認可上限とは、アカウントが作業を行える機密ラベル範囲のうちの最上位ラベルを定義するものです。管理役割は、認可上限として ADMIN_HIGH
を持ちます。
アカウントの最下位機密ラベルとは、アカウントが作業を行える最も低いラベルのことです。管理役割は、最下位機密ラベルとして ADMIN_LOW
を持ちます。初めてログインしたとき、最初のワークスペースは最下位ラベルで起動します。
最初のワークスペースのラベルは以降のセッションで変更してもかまいません。 アカウントは次のような方法を使って、別のワークスペースが異なるラベルで起動するように指定できます。
(トラステッドパスメニューから「ワークスペースの機密ラベルを変更 (Change Workspace SL)」オプションを選択して) ワークスペースのラベルを変更し、次のうちの 1 つを行います。
「トラステッドデスクトップ (Trusted Desktop)」サブパネルの「デスクトップスタイル (Desktop Style)」ダイアログボックスを使って、次のうちのどちらかを行います。
「ホームセッションを設定 (Set Home Session)」オプションを使って、ワークスペースのラベルをホームセッションと同じ高いラベルに設定し、「ホームセッションに戻る (Return to Home Session)」を指定します。
「このセッションを再開 (Resume Current Session)」を指定し、現在のワークスペースのラベルが高いままログアウトします。
アカウントの持つ認可上限と最下位ラベルはどちらも、label_encodings(4) ファイル内の最上位機密ラベルよりも劣位でなければならず、かつ、そのユーザー認可範囲に定義されている最下位認可上限より優位でなければなりません。
アカウントの認可上限を決定すること。これは、label_encodings ファイルに定義されている最下位認可上限よりも優位であること。
このアカウントが作業することを許される最下位機密ラベルを決定すること。
「ラベル情報を指定または変更するには」、特に 手順 3、手順 4 を参照のこと。