電子郵件地址 

中央的下拉式清單會指定要執行的搜尋類型。下表列出可用的搜尋類型選項。

表 4–3 搜尋類型選項

選項 

說明 

Contains

導致執行子字串搜尋。傳回屬性值包含指定搜尋字串的項目。例如,如果您知道使用者的名稱可能包含單字「Dylan」,請使用此選項及搜尋字串「Dylan」來尋找此使用者的項目。 

Is

能找到完全相符項目 (指定等式搜尋)。當您知道使用者屬性的精確值時,請使用此選項。例如,您知道使用者名稱的正確拼寫。 

Isn't

傳回屬性值與搜尋字串不完全相符的所有項目。可以使用此選項在目錄中尋找名稱不是「John Smith」的所有使用者。請注意,使用此選項可能會導致傳回極多項目。 

Sounds like

導致執行近似或音形一致的搜尋。如果您知道屬性的值,但不確定拼寫,請使用此選項。例如,您不確定使用者名稱的拼寫是「Sarret」、「Sarette」還是「Sarett」。 

Starts with

導致執行子字串搜尋。傳回屬性值以指定搜尋字串開頭的所有項目。例如,您知道使用者的名稱以「Miles」開頭,但不知道名稱的其餘部分。 

Ends with

導致執行子字串搜尋。傳回屬性值以指定搜尋字串結尾的所有項目。例如,您知道使用者的名稱以「Dimaggio」結尾,但不知道名稱的其餘部分。 

右側的文字欄位可用於輸入搜尋字串。若要顯示 [Look Within] 欄位所指定之目錄中包含的所有使用者項目,請鍵入星號 (*) 或將此欄位保留為空白。

Procedure尋找使用者資訊

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Manage Users] 連結。

  3. 從下拉式清單中選取目錄服務,然後按一下 [Select]。

    若選取金鑰檔案或摘要檔案目錄服務,則會顯示使用者的清單。若選取 LDAP 型目錄服務,則會顯示搜尋欄位。

  4. 查找使用者資訊︰

    若為金鑰檔案或摘要檔案目錄服務,請按一下使用者的連結來顯示編輯頁面並進行變更。如需有關特定欄位的更多資訊,請參閱線上說明。

    若為 LDAP 型目錄服務,請執行以下動作:

    1. 在 [Find User] 欄位中,為您要編輯的項目輸入描述性值。

      或者,您也可以使用 [Find All Users Whose] 區段中的下拉式功能表來縮小搜尋結果範圍。如需更多資訊,請參閱建立自訂搜尋查詢

    2. 在 [Look Within] 欄位中,選取您要在哪個組織單位下搜尋項目。

      預設為目錄的根位置 (最上面的項目)。

    3. 在 [Format] 欄位中,指定要將輸出格式化以顯示於螢幕,還是列印至印表機。

    4. 在此過程中的任何階段,皆可按一下 [Find] 按鈕。

      螢幕上會顯示符合搜尋條件的所有使用者。

    5. 按一下您要顯示的項目的連結。

編輯使用者資訊

Procedure編輯使用者項目

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Manage Users] 連結。

  3. 顯示使用者項目,如尋找使用者資訊中所述。

  4. 依需要變更。

    如需有關特定欄位的更多資訊,請參閱線上說明。

    備註 –

    若要變更在編輯使用者頁面中未顯示的屬性值,請使用目錄伺服器 ldapmodify 指令行公用程式 (如果可用)。

    如需有關變更使用者的使用者 ID 的資訊,請參閱重新命名使用者

管理使用者密碼

下列程序說明變更或建立使用者密碼的方法。

Procedure變更或建立使用者密碼

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Manage Users] 連結。

  3. 顯示使用者項目,如尋找使用者資訊中所述。

  4. 依需要變更。

    如需有關特定欄位的更多資訊,請參閱線上說明。

    對於 LDAP 資料庫,您也可以從 [Manage Users] 頁面中存取用於編輯使用者密碼資訊的頁面,然後按一下 [Disable Password] 按鈕來停用使用者的密碼。此動作不必刪除使用者的目錄項目,就可以阻止使用者登入伺服器。您可以提供新的密碼,重新允許使用者存取。

重新命名使用者

對於 LDAP 資料庫,重新命名功能只能變更使用者 ID。其他所有欄位均保持不變。無法使用重新命名功能將項目從一個組織單元移至另一個組織單元。

Procedure重新命名使用者項目

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Manage Users] 連結。

  3. 顯示使用者項目,如尋找使用者資訊中所述。

  4. 按一下編輯使用者頁面上的 [Rename User] 按鈕。

  5. 在顯示的頁面上鍵入使用者 ID,然後按一下 [Save Changes]。

    備註 –

    透過將 keepOldValueWhenRenaming 參數設定為 false (預設值),可以指定在重新命名項目時,Administration Server 不再保留舊的值。在下列檔案中可以找到此參數:

    server-root/proxy-admserv/config/dsgw-orgperson.conf

移除使用者

Procedure移除使用者項目

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Manage Users] 連結。

  3. 顯示使用者項目,如尋找使用者資訊中所述。

  4. 按一下適當的按鈕。

    • 若為 LDAP 伺服器,請按一下 [Delete User]。

    • 若為金鑰檔案和摘要檔案資料庫,請按一下 [Remove User]。

建立群組

群組是一種物件,用於說明 LDAP 資料庫中的一組物件。Sun Java System Server 群組由共用某個一般屬性的使用者組成。例如,這組物件可能是在貴公司行銷部門工作的一群員工。這些員工可能屬於稱為 Marketing 的群組。

對於 LDAP 服務,定義群組成員身分有靜態和動態兩種方法。靜態群組明確列舉其成員物件。靜態群組是一般名稱 (CN),且含有 uniqueMembersmemberURLsmemberCertDescriptions。對於靜態群組,成員不共用一般屬性,但 cn=groupname 屬性除外。

動態群組可讓您使用 LDAP URL 定義僅與群組成員比對的規則集。對於動態群組,成員會共用 memberURL 篩選器中定義的某個一般屬性或屬性集。例如,如果您需要一個群組來包含 Sales 的所有員工,且這些員工已存在於 LDAP 資料庫中的 ou=Sales,o=Airius.com 之下,則您可以使用下列成員 URL 來定義動態群組:

ldap:///ou=Sales,o=sun??sub?(uid=*)

然後,此群組將包含在樹狀結構的 ou=Sales,o=sun 點下具有 uid 屬性的所有物件。

對於靜態和動態群組,如果使用 memberCertDescription,則成員可以共用憑證中的一般屬性。ACL 必須使用 SSL 方法,才能共用一般屬性。

一旦建立新的群組之後,您就可以在群組中增加使用者 (成員)。

本小節包含以下主題:

關於靜態群組

對於 LDAP 服務,Administration Server 可使您透過在任意數量使用者的 DN 中指定同一群組屬性來建立靜態群組。靜態群組除了增加或刪除使用者之外,完全不會有任何變更。

建立靜態群組的準則

當使用 [Administration Server] 介面來建立新的靜態群組時,請考慮下列準則:

Procedure建立靜態群組

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Create Group] 連結。

  3. 從 [Type of Group] 下拉式清單中選取 [New Group],然後按一下 [Go]。

  4. 在 [Create Group] 頁面上鍵入資訊。

    如需有關特定欄位的更多資訊,請參閱線上說明。

  5. 按一下 [Create] 以建立群組,或按一下 [Create and Edit] 以建立群組,並顯示剛建立之群組的編輯頁面。

關於動態群組

對於 LDAP 服務,如果您想要根據任何屬性來自動將使用者分組,或想要將 ACL 套用至包含相符 DN 的特定群組,Proxy Server 可讓您建立動態群組。例如,您可以建立一個群組來自動包括含有 department=marketing 屬性的所有 DN。如果您套用 department=marketing 的搜尋篩選器,則搜尋傳回的群組會包括含有屬性 department=marketing 的所有 DN。然後,您可以由基於此過濾器的搜尋結果定義動態群組。隨後,您可以針對結果動態群組定義一個 ACL。

動態群組的實作方法

Proxy Server 會在 LDAP 伺服器模式中將動態群組實作為 objectclass=groupOfURLs。一個 groupOfURLs 類別可能沒有或有多個 memberURL 屬性,每個屬性都是說明目錄中一組物件的 LDAP URL。群組成員將是這些物件集的併集。例如,下列群組只包含一個成員 URL:

ldap:///o=mcom.com??sub?(department=marketing)

此範例說明的是在 o=mcom.com 之下由部門為 marketing 的所有物件所組成的集合。LDAP URL 可以包含搜尋庫 DN、範圍及篩選器,但不能包含主機名稱和連接埠。因此,您只能參照同一 LDAP 伺服器上的物件。支援所有範圍。如需有關 LDAP URL 的更多資訊,請參閱建立動態群組的準則

DN 會自動加入群組中,不必在群組中逐一增加。群組會動態變更,因為每次 ACL 驗證需要群組查詢時,Proxy Server 就會執行 LDAP 伺服器搜尋。ACL 檔案中使用的使用者和群組名稱,與 LDAP 資料庫中物件的 cn 屬性相對應。

備註 –

Proxy Server 使用 cn 屬性作為 ACL 的群組名稱。

從 ACL 至 LDAP 資料庫的對映在 dbswitch.conf 檔案 (它將 ACL 資料庫名稱與實際 LDAP 資料庫 URL 關聯起來) 和 ACL 檔案 (它定義資料庫與 ACL 的對應關係) 中均有定義。例如,如果您想要讓名為 staff 的群組中的成員身分具有基本存取權限,ACL 程式碼會查找物件類別為 groupOfanything 且 CN 設定為 staff 的物件。此物件可以明確列舉成員 DN (如同靜態群組的 groupOfUniqueNames 一樣) 或指定 LDAP URL (例如,groupOfURLs) 來定義群組的成員。

備註 –

群組可以是靜態群組和動態群組。群組物件可以同時有 objectclass=groupOfUniqueMembersobjectclass=groupOfURLs。因此,uniqueMembermemberURL 屬性兩者皆有效。群組的成員身分是靜態和動態成員的併集。

動態群組對伺服器效能的影響

使用動態群組會影響伺服器效能。如果您正在測試群組成員身分,且 DN 不是靜態群組的成員,則 Proxy Server 會檢查資料庫基底 DN 中的所有動態群組。Proxy Server 會比對使用者的 DN 來檢查基底 DN 和範圍,以判斷每個 memberURL 是否相符。接著,Proxy Server 會以使用者 DN 做為基底 DN 和 memberURL 的篩選器來執行基本搜尋。此程序可能需要大量的個別搜尋。

建立動態群組的準則

使用 [Administration Server] 介面來建立新的動態群組時,請考慮下列準則:

attributesscope(filter) 參數在 URL 中的位置,可作為識別這些參數的依據。即使您不要指定任何屬性,您仍然必須加上問號 (?) 來分隔此欄位。

如需有關編輯群組的更多資訊,請參閱編輯群組項目

下表列出 LDAP URL 的必要參數。

表 4–4 LDAP URL 的必要參數

參數名稱 

說明 

base_dn

搜尋庫的 DN,或 LDAP 目錄中所有搜尋的執行起點。此參數經常設定為目錄的後綴或根,例如 o=mcom.com

attributes

搜尋將傳回的屬性清單。若要指定多個屬性,請使用逗號來分隔屬性 (例如,cn,mail,telephoneNumber )。如果未指定屬性,則會傳回所有屬性。檢查動態群組成員身分時會忽略此參數。

scope

此參數是必需的。 

搜尋的範圍,可以是下列值之一: 

  • base 只針對 URL 中指定的辨別名稱 (base_dn) 來擷取相關資訊。

  • one 針對 URL 中指定的辨別名稱 (base_dn ) 的下一層級項目來擷取相關資訊。此範圍不包括基準項目。

  • sub 針對 URL 中指定的辨別名稱 (base_dn ) 之下的所有層級項目來擷取相關資訊。此範圍包括基準項目。

(filter)

此參數是必需的。 

對指定搜尋範圍內的項目所套用的搜尋篩選器。如果您使用 [Administration Server] 介面,則必須指定此屬性。括弧是必要的。 

建立動態群組

Procedure建立動態群組

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Create Group] 連結。

  3. 從 [Type of Group] 下拉式清單中選取 [Dynamic Group],然後按一下 [Go]。

  4. 在 [Create Group] 頁面上提供資訊。

    如需有關特定欄位的更多資訊,請參閱線上說明。

  5. 按一下 [Create] 以建立群組,或按一下 [Create and Edit] 以建立群組,並顯示剛建立之群組的編輯頁面。

管理群組

對於 LDAP 服務,Administration Server 可讓您在 [Administration Server Users and Groups] 標籤的 [Manage Groups] 頁面上編輯群組及管理群組成員身分。

本小節描述了下列工作:

尋找群組項目

您必須先找到並顯示群組項目,才能編輯此項目,如下列程序所述。

Procedure尋找群組項目

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Manage Groups] 連結。

  3. 在 [Find Group] 欄位中鍵入您要尋找的群組名稱。

    您可以提供下列任何值:

    • 使用星號 (*) 可以查看當前您目錄中的所有群組。將此欄位保留空白也可達到相同的結果。

    • 任何 LDAP 搜尋篩選器。包含等號 (=) 的任何字串均被視為搜尋篩選器。

      或者,也可以使用 [Find All Groups Whose] 區段來建立自訂搜尋篩選器及縮小搜尋結果範圍。如需更多資訊,請參閱Find All Groups Whose

    • 名稱。提供全名或部分名稱。將傳回所有完全符合該搜尋字串的項目。如果未找到這樣的項目,則將傳回所有包含該搜尋字串的項目。如果未找到包含搜尋字串的項目,則將尋找發音類似搜尋字串的所有項目。

  4. 在 [Look Within] 欄位中,選取您要在哪個組織單位下搜尋項目。

    預設為目錄的根位置 (最上面的項目)。

  5. 在 [Format] 欄位中,指定要將輸出格式化以顯示於螢幕,還是列印至印表機。

  6. 若要在此程序的任何階段顯示符合條件的所有群組,請按一下 [Find] 按鈕。

  7. 按一下您要顯示的項目的連結。

Find All Groups Whose

對於 LDAP 服務,[Find All Groups Whose] 區段可讓您建立自訂搜尋篩選器。請使用此區段中的欄位來縮小 [Find Group] 所傳回的搜尋結果範圍。

左側的下拉式清單可以指定搜尋所依據的屬性。下列為可用的選項:

中央的下拉式清單會指定要執行的搜尋類型。下列為可用的選項:

在右側的文字欄位中,輸入搜尋字串。若要顯示 [Look Within] 目錄中包含的所有群組項目,請輸入星號 (*) 或保留此欄位為空白。

編輯群組項目

Procedure編輯群組項目

下列程序僅適用於 LDAP 服務。

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Manage Groups] 連結。

  3. 找出您要編輯的群組,如尋找群組項目中所述。

  4. 依需要變更。

    如需有關特定欄位及按鈕的更多資訊,請參閱線上說明。

    備註 –

    您可能想要變更群組編輯頁面未顯示的屬性值。在這種情況下,請使用目錄伺服器 ldapmodify 指令行公用程式 (如果可用)。

增加群組成員

Procedure將成員增加至群組

下列程序僅適用於 LDAP 服務。

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Manage Groups] 連結。

  3. 找出並顯示您要管理的群組,如尋找群組項目中所述,然後按一下 [Group Members] 旁邊的 [Edit] 按鈕。

    顯示的頁面上會列出所有現有的群組成員。也會顯示搜尋欄位。

    • 若要將使用者項目增加至成員清單中,必須在 [Find] 下拉式清單中選取 [Users]。

    • 若要將群組項目增加至群組中,則必須選取 [Groups]。

  4. 在 [Matching] 文字欄位中,輸入搜尋字串。提供下列任一選項的資訊:

    • 名稱。輸入全名或部分名稱。將傳回名稱符合搜尋字串的所有項目。如果未找到這樣的項目,則將傳回所有包含該搜尋字串的項目。如果未找到包含搜尋字串的項目,則將尋找發音類似搜尋字串的所有項目。

    • 使用者 ID。如果只輸入部分使用者 ID,則會傳回包含此字串的所有項目。

    • 電話號碼。如果您僅輸入部分號碼,則將傳回包含以搜尋字串結尾的電話號碼的所有項目。

    • 電子郵件地址。任何包含 at 符號 (@) 的搜尋字串皆會視為電子郵件地址。如果找不到完全相符項目,則會尋找以搜尋字串開頭的所有電子郵件地址。

    • 在此欄位中輸入星號 (*) 或保留為空白,可以查看當前您目錄中的所有項目或群組。

    • 任意 LDAP 搜尋篩選器。包含等號 (=) 的任何字串均被視為搜尋篩選器。

  5. 按一下 [Add],尋找 LDAP 資料庫中所有的相符項目,並將其增加至群組。

  6. (可選) 如果搜尋傳回任何您不想增加至群組中的項目,請在 [Remove From List] 欄中按一下對應的核取方塊。您也可以建構搜尋篩選器來比對您要從群組中移除的項目,然後按一下 [Remove]。如需更多資訊,請參閱從群組成員清單中移除項目

  7. 完成群組成員清單後,請按一下 [Save Changes]。項目即會增加至群組成員清單中。

將群組增加至群組成員清單

對於 LDAP 服務,您可以在群組的成員清單中增加群組,而不是增加個別的成員。如此一來,屬於已包括之群組的所有使用者,都會成為接收群組的成員。例如,如果 Neil Armstrong 是「Engineering Managers」群組的成員,而您使「Engineering Managers」群組成為「Engineering Personnel」群組的成員,則 Neil Armstrong 也是「Engineering Personnel」群組的成員。

若要將群組增加至另一群組的成員清單,請像增加使用者項目一樣增加群組。如需更多資訊,請參閱增加群組成員

從群組成員清單中移除項目

此程序僅適用於 LDAP 服務。

Procedure從群組成員清單中移除項目

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Manage Groups] 連結。

  3. 找出您要管理的群組。

    如需更多資訊,請參閱尋找群組項目。並按一下 [Group Members] 旁邊的 [Edit] 按鈕。

  4. 指出您要移除的成員。

    • 若只要移除少數成員,請在 [ Remove From List] 欄中按一下對應的核取方塊。

    • 若要根據一般條件來移除成員,請建構搜尋篩選器來比對您要從群組中移除的項目,然後按一下 [Remove]。

    如需有關建立搜尋篩選器的更多資訊,請參閱增加群組成員

  5. 按一下 [Save Changes]。

    項目會從群組成員清單中刪除。

管理所有者

對於 LDAP 服務,群組所有者清單的管理方法與群組成員清單相同。

下表列出本指南中提供更多資訊的主題。

表 4–5 管理所有者

主題 

請參閱 

將所有者增加至群組 

增加群組成員

將群組增加至所有者清單 

將群組增加至群組成員清單

從所有者清單移除項目 

從群組成員清單中移除項目

管理「另請參閱」

「另請參閱」是與目前的群組可能有關的其他目錄項目的參照。這些參照可讓使用者輕鬆找到與目前群組相關的使用者或其他群組的項目。管理「另請參閱」的方法與管理群組成員清單一樣。

下表列出本指南中提供更多資訊的主題。

表 4–6 管理「另請參閱」

主題 

請參閱 

將使用者增加至「另請參閱」 

增加群組成員

將群組增加至「另請參閱」 

將群組增加至群組成員清單

從「另請參閱」中移除項目 

從群組成員清單中移除項目

重新命名群組

此程序僅適用於 LDAP 服務。重新命名群組項目時,只會變更群組的名稱。「重新命名群組」功能無法將項目從一個組織單元移至另一個組織單元。例如,一個企業可能具有下列組織:

在此範例中,您可以將群組從 Online Sales 重新命名為 Internet Investments,但您不能如此重新命名:將 Marketing 組織單元下的 Online Sales 重新命名為 Product Management 組織單元下的 Online Sales。

Procedure重新命名群組

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Manage Groups] 連結,找到您要管理的群組,如尋找群組項目中所述。

  3. 按一下 [Rename Group] 按鈕。

  4. 在顯示的頁面上指定新的群組名稱,然後按一下 [Save Changes]。

移除群組

此程序僅適用於 LDAP 服務。

Procedure移除群組

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Manage Groups] 連結。

  3. 找出您要管理的群組,如尋找群組項目中所述,然後按一下 [Delete Group]。

    備註 –

    群組中個別的成員不會被移除。只會移除群組項目。

建立組織單元

對於 LDAP 服務,一個組織單元可以包括許多群組,且通常可以代表分部、部門或其他獨立的實體。DN 可以存在於多個組織單元中。

Procedure建立組織單元

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Create Organizational Unit] 連結。

  3. 輸入資訊,然後按一下 [Create]。

    如需有關特定欄位的更多資訊,請參閱線上說明。

    例如,如果您在 West Coast 組織單元內建立一個稱為 Accounting 的新組織,且您的基底 DN 為 o=Ace Industry, c=US,則新組織單元的 DN 為:

    ou=Accounting,ou=West Coast,o=Ace Industry,c=US

管理組織單元

對於 LDAP 服務,可以從 [Administration Server Users and Groups] 標籤的 [Manage Organizational Units] 頁面中編輯和管理組織單元。

本小節包含以下主題:

尋找組織單元

此程序僅適用於 LDAP 服務。

Procedure尋找組織單元

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Manage Organizational Units] 連結。

  3. 在 [Find Organizational Unit] 欄位中輸入您要尋找的單元的名稱。

    您可以輸入下列任何值:

    • 名稱。輸入全名或部分名稱。將傳回所有完全符合該搜尋字串的項目。如果未找到這樣的項目,則將傳回所有包含該搜尋字串的項目。如果未找到包含搜尋字串的項目,則將尋找發音類似搜尋字串的所有項目。

    • 使用星號 (*) 可以查看當前您目錄中的所有群組。將此欄位保留空白也可達到相同的結果。

    • 任意 LDAP 搜尋篩選器。包含等號 (=) 的任何字串均被視為搜尋篩選器。

      或者,您也可以使用 [Find All Units Whose] 區段中的下拉式功能表來縮小搜尋結果範圍。如需更多資訊,請參閱Find All Units Whose

  4. 在 [Look Within] 欄位中,選取您要在哪個組織單位下搜尋項目。

    預設為目錄的根位置 (最上面的項目)。

  5. 在 [Format] 欄位中,指定要將輸出格式化以顯示於螢幕,還是列印至印表機。

  6. 在此過程中的任何階段,皆可按一下 [Find] 按鈕。

    螢幕上會顯示符合搜尋條件的所有組織單元。

  7. 按一下您要顯示的項目的連結。

Find All Units Whose

對於 LDAP 服務,[Find All Units Whose] 區段可讓您建立自訂搜尋篩選器。請使用此區段中的欄位來縮小 [Find Organizational Unit] 所傳回的搜尋結果範圍。

左側的下拉式清單可以指定搜尋所依據的屬性。下列為可用的選項:

中央的下拉式清單會指定要執行的搜尋類型。下列為可用的選項:

在右側的文字欄位中,輸入搜尋字串。若要顯示 [Look Within] 目錄中包含的所有組織單元項目,請輸入星號 (*) 或保留此欄位為空白。

編輯組織單元屬性

此程序僅適用於 LDAP 服務。

Procedure編輯組織單元項目

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Manage Organizational Units] 連結。

  3. 找出您要編輯的組織單元,如尋找組織單元中所述。

  4. 依需要變更。

    如需有關特定欄位的更多資訊,請參閱線上說明。

    備註 –

    若要變更在組織單元編輯頁面中未顯示的屬性值,請使用目錄伺服器 ldapmodify 指令行公用程式 (如果可用)。

重新命名組織單元

此程序僅適用於 LDAP 服務。重新命名組織單元項目只會變更組織單元的名稱。無法使用重新命名功能將項目從一個組織單元移至另一個組織單元。

Procedure重新命名組織單元

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Manage Organizational Units] 連結。

  3. 找出您要編輯的組織單元,如尋找組織單元中所述。

  4. 按一下 [Rename] 按鈕。

  5. 在顯示的頁面上鍵入新的組織單元名稱,然後按一下 [Save Changes]。

移除組織單元

此程序僅適用於 LDAP 服務。

Procedure刪除組織單元

  1. 存取 Administration Server,然後按一下 [Users and Groups] 標籤。

  2. 按一下 [Manage Organizational Units] 連結。

  3. 找出您要刪除的組織單元,如尋找組織單元中所述。

  4. 按一下 [Delete] 按鈕,然後在出現的確認方塊中按一下 [OK]。