「データ所有者」とは、データを最新の状態に維持する責任のある個人または組織のことです。データの設計時に、ディレクトリにデータを書き込めるユーザーを決めておきます。データの所有者を決めるには、一般に次の規則に従います。
ディレクトリの内容を管理する少人数のマネージャーグループを除くすべてのユーザーに対して、ディレクトリへの読み取り専用アクセスを許可する。
各ユーザーが自分自身に関する重要な情報を管理できるようにする。
このような情報には、ユーザーのパスワード、ユーザー自身についての説明的情報、組織内でのユーザーのロールなどがあります。
人に関する重要な情報 (連絡先情報や役職など) を上司が書き込めるようにする。
組織の管理者がその組織に関するエントリを作成および管理できるようにする。
これにより、実質的に組織の管理者が、ディレクトリ内容の管理者にもなります。
グループ内のユーザーに読み取りアクセス権または書き込みアクセス権を与えるロールを作成する。
たとえば、人事、財務、経理などのロールを作成します。これらのロールごとに、そのグループが必要とするデータへの読み取りアクセス権、書き込みアクセス権、またはその両方を許可します。このようなデータには、給与情報、政府指定の ID 番号、自宅の電話番号と住所などがあります。
ロールとエントリのグループ化の詳細は、「ディレクトリデータのグループ化と属性の管理」、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の第 10 章「Directory Server のグループ、ロール、および CoS」および『Sun Java System Directory Server Enterprise Edition 6.3 Reference』の第 8 章「Directory Server Groups and Roles」を参照してください。
データに書き込みを許可するユーザーを決定するときに、複数のユーザーに対して同じデータへの書き込み権限が必要になることがあります。たとえば、情報システムまたはディレクトリ管理グループには、従業員のパスワードへの書き込み権限を許可するのが一般的です。同時に、すべての従業員にも自分自身のパスワードへの書き込み権限を許可する場合があります。複数のユーザーに同じ情報への書き込み権限を与えなければならない場合がありますが、このような場合はこのグループを少人数に保ち、容易に特定できるようにします。グループを少人数にすることは、データの完全性の保証に役立ちます。
ディレクトリのアクセス制御の設定については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の第 7 章「Directory Server のアクセス制御」および『Sun Java System Directory Server Enterprise Edition 6.3 Reference』の「How Directory Server Provides Access Control」を参照してください。