第 4 章管理 Instant Messaging 與線上狀態策略

Sun™ ONE Instant Messaging 伺服器提供不同用處的功能，例如聊天、會議、輪詢、線上狀態存取等等。一種策略說明與這些功能相關的存取控制權限集。一般使用者與群組可以根據組織需要依序指派至策略中。

本章說明如何定義與使用策略，以管理一般使用者與管理員必須存取的 Sun ONE Instant Messaging 伺服器功能與權限：

控制一般使用者與管理員權限的方法

不同站台使用 Sun ONE Instant Messaging 伺服器在啟用與限制存取一般使用者類型有不同的需求，必須使用 Instant Messaging 服務。控制一般使用者與管理員 Sun ONE Instant Messaging 伺服器功能與權限的程序被稱為策略管理。有兩種可用的策略管理方法：透過控制檔案或透過 Sun™ ONE Identity Server。

使用存取控制檔案管理策略的介紹

管理策略的存取控制檔案方法可讓您在以下區域調整一般使用者權限：新聞頻道管理、會議室管理，變更「使用者設定」對話喜好設定的功能，與傳送警示的功能。也允許特定一般使用者被指派為系統管理員。

使用 Sun ONE Identity Server 管理政策的介紹

藉由 Sun ONE Identity Server 管理策略可以讓您控制可用於存取控制檔案方法的相同權限，然而，也允許更多微調的不同功能，例如：接收警示、傳送輪詢、接收輪詢的功能等等。對於完成清單而言，請參閱表 4-4 表格。此外，使用 Sun ONE Identity Server 管理可讓您微調權限。

有兩種策略類型：Instant Messaging 策略與線上狀態策略。Instant Messaging 策略管理一般 Instant Messaging 功能，例如傳送或接收警示的功能；管理公用會議與新聞頻道的功能；以及傳送檔案的功能。線上狀態策略管理控制一般使用者變更線上狀態，並允許與避免其他人看見其線上或線上狀態資訊。

管理策略：使用方法

選擇使用何種管理策略方法時，也需要選擇儲存的地方。選取管理策略的方法是編輯 iim.conf 檔案並將 iim.policy.modules 參數設定為 identity (Sun ONE Identity Server 方法) 或設定為 iim_ldap (存取控制檔案方法)，此方法亦為預設方法。

若您將使用只有 LDAP 的部署 - 因此您將不會使用 Sun ONE Identity Server - 您必須使用存取控制檔案方法。若您將 Sun ONE Instant Messaging 伺服器與 Sun ONE Identity Server 搭配使用，而且已經安裝 Instant Messaging 與「線上狀態」服務元件，您就可以使用策略管理方法。請注意，使用 Sun ONE Identity Server 的管理策略是一個更廣泛的方法。這個方法的其中一項優點是允許您儲存目錄中所有一般使用者的資訊。

策略配置參數

表 4-1 列出與說明可用於 iim.conf 檔案 (該檔案與可扮演於 Instant Messaging 部署中的Sun ONE Identity Server 已增加角色相關) 的新參數：

表 4-1 與 iim.conf 檔案中 Identity Server 相關的新參數
參數名稱	用法	值
iim.policy.modules	指明 Identity Server 是否用於策略存儲	iim_ldap (預設) identity
iim.userprops.store	指明使用者屬性位於使用者屬性檔還是來自 LDAP	file (預設) ladp


備註	當安裝「線上狀態」的服務定義與 Instant Messaging 服務時，目前 iim.userprops.store 參數是唯一有意義的。

使用存取控制檔案管理策略

依預設，會提供一般使用者存取其他一般使用者線上狀態、傳送警示給一般使用者，與儲存屬性至伺服器的權限。在多數的部署中，不需要變更預設值。


備註	儘管某些權限可以全域設定，管理員也可以定義這些權限的例外。例如，管理員可以拒絕某些預設權限以選取一般使用者或群組。

表 4-2 列出 Sun ONE Instant Messaging 的全域存取控制檔案與這些檔案提供給一般使用者的權限。

存取控制檔案格式

存取控制檔案包含一系列定義權限的項目。每個項目以下列標籤開始：

表 4-2 存取控制檔案
ACL 檔案	權限
sysSaveUserSettings.acl	定義可以與不可以變更其本身喜好設定的使用者。
sysTopicsAdd.acl	定義可以與不可以建立新聞頻道的使用者。
sysRoomsAdd.acl	定義可以與不可以建立會議室的使用者。
sysSendAlerts.acl	定義可以與不可以傳送警示的使用者。
sysWatch.acl	定義誰可以與不可以看到其他一般使用者的變更。不會為沒有這個權限的一般使用者顯示 Sun ONE Instant Messenger 視窗。
sysAdmin.acl	僅為管理員保留。這個檔案會設定管理權限為所有一般使用者的所有 Sun ONE Instant Messaging 功能。這個權限會覆寫所有其他權限，並給管理員「管理」存取所有會議室、新聞頻道與一般使用者線上狀態資訊、設定與屬性的權限。


備註	d: 標籤必須為存取控制檔案的最後項目。伺服器會忽略所有 d: 標籤之後的項目。若 d: 標籤為 true，則忽略所有其他行。您不可以設定存取控制檔案中的 d:tag 為 true，並選擇性的拒絕一般使用者使用該權限。

這個標籤後面跟隨一個冒號 (:)。如果是預設標籤，則後面會跟隨 true 或 false。

指定多個一般使用者與群組的方法是讓多個一般使用者 (u) 與群組 (g) 在行中。

若預設值設定為 true，則所有檔案中的項目會作為備用。若預設值設定為 false，則只有指定於該檔案中的一般使用者與群組會擁有特定權限。

存取控制檔案範例


備註	所有存取控制檔案的格式與存在可能會在將來產品版本中變更。

本節說明顯示設定權限的範例存取檔案，sysTopicsAdd.acl 檔案。若要取得關於會議室與新聞頻道中的存取控制檔案的相關資訊 (因此是 roomname.acl 與 newschannel.acl)，請參閱「會議室和新聞頻道存取控制」。

sysTopicsAdd.acl 檔案

在以下實例中，sysTopicsAdd.acl 檔案的預設 d: 標籤項目為 false。如此，「新增」與「刪除」新聞頻道權限可用於出現於預設之前的一般使用者與權限，即 user1、user2 與 sales 群組。

變更一般使用者權限

使用 Sun ONE Identity Server 管理策略

Instant Messaging 與 Sun ONE Identity Server 的線上狀態服務提供其他控制一般使用者與管理員權限的方法。每個服務擁有三種屬性類型：動態、使用者與策略。策略屬性是用於設定權限的屬性類型。

當新增規則至建立於 Identity Server 的策略時，策略屬性成為規則的一部份，以允許或拒絕管理員與一般使用者使用不同的 Instant Messaging 功能，例如從其他人接收輪詢訊息。

當 Sun ONE Instant Messaging 伺服器安裝 Sun ONE Identity Server 時，會建立數個範例策略與角色。請參閱Sun ONE Identity Server Getting Started Guide 與Sun ONE Identity Server Administration Guide 以取得有關策略與角色的相關資訊。

此外，若範例策略不足夠，您可以依需要建立新策略與指派那些策略為角色、群組、組織或一般使用者以符合站台需求。

當 Instant Messaging 服務或「線上狀態」服務被指派至一般使用者，他們會接收到適用的動態與使用者屬性。動態屬性可以指定至 Sun ONE Identity Server 已配置的角色或組織。

當角色被指派至一般使用者或於組織中建立一般使用者時，動態屬性則會變為一般使用者的特性。這些使用者屬性直接指定至每位一般使用者。它們不是繼承自角色或組織，且一般而言對於每個一般使用者都不同。

當一般使用者登入時，將根據指派至其的角色與如何套用策略以取得適用的所有屬性。

在指派「線上狀態」與 Instant Messaging 服務至那些一般使用者之後，動態、使用者或策略屬性會與一般使用者相關。

Instant Messaging 服務屬性

表 4-3 Sun ONE Instant Messaging 的 Sun ONE Identity Server 屬性
服務	策略屬性	動態屬性	使用者屬性
sunIM	sunIMAllowChat sunIMAllowChatInvite sunIMAllowForumAccess sunIMAllowForumManage sunIMAllowForumModerate sunIMAllowAlertsAccess sunIMAllowAlertsSend sunIMAllowNewsAccess sunIMAllowNewsManage sunIMAllowFileTransfer sunIMAllowContactListManage sunIMAllowUserSettings sunIMAllowPollingAccess sunIMAllowPollingSend	sunIMProperties sunIMRoster sunIMConferenceRoster sunIMNewsRoster	sunIMUserProperties sunIMUserRoster sunIMUserConferenceRoster sunIMUserNewsRoster
sunPresence	sunPresenceAllowAccess sunPresenceAllowPublish sunPresenceAllowManage	sunPresenceDefaultAcess sunPresenceAccessDenied sunPresenceAccessPermitted sunPresenceDevices	sunPresenceEntityDefaultAccess sunPresenceEntityAccessDenied sunPresenceEntityAccessPermitted sunPresenceEntityDevices

對於每個前述表格中的每個屬性，對應的標籤會出現於 Identity Server 管理主控台中。以下兩個表格會列出每個屬性與其對應標籤與簡短說明。表 4-4 會列出與說明策略屬性，表 4-5 會列出與說明動態與使用者屬性。

表 4-4 Identity Server 策略屬性 Instant Messaging
策略屬性	管理主控台標籤	屬性說明
sunIMAllowChat	聊天的功能	一般使用者可以被邀請加入聊天室並存取一般聊天功能
sunIMAllowChatInvite	邀請其他人聊天的功能	一般使用者可以邀請其他人聊天
sunIMAllowForumAccess	加入會議室的功能	會議標籤會顯示於 Sun ONE Instant Messenger 中，以允許一般使用者加入會議室
sunIMAllowForumManage	管理會議室的功能	一般使用者可以建立、刪除與管理會議室
sunIMAllowForumModerate	主持會議室的功能	一般使用者可以是會議主持人
sunIMAllowAlertsAccess	接收警示的功能	一般使用者可以從其他人接收警示
sunIMAllowAlertsSend	傳送警示的功能	一般使用者可以傳送警示給其他人
sunIMAllowNewsAccess	讀取新聞的功能	「新聞」按鈕會顯示於 Sun ONE Instant Messenger，可以讓一般使用者列出新聞頻道以接收與傳送新聞訊息
sunIMAllowNewsManage	管理新聞頻道的功能	一般使用者可以管理新聞頻道並建立、刪除與指派權限給新聞頻道
sunIMAllowFileTransfer	交換檔案的功能	一般使用者可以在警示、聊天與新聞訊息中新增附件
sunIMAllowContactListManage	管理某人聯絡人清單的功能	一般使用者可以管理自己的聯絡人清單；他們可以從清單新增與刪除使用者與群組；他們可以在聯絡人清單中重新命名資料夾
sunIMAllowUserSettings	管理 Messenger 的功能	「設定」按鈕會顯示於 Sun ONE Instant Messenger，其可讓一般使用者變更自己的 Sun ONE Instant Messenger 設定
sunIMAllowPollingAccess	接收輪詢的功能	一般使用者可以從其他人接收輪詢訊息，也可以回應輪詢
sunIMAllowPollingSend	傳送輪詢的功能	「輪詢」按鈕顯示於 Sun ONE Instant Messenger，其可讓一般使用者傳送輪詢訊息給其他人並接收回應
sunPresenceAllowAccess	存取其他「線上狀態」的功能	一般使用者可以查看其他人的線上狀態。除了顯示聯絡人以外，聯絡人清單還可透過變更狀態圖示來反映聯絡人的線上狀態變更
sunPresenceAllowPublish	發佈線上狀態的功能	一般使用者可以按一下以選取其狀態 (線上、離線、忙碌等等) 以供其他人查看
sunPresenceAllowManage	管理線上狀態存取的功能	「存取」標籤會顯示於 Sun ONE Instant Messenger 設定中；一般使用者可以設定自己的預設線上狀態存取、線上狀態允許或線上狀態拒絕清單

直接修改屬性

一般使用者可以登入 Sun ONE Identity Server 管理主控台，並檢視 Instant Messaging 中的屬性值與線上狀態服務屬性。若屬性已定義為可修改，則一般使用者可以警示該屬性。然而根據預設值，在 Instant Messaging 服務中沒有屬性是可修改的，也不建議允許一般使用者將其修改。然而，從系統管理的標準點，直接操控屬性是相當有用的。

例如，因為角色不會影響某些系統屬性，例如設定會議訂閱、系統管理員可能會希望修改這些屬性值，方法是從其他一般使用者將之複製 (例如從會議值勤人) 或直接將之修改。這些屬性會列於表 4-5 中。

參照表格表 4-5，使用者屬性可以由一般使用者經由 Sun ONE Identity Server 管理主控台設定。動態屬性由管理員設定。為動態屬性設定的值會覆寫或合併對應的使用者屬性值。

對應動態本質與使用者屬性會影響解決衝突與補充資訊的方式。例如，兩個資源的「會議訂閱」(動態與使用者) 會互相補充，因此訂閱會被合併。屬性不會互相覆寫。

表 4-5 Instant Messaging 的 Identity Server 使用者與動態屬性
管理主控台標籤	使用者屬性	動態屬性	屬性說明	衝突解決方案
Messenger 設定	sunIMUser Properties	sunIMProperties	包含所有 Sun ONE Instant Messenger 屬性並對應至以檔案為基礎的使用者屬性儲存中的 user.properties 檔案	合併 - 然而若特定的屬性擁有同時來自使用者與動態屬性的值，則動態屬性會覆寫
訂閱	sunIMUserRoster	sunIMRoster	包含訂閱資訊 (尚未使用)	採用動態資訊
會議訂閱	sunIMUser ConferenceRoster	sunIMConference Roster	包含會議室訂閱資訊	合併-動態訂閱與使用者訂閱將會合併
新聞頻道訂閱	sunIMNewsRoster	sunIMUserNews Roster	包含新聞頻道訂閱資訊	合併-動態訂閱與使用者訂閱將會合併
預設線上狀態能見度	sunPresenceEntity DefaultAccess	sunPresenceDefaultAccess	對應 Sun ONE Instant Messenger 中的存取設定。若核取此選項，每個人均可以檢視線上狀態。而如果沒有核取，則沒有人可以檢視線上狀態	採用動態資訊
線上狀態拒絕清單	sunPresenceEntity AccessDenied	sunPresenceAccess Denied	若核取 (由每個人檢視) 管理主控台中的預設線上狀態能見度標籤 (請參閱前述的表格項目)，一般使用者可以將其他人輸入至此清單以拒絕其存取線上狀態	採用動態資訊
線上狀態允許清單	sunPresenceEntity AccessPermitted	sunPresenceAccess Permitted	若未核取 (沒有人檢視) 管理主控台中的預設線上狀態能見度標籤 (請參閱前述的兩個表格項目)，一般使用者可以將其他人輸入至此清單以允許其存取線上狀態	採用動態資訊
線上狀態代理	sunPresenceEntity Devices	sunPresenceDevices	未用於這個版本 (供將來使用)	採用動態資訊

預定義的 Instant Messaging 範例與線上狀態策略

當安裝 Instant Messaging 服務元件時，表 4-6 會列出並說明建立於 Sun ONE Identity Server 的七個範例策略與角色。您可以根據要給予其的存取控制，新增一般使用者至不同角色。

典型站台可能希望將角色 IM 一般使用者 (接收預設 Instant Messaging 與線上狀態存取) 指派為只使用 Instant Messenger 的一般使用者，但不負責管理 Instant Messaging 策略。相同站台可能將 IM 管理員角色 (與具備管理 Instant Messaging 和線上狀態服務能力有關的角色) 指派為含有完全管理 Instant Messaging 策略責任的特定一般使用者。表 4-7 列出策略屬性中的權限預設指派。若未在規則中選擇動作，則允許與拒絕值與策略無關且不會影響該屬性。

表 4-6 Identity Sever 的預設策略與角色
策略	適用策略的角色	適用策略的服務	策略說明
預設 Instant Messaging 與線上狀態存取	IM 一般使用者	sunIM，sunPresence	正常的 Instant Messaging 一般使用者應擁有的預設存取。
管理 Instant Messaging 與線上狀態服務的功能	IM 管理員	sunIM，sunPresence	Instant Messaging 管理員擁有的存取權限，該權限可以存取所有 Instant Messaging 功能。
管理 Instant Messaging 新聞頻道的功能	IM 新聞管理員	sunIM	一般使用者可以藉由建立、刪除等方法管理新聞頻道
管理 Instant Messaging 會議室的功能	IM 會議室管理員	sunIM	一般使用者可以藉由建立、刪除等方法管理會議室
變更本身 Instant Messaging 使用者設定的功能	IM 允許使用者設定角色	sunIM	一般使用者可以藉由按一下 Sun ONE Instant Messenger 中的「設定」按鈕編輯設定。
傳送 Instant Messaging 警示的功能	IM 允許傳送警示角色	sunIM	一般使用者可以在 Sun ONE Instant Messenger 中傳送警示。
查看其他 Instant Messaging 一般使用者變更的功能	IM 允許查看變更角色	sunIM	一般使用者可以存取其他 Instant Messaging 一般使用者的線上狀態。

表 4-7 預設策略的指派
	策略
屬性	預設 Instant Messaging 與線上狀態存取	管理員 Instant Messaging 與線上狀態服務的功能	管理 Instant Messaging 新聞頻道的功能	管理 Instant Messaging 會議室的功能	變更本身 Instant Messaging 一般使用者設定的功能	傳送 Instant Messaging 警示的功能	查看其他 Instant Messaging 一般使用者變更的功能
sunIMAllowChat	允許	允許
sunIMAllowChatInvite	允許	允許
sunIMAllowForumAccess	允許	允許		允許
sunIMAllowForumManage	拒絕	允許		允許
sunIMAllowForumModerate	拒絕	允許		允許
sunIMAllowAlertsAccess	允許	允許				允許
sunIMAllowAlertsSend	允許	允許				允許
sunIMAllowNewsAccess	允許	允許	允許
sunIMAllowNewsManage	拒絕	允許	允許
sunIMAllowFileTransfer	允許	允許
sunIMAllowContactListManage	允許	允許
sunIMAllowUserSettings	允許	允許			允許
sunIMAllowPollingAccess	允許	允許
sunIMAllowPollingSend	允許	允許
sunPresenceAllowManage	允許	允許
sunPresenceAllowAccess	允許	允許					允許
sunPresenceAllowPublish	允許	允許

建立新 Instant Messaging 策略

若要建立新策略

登入 Sun ONE Identity Server 管理主控台，網址為 http://hostname:port/amconsole，例如 http://imserver.company22.example.com:80/amconsole

在選取「識別管理」標籤的情況下，選取導覽窗格 (左下框架) 中「檢視」下拉清單的「策略」。

按一下「新增」以顯示資料窗格中的「新策略」頁面 (右下窗格)。

選取策略類型為「一般」。

在「名稱」欄位中輸入策略說明，例如「執行 IM 任務的功能」。

按一下「建立」使新策略名稱出現在瀏覽窗格的策略清單中，並使資料窗格中的頁面變更為新策略的「編輯」頁面。

在「編輯」頁面中，在「檢視」下拉清單中選取「規則」以顯示「編輯」頁面中的「規則名稱服務資源」窗格。

按一下「新增」以顯示「新增規則」頁面。

選取適用的「服務」，可以是 Instant Messaging 服務或線上狀態服務。

每個服務可以讓您允許或拒絕一般使用者執行特定動作的能力。例如，當存取其他線上狀態功能的動作指定於線上狀態服務時，聊天功能是一個 Instant Messaging 服務特定的動作。

在「規則名稱」欄位中輸入規則說明，例如規則 1。

輸入適當的「資源名稱」(IMResource 或 PresenceResource)：

Instant Messaging 服務的 IMResource

線上狀態服務的 PresenceResource

請選取您要套用的動作。

選取每個動作的值：允許或拒絕。

按一下「建立」以在該策略已儲存規則的清單中顯示這個提議的規則。

按一下「儲存」以使這個提議的規則成為已儲存的規則。

在您要套用至該策略任何其他規則中重複步驟 8-15。對於每個新規則，按一下「儲存」將變更儲存至策略。

將策略指派至角色、組織或使用者

您可以指派策略 - Instant Messaging 的預設策略或 Instant Messaging 策略，其可能已在安裝 Instant Messaging 之後建立 - 至角色、群組、組織或使用者。

若要指派策略

登入 Sun ONE Identity Server 管理主控台，網址為 http://hostname:port/amconsole，例如 http://imserver.company22.example.com:80/amconsole

在選取「識別管理」標籤的情況下，選取導覽窗格 (左下框架) 中「檢視」下拉清單的「策略」。

按一下您要指派的策略名稱旁的箭頭，以顯示資訊窗格 (右下框架) 中該策略的「編輯」頁面。

在「編輯」頁中，選取「檢視」下拉式清單中的「主旨」。

按一下「新增」以顯示「新增主旨」頁面，其列出可能的主旨類型：

Identity Server 角色

LDAP 群組

LDAP 角色

LDAP 使用者

組織

選取符合策略的主旨類型，例如「組織」。

按一下「下一步」

在「名稱」欄位中，輸入主旨說明。

若需要，請選取「專用」核取方塊。

「專用」核取方塊不會被選取為預設設定，這意味著策略適用於所有主旨成員。

選取適用於不是主旨成員的每個人的策略「專用」核取方塊。

在「可用」欄位中，搜尋要新增至主旨的項目。

鍵入您要搜尋的項目搜尋。預設搜尋為 *，其顯示該主旨類型的所有主旨。

按一下「搜尋」。

反白顯示要新增至「已選取」文字方塊中「可用」文字方塊的項目。

按一下適用的「新增」或「新增全部」。

重複步驟 a-d 直到要新增至「已選取」文字方塊的全部名稱完成新增為止。

按一下「建立」以在該策略已儲存主旨的清單中顯示這個提議的主旨。

按一下「儲存」以使這個提議的主旨成為已儲存的主旨。

在您要新增至該策略任何其他的主旨中重複步驟 5-12。對於每個新主旨，按一下「儲存」將變更儲存至策略。

使用 Identity Server 建立新子組織

使用 Sun ONE Identity Server 建立子組織的能力可依組織分隔要在 Sun ONE Instant Messaging 伺服器中區分的總量。每個子組織可以被對映至不同的 DNS 網域。子組織中的一般使用者與其他子組織中的一般使用者是完全隔離的。以下說明建立新 Instant Messaging 子組織的最少步驟。

若要建立新子組織

登入 Sun ONE Identity Server 管理主控台，網址是 http://hostname:port/amconsole，例如 http://imserver.company22.example.com:80/amconsole

建立新組織：

在選取「識別管理」標籤的情況下，選取導覽窗格 (左下框架) 中「檢視」下拉清單的「組織」。

按一下「新增」以顯示資料窗格中的「新組織」頁面 (右下窗格)。

在適當的欄位輸入以下資料：

子組織名稱，例如 sub1

網域名稱，例如 sub1.company22.example.com

按一下「建立」。

新建立子組織的註冊服務。

按一下新子組織的名稱，例如 sub1，在瀏覽窗格中 (確認按下的是名稱，而非右側的屬性箭頭)。

在導覽窗格「檢視」下拉式清單中選取「服務」

按一下「註冊」以顯示資料窗格中的「註冊服務」頁面。

選取下列服務：

「認證」標題之下：

核心

LDAP

Instant Messaging 配置標題之下：

Instant Messaging 服務

線上狀態服務

按一下「註冊」以顯示瀏覽窗格中此子組織新選取的服務。

建立新選服務的服務範本：

在瀏覽窗格中，按一下服務 (從「核心」服務開始) 的屬性箭頭。

「建立服務範本」頁面出現在資料窗格中。

在資料窗格中按一下「建立」，如此會將已選取服務的範本選項頁面取代「建立服務範本」頁面。

即使您不希望修改範本選項，您還是應該在每個服務中按一下「建立」。

依如下所述修改每個服務的服務範本選項：

核心：一般而言，不需修改任何選項；請轉至步驟 d。

LDAP：在轉至步驟 d 之前，請執行以下動作：

將新子組織前置新增至啟動使用者搜尋的 DN 欄位。新增前置之後，最後 DN 應為此格式：

o=sub1,dc=company22,dc=example,dc=com

在 Root 使用者連結的密碼與 Root 使用者連結的密碼 (確認) 欄位中輸入 LDAP 密碼。

Instant Messaging 服務：一般而言，不需修改任何選項；請轉至步驟 d。

線上狀態服務：若要使其他人在預設狀況下可以使用一般使用者線上狀態資訊 (站台通常傾向選擇這個選項)，請在轉至步驟 d 之前選取動態預設線上狀態能見度核取方塊。

按一下「儲存」。

重複步驟 a 到 d 直到建立每個服務的服務範本。

新增一般使用者至新子組織

在需要指派角色的子組織中建立新一般使用者之後。可由父項組織繼承角色，如下節所述。

若要新增一般使用者至新子組織：

從 Sun ONE Instant Messaging 6.0 Server 的 Instant Messaging 服務移轉

非移轉選項

若站台使用已安裝 Sun ONE Identity Server 5.1 軟體的 Sun ONE Instant Messaging 6.0 伺服器，藉以部署 Instant Messaging 服務，則舊屬性會由 Sun ONE Instant Messaging 6.1 軟體所認可。Sun ONE Instant Messaging 6.0 伺服器的策略屬性，例如 sunIMAllowFileTransfer 與 sunIMEnableModerator 將會覆寫設定於 Sun ONE Instant Messaging 6.1 伺服器中的相同策略屬性。

移轉選項

然而，在處理兩個 Instant Messaging 服務中的相異之處時，偏好使用的方法是從用於 Sun ONE Instant Messaging 6.0 軟體的 Instant Messaging 服務中移轉，並修改或建立 Sun ONE Identity Server 策略，而此策略則使用 Sun ONE Instant Messaging 6.1 軟體的 Instant Messaging 服務與線上狀態服務。您在定義新策略時所使用對於站台提供存取控制的方式，應該與舊策略提供的站台存取方式相同。

例如，您可以在預設 Instant Messaging 與線上狀態存取策略中修改規則，以拒絕或允許每個策略屬性的狀態，讓策略示範在 Sun ONE Instant Messaging 6.0 伺服器中示範的相同動作，以使用之前表現的相同方法。

移轉存取控制檔案

若站台已使用較早的 Sun ONE Instant Messaging 伺服器 (6.0 或更早) 版本，但您未使用 Instant Messaging 服務 - 因此您尚未藉由透過 Sun ONE Identity Server 設定策略的方式設定一般使用者權限 - 但卻藉由編輯存取控制檔案設定一般使用者權限，您將有兩個方法可用來存取控制檔中複製策略集，並使用這個資訊以建立 Sun ONE Identity Server 策略：

手動移轉存取控制檔案資訊

自動移轉存取控制檔案資訊

自動移轉存取控制檔案資訊與手動轉移存取控制檔案資訊的不同之處在於，您可以藉由發佈指令來執行這個資訊的一次性移轉。

這個指令會從全域存取控制檔案轉移資訊至對應策略與其主旨。請參閱表格表 4-8 以取得全域存取控制檔案的清單與查看其對映的策略。

移轉 Sun ONE Instant Messenger 設定

表 4-8 其對映的存取控制檔案與策略
存取控制檔案	策略
sysSaveUserSettings.acl	變更本身 Instant Messaging 使用者設定的功能
sysTopicsAdd.acl	管理 Instant Messaging 新聞頻道的功能
sysRoomsAdd.acl	管理 Instant Messaging 會議室的功能
sysSendAlerts.acl	傳送 Instant Messaging 警示的功能
sysWatch.acl	查看其他 Instant Messaging 一般使用者變更的功能
sysAdmin.acl	管理員 Instant Messaging 與線上狀態服務的功能

對於 Sun ONE Instant Messaging 6.1 伺服器，當參數 iim.userprops.store 在 iim.conf 檔案中設定為 ldap，一般使用者的 Sun ONE Instant Messenger 設定會儲存於 sunIMUserProperties 使用者屬性。

若站台已使用較早版本的 Sun ONE Instant Messaging 伺服器且 Sun ONE Instant Messenger 設定已儲存於 user.properties 檔案中，在安裝 Sun ONE Instant Messaging 6.1 伺服器之後，就設定將在使用者登入時自動移轉至 sunIMUserProperties 使用者屬性，只要 iim.userprops.store 參數在 iim.conf 檔案中設定為 ldap。

當一般使用者第一次登入 Sun ONE Instant Messaging 6.1 伺服器，伺服器會檢查 sunIMUserProperties 使用者屬性是否存在，且是否儲存一般使用者的設定。若在該位置找不到一般使用者的設定，伺服器會檢查該一般使用者的 user.properties 檔案是否存在。若檔案存在，伺服器會將資訊從 user.properties 檔案轉移至 sunIMUserProperties 使用者屬性。然而，若 user.properties 檔案不存在，則預設 Sun ONE Instant Messenger 設定為一般使用者的 sunIMUserProperties 使用者屬性的指派值。