Sun ONE Web Server 6.1 管理員指南 |
第 3 章
管理使用者和群組本章描述增加、刪除和編輯可存取 Sun ONE Web Server 的使用者和群組的方式。
本章包含下列小節:
存取關於使用者和群組的資訊使用 Administration Server 可以存取關於使用者帳號、群組清單、存取權限、組織單元以及其他使用者特定資訊和群組特定資訊的應用程式資料。
使用者和群組資訊儲存在文字格式的平面檔中,或者儲存在支援輕型目錄存取協定 (LDAP) 的目錄伺服器 (如 Sun ONE Directory Server) 中。LDAP 是一個在 TCP/IP 上執行的開放式目錄存取協定,它可以調整到全域大小,包含上百萬個項目。
關於目錄服務目錄伺服器 (如 Sun ONE Directory Server) 允許您管理單一來源的所有使用者資訊。也可以將目錄伺服器配置為允許您的使用者從多個易於存取的網路位置擷取目錄資訊。
在 Sun ONE Web Server 6.1 中,您可以配置三種不同類型的目錄服務來認證和授權使用者與群組。如果未配置任何其他目錄服務,則不管新建的目錄服務類型為何均會將其設定為值 default。
您建立目錄服務時,會使用該目錄服務的詳細資訊更新 server-root/userdb/dbswitch.conf 檔案。
目錄服務類型
Sun ONE Web Server 6.1 支援的不同目錄服務類型包括:
如果 LDAP 服務為預設服務,則會如以下範例所示更新 dbswitch.conf 檔案:
directory default ldap://test22.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcom
default:binddn cn=Directory Manager
default:encoded bindpw YWRtaW5hZG1pbg==如果 LDAP 服務為非預設服務,則會如以下範例所示更新 dbswitch.conf 檔案:
directory ldap ldap://test22.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcom
ldap:binddn cn=Directory Manager
ldap:encoded bindpw YWRtaW5hZG1pbg==
- Digest File。基於加密的使用者名稱和密碼儲存使用者和群組資訊。
Digest file 格式意在支援使用 HTTP 摘要驗證。然而,它也支援基本驗證,因此它可同時用於此兩種驗證方法。如需有關這些方法的更多資訊,請參閱「指定使用者和群組」。
您建立基於摘要的資料庫時,會如以下範例所示更新 dbswitch.conf 檔案:
directory digest file
digest:syntax digest
digest:digestfile D:\test22\digest\digestdb
配置目錄服務若要配置目錄服務喜好設定,請執行下列步驟︰
建立和配置目錄服務後,您即可基於每個虛擬伺服器指定目錄服務。日後,伺服器將使用與目錄服務關聯的權限來評估與執行存取控制規則。如需更多資訊,請參閱「為虛擬伺服器選擇目錄服務」。
瞭解辨別名稱 (DN)
使用 [Administration Server] 的 [Users and Groups] 標籤,建立或修改使用者、群組和組織單元。使用者是您 LDAP 資料庫中的個人,例如您公司的員工。群組是共用某個一般屬性的兩個或多個使用者。組織單元是您公司內的分部,它使用 organizationalUnit 物件類別。在本章後面將進一步描述使用者、群組和組織單元。
您企業內的每個使用者和群組均由一個辨別名稱 (DN) 屬性表示。DN 屬性是一個包含關聯使用者、群組或物件之識別資訊的文字字串。每當您變更使用者或群組目錄項目時,就要使用 DN。例如,每當建立或修改目錄項目、設定存取控制以及為應用程式 (郵件或發佈) 設定使用者帳號時,都需要指定 DN 資訊。Sun ONE Web Server 管理主控台的使用者和群組介面可以幫助您建立或修改 DN。
以下範例表示 Sun Microsystems 公司某位員工的典型 DN:
uid=doe,e=doe@sun.com,cn=John Doe,o=Sun Microsystems Inc.,c=US
此範例中每個等號前縮寫的涵義如下:
DN 可能包含各種名稱值對。它們用於在支援 LDAP 的目錄中識別證書主題和項目。
使用 LDIF
如果您目前沒有目錄,或者您要在現有目錄中增加新子樹,則可以使用 Directory Server 的 Administration Server LDIF 匯入功能。此功能接受包含 LDIF 的檔案,並且會嘗試從 LDIF 項目建立目錄或新子樹。您還可以使用 Directory Server 的 LDIF 匯出功能,將目前目錄匯出至 LDIF。此功能會建立一個代表您目錄的 LDIF 格式的檔案。可以使用 ldapmodify 指令和適當的 LDIF 更新描述來增加或編輯項目。
若要使用 LDIF 將項目增加資料庫,請首先在 LDIF 檔案中定義項目,然後從 Directory Server 匯入 LDIF 檔案。
建立使用者使用 [Administration Server] 的 [Users and Groups] 標籤,建立或修改使用者項目。使用者項目包含有關資料庫中個別使用者或物件的資訊。
建立使用者時,您必須確保使用者只有經過授權才能存取資源,以保護伺服器的安全。Sun ONE Web Server 6.1 提供一系列選項來增強安全性:
本節包括下列主題:
在基於 LDAP 的認證資料庫中建立新使用者
當您將使用者項目增加基於 LDAP 的目錄服務時,將使用基於 LDAP 的基礎目錄伺服器的服務來認證和授權使用者。本節提供了使用基於 LDAP 的認證資料庫時需要考量的特定指導原則,並描述了您可以透過 Administration Server 增加使用者的方式。
建立基於 LDAP 的使用者項目的指導原則
使用管理員表單在基於 LDAP 的目錄服務中建立新使用者項目時,請考量下列指導原則:
- 如果您輸入名字和姓氏,則該表單會自動為您填入使用者的全名和使用者 ID。使用者 ID 由使用者名字的第一個字母後接使用者的姓氏構成。例如,如果使用者名稱為 Billie Holiday,則使用者 ID 自動設定為 bholiday。如果您願意,可以用自己選擇的 ID 取代該使用者 ID。
- 使用者 ID 必須是唯一的。Administration Server 透過從搜尋基底 (基底 DN) 向下搜尋整個目錄來查看使用者 ID 是否在使用中,以確保該使用者 ID 是唯一的。但是,請注意,如果您使用 Directory Server 的 ldapmodify 指令行公用程式 (如果可用) 建立使用者,則不能確保使用者 ID 的唯一性。如果目錄中存在重複的使用者 ID,則受到影響的使用者將不能認證到該目錄。
- 請注意,基底 DN 指定的辨別名稱是依預設開始目錄查找的位置,也是您的目錄樹中放置所有 Sun ONE Web Administration Server 項目的位置。「DN」是目錄伺服器中項目名稱的字串表示法。
- 請注意,建立新使用者項目時,必須至少指定下列使用者資訊:
- 如果已為您的目錄定義了任何組織單元,則可以使用 [Add New User To] 清單指定要放置新使用者的位置。預設位置為您目錄的基底 DN (或根點)。
如何建立新使用者項目
若要建立使用者項目,請閱讀建立基於 LDAP 的使用者項目的指導原則中概述的指導原則,然後執行下列步驟:
- 存取 [Administration Server] 並選擇 [Users and Groups] 標籤。
- 按一下 [New User] 連結。
- 從 [Select Directory Service] 下拉式清單,選取 [LDAP directory service],然後按一下 [Select]。
- 在顯示的頁面上增加所需資訊。
如需更多資訊,請參閱 Directory Server 使用者項目。
- 按一下 [Create User] 或 [Create and Edit User]。
如需更多資訊,請參閱線上說明中的 [New User] 頁面。
Directory Server 使用者項目
目錄管理員可能對下列使用者項目備註感興趣:
- 有時,使用某種語言的字元表示使用者名稱可能比使用預設語言更精確。您可以為使用者選取喜好的語言,這樣就會用該語言的字元顯示使用者名稱,即使預設語言為英文。如需有關設定使用者喜好語言的更多資訊,請參閱線上說明中的 [Manage Users] 頁面。
在 Key File 驗證資料庫中建立新使用者
若要在 Key File 驗證資料庫中建立新使用者項目,請執行下列步驟:
在 Digest File 驗證資料庫中建立新使用者
若要在 Digest File 驗證資料庫 (以加密格式儲存使用者和群組資訊) 中建立新使用者項目,請執行下列步驟:
- 存取 [Administration Server] 並選擇 [Users and Groups] 標籤。
- 按一下 [New User] 連結。
- 從 [Select Directory Service] 下拉式清單,選取基於摘要的目錄服務 ID,然後按一下 [Select]。
- 輸入下列資訊:
- 按一下 [Create User]。
備註 當建立一個使用摘要驗證的 ACL 時,必須指定相同的範圍字串,該摘要驗證使用是 Sun ONE Web Server ACL 使用者介面。如需更多資訊,請參閱設定存取控制。
管理使用者可以從 [Administration Server] 的 [Manage Users] 表單編輯使用者屬性。您可以從此表單中查找、變更、重新命名以及刪除使用者項目。
有些 (但不是全部) Sun ONE 伺服器在此區域中增加其他表單,允許您管理產品的特定資訊。例如,如果 Administration Server 下安裝了訊息傳送伺服器,則會增加其他表單,允許您編輯訊息傳送伺服器的特定資訊。請參閱伺服器文件,以取得有關這些附加管理功能的詳細資訊。
本節包括下列主題:
尋找使用者資訊
您必須先顯示關聯資訊,然後才能編輯使用者項目。若要尋找特定的使用者資訊,請執行下列步驟︰
- 存取 [Administration Server] 並選擇 [Users and Groups] 標籤。
- 按一下 [Manage Users] 連結。
- 從 [Select Directory Service] 下拉式清單,選取一個目錄服務,然後按一下 [Select]。
對於 Key File 或 Digest File 類型的目錄服務,會顯示使用者清單。對於 LDAP Server 類型的目錄服務,則會顯示搜尋欄位。
- 查找使用者資訊︰
對於 Key File 與 Digest File,按一下使用者的連結以顯示編輯表單並進行變更。如需有關編輯表單的詳細資訊,請參閱線上說明。
對於 LDAP Server,請執行以下步驟:
- 在 [Find user] 欄位中,為您要編輯的項目輸入某個描述性值。您可在搜尋欄位中輸入下列任意值:
- 名稱。輸入全名或部分名稱。將傳回所有完全匹配該搜尋字串的項目。如果未找到這樣的項目,則將傳回所有包含該搜尋字串的項目。如果未找到這樣的項目,則會傳回所有與該搜尋字串相似的項目。
- 使用者 ID。
- 電話號碼。如果您僅輸入部分號碼,則將傳回包含以搜尋字串結尾的電話號碼的所有項目。
- 電子郵件位址。任何包含 @ 符號的搜尋字串均被假定為電子郵件位址。如果找不到完全匹配項,則將執行搜尋並傳回以該搜尋字串開始的所有電子郵件位址。
- 使用星號 (*) 可以查看當前您目錄中的所有項目。只需將該欄位保留為空白也可實現同樣的效果。
- 任意 LDAP 搜尋過濾器。包含等號 (=) 的任何字串均被視為搜尋過濾器。
另外,可以使用 [Find all users whose] 欄位中的下拉式功能表來縮小搜尋結果的範圍。
- 在 [Look within] 欄位中,選取您要在其下搜尋項目的組織單元。
預設為目錄的根點 (或最頂層項目)。
- 在 [Format] 欄位中,選擇 [On-Screen] 或 [Printer]。
- 按一下 [Find]。
將顯示所選組織單元中的所有使用者。
- 在結果表格中,按一下要編輯的項目。
將顯示使用者編輯表單。依線上說明所述編輯資訊。
- 按一下 [Save Changes]。
將立即進行變更。
建立自訂搜尋查詢
對於 LDAP 服務,[Find all users whose] 欄位讓您可以建立自訂搜尋過濾器。使用此欄位可以減少 [Find user] 搜尋傳回的搜尋結果。
[Find all users whose] 欄位提供下列搜尋條件:
下表描述了可用的搜尋屬性選項:
下表描述了可用的搜尋類型選項:
若要顯示 Look within 目錄中包含的所有使用者項目,請在此文字欄位中輸入星號 (*) 或者僅僅保留此文字欄位為空。
編輯使用者資訊
若要變更使用者的項目,請執行下列步驟:
- 存取 [Administration Server] 並選擇 [Users and Groups] 標籤。
- 如尋找使用者資訊中所述顯示使用者項目。
- 編輯與您要變更的屬性相對應的欄位。
如需有關特定欄位的更多資訊,請參閱這些頁面的線上說明。
對於 LDAP 資料庫,還要注意的是,雖然您可以在此編輯表單中變更使用者的名字、姓氏和全名欄位,但是若要完全重新命名該項目 (包括項目的辨別名稱),則需要使用 [Rename User] 表單。如需有關如何重新命名項目的更多資訊,請參閱重新命名使用者。
管理使用者的密碼
您為使用者項目設定的密碼被各種伺服器用來進行使用者認證。
若要變更或建立使用者的密碼,請執行下列步驟:
- 存取 [Administration Server] 並選擇 [Users and Groups] 標籤。
- 如尋找使用者資訊中所述顯示使用者項目。
- 依需要變更。
如需更多資訊,請參閱線上說明中的 [Manage Users] 頁面。
備註 您可以在作業系統上將 Administration Server 使用者從超級使用者變更為另一使用者,以便使多個使用者 (屬於該群組) 能夠編輯/管理配置檔案。但是,請注意,雖然在 UNIX/Linux 平台上安裝程式可以賦予群組對配置檔案的「rw (讀取寫入)」許可權,但在 Windows 平台上使用者必須屬於「Administrators」群組。
對於 LDAP 資料庫,您也可以按一下 [Disable Password] 按鈕來停用使用者的密碼。這樣做可防止使用者登入伺服器,而不必刪除其目錄項目。您可以使用 [Password Management] 表單輸入新密碼,以再次授予該使用者存取權限。
重新命名使用者
對於 LDAP 資料庫,重新命名功能僅變更使用者的名稱,所有其他欄位均保持不變。此外,仍然保留使用者的舊名稱,因此依舊名稱進行搜尋仍會找到新項目。
當您重新命名使用者項目時,您僅可變更該使用者的名稱,而無法使用重新命名功能將該項目從一個組織單元移至另一個組織單元。例如,假定您有 Marketing 和 Accounting 兩個組織單元,而且 Marketing 組織單元下有一個名為「Billie Holiday」的項目。您可將該項目從 Billie Holiday 重新命名為 Doc Holiday,但您不能如下重新命名:將 Marketing 組織單元下的 Billie Holiday 重新命名為 Accounting 組織單元下的 Billie Holiday。
若要重新命名使用者項目,請執行下列步驟:
- 存取 [Administration Server] 並選擇 [Users and Groups] 標籤。
- 如尋找使用者資訊中所述顯示使用者項目。
請注意,如果您使用的是基於共用名稱的 DN,請指定使用者的全名。如果您使用的是基於 uid 的辨別名稱,請輸入您要用於該項目的新 uid 值。
- 按一下 [Rename User] 按鈕。
- 適當變更 [Given Name]、[Surname]、[Full Name] 或 [UID] 欄位,以匹配該項目的新辨別名稱。
- 在重新命名項目時,您可以透過將 keepOldValueWhenRenaming 參數設定為 false,指定 Administration Server 不再保留舊的全名或 uid 值。您可在以下檔案中找到此參數:
如需更多資訊,請參閱線上說明中的 [Manage Users] 頁面。
移除使用者
若要刪除使用者項目,請執行下列步驟:
- 存取 [Administration Server] 並選擇 [Users and Groups] 標籤。
- 如尋找使用者資訊中所述顯示使用者項目。
- 按一下 [Remove User] (key file 與 digest file) 或 [Delete User] (LDAP)。
如需更多資訊,請參閱線上說明中的 [Manage Users] 頁面。
建立群組群組是描述 LDAP 資料庫中物件集的物件。Sun ONE Web Server 群組由共用某個一般屬性的使用者組成。例如,物件集可能是在您公司市場部工作的一些員工。這些員工可能屬於稱為 Marketing 的群組。
對於 LDAP 服務,定義群組成員關係的方式有兩種:靜態和動態。靜態群組明確列舉其成員物件。靜態群組是一個 CN,它包含 uniqueMember 和/或 memberURL 和/或 memberCertDescription。靜態群組的成員並不共用某個一般屬性,但 CN=<Groupname> 屬性除外。
動態群組允許您使用 LDAP URL 來定義僅與群組成員匹配的規則集。動態群組的成員共用在 memberURL 過濾器中定義的某個一般屬性或屬性集。例如,如果您需要一個包含 Sales 中所有員工的群組,並且這些員工已存在於「ou=Sales,o=Airius.com」 之下的 LDAP 資料庫中,則您應該使用以下 memberurl 定義動態群組:
隨後,此群組將包含在樹中「ou=Sales,o=sun」點之下具有 uid 屬性的所有物件,即所有 Sales 成員。
對於靜態和動態群組,如果您使用 memberCertDescription,則其成員可以從證書共用一般屬性。請注意,這些僅在 ACL 使用 SSL 方法時才適用。
建立新群組後,您即可在其中增加使用者或成員。
本節包括下列主題:
靜態群組
對於 LDAP 服務,Administration Server 可使您透過在任意數量使用者的 DN 中指定同一群組屬性來建立靜態群組。靜態群組僅在您於其中增加或刪除使用者時才變更。
建立靜態群組的指導原則
使用 Administration Server 表單建立新靜態群組時,請考量下列指導原則:
- 靜態群組可以包含其他靜態或動態群組。
- 您也可以選擇性地增加新群組的描述。
- 如果已為您的目錄定義了任何組織單元,則可以使用 [Add New Group To] 清單指定要放置新群組的位置。預設位置為目錄的根點,或最頂層項目。
- 輸入完需要的資訊後,請按一下 [Create Group] 以增加該群組,然後立即返回至 [New Group] 表單。或者,按一下 [Create and Edit Group] 以增加該群組,然後前進至 [Edit Group] 表單以編輯您剛增加的群組。如需有關編輯群組的資訊,請參閱編輯群組屬性。
建立靜態群組
若要建立靜態群組項目,請執行下列步驟:
如需更多資訊,請參閱線上說明中的 [New Group] 頁面。
動態群組
動態群組具有 groupOfURLs 物件類別,並具有零個或多個 memberURL 屬性,每個屬性均為一個描述物件集的 LDAP URL。
對於 LDAP 服務,如果您想要群組使用者自動基於任意屬性,或者想要將 ACL 套用至包含相符 DN 的特定群組,則 Sun ONE Web Server 可使您建立動態群組。例如,您可以建立一個群組,該群組將自動包括含有 department=marketing 屬性的所有 DN。如果您為 department=marketing 套用搜尋過濾器,則搜尋將傳回一個群組,其中包括含有 department=marketing 屬性的所有 DN。然後,您可以由基於此過濾器的搜尋結果定義動態群組。隨後,您可以針對結果動態群組定義一個 ACL。
本節包括下列主題:
Sun ONE Web Server 實現動態群組的方式
Sun ONE Web Server 在 LDAP 伺服器綱目中以 objectclass = groupOfURLs 實現動態群組。groupOfURLS 類別可以有多個 memberURL 屬性,每個屬性均包含一個 LDAP URL,用來列舉目錄中的物件集。群組成員將是這些物件集的併集。例如,以下群組僅包含一個成員 URL:
ldap:///o=mcom.com??sub?(department=marketing)
此範例描述了一個由「o=mcom.com」(其部門為「marketing」) 下的所有物件組成的集合。LDAP URL 可以包含搜尋基底 DN、範圍和過濾器,但不能包含主機名稱和連接埠。這就意味著您僅能參考同一 LDAP 伺服器上的物件。支援所有範圍。
將自動包括 DN,而無須您在群組中逐個增加。群組會動態變更,這是因為每次 ACL 驗證需要群組查找時,Sun ONE Web Server 均會執行 LDAP 伺服器搜尋。ACL 檔案中使用的使用者和群組名稱與 LDAP 資料庫中物件的 cn 屬性相對應。
從 ACL 到 LDAP 資料庫的對映在 dbswitch.conf 配置檔案 (它將 ACL 資料庫名稱與實際的 LDAP 資料庫 URL 關聯起來) 和 ACL 檔案 (它定義資料庫與 ACL 的對應關係) 中均有定義。例如,如果您想要名為「staff」群組中成員關係的基準存取權限,ACL 代碼會查找物件類別為 groupOf<anything> 且 CN 設定為「staff」的物件。物件定義群組成員的方式有兩種:明確列舉成員 DN (靜態群組的 groupOfUniqueNames 作業即如此),或者指定 LDAP URL (例如,groupOfURLs)。
群組可以為靜態和動態
群組物件可以同時具有 objectclass = groupOfUniqueMembers 和 objectclass = groupOfURLs;因此,「uniqueMember」和「memberURL」屬性都是有效的。群組的成員關係是其靜態成員和動態成員的併集。
動態群組對伺服器效能的影響
使用動態群組時會影響伺服器的效能。如果您正在測試群組成員關係,且 DN 不是靜態群組的成員,則 Sun ONE Web Server 會檢查資料庫基底 DN 中的所有動態群組。Sun ONE Web Server 透過以下方式來完成此工作:檢查每個 memberURL 是否匹配,方法為透過對照使用者的 DN 檢查其基底 DN 和範圍,然後使用使用者 DN (作為基底 DN) 和 memberURL 的過濾執行基準搜尋。此程序會產生大量的個別搜尋。
建立動態群組的指導原則
使用 Administration Server 表單建立新動態群組時,請考量下列指導原則:
下表描述了需要的參數:
請注意,<attributes>、<scope> 和 <(filter)> 參數是依據它們在 URL 中的位置識別的。即使您不想指定任何屬性,也需要包括問號來分隔該欄位。
- 您也可以選擇性地增加新群組的描述。
- 如果已為您的目錄定義了任何組織單元,則可以使用 [Add New Group To] 清單指定要放置新群組的位置。預設位置為目錄的根點,或最頂層項目。
- 輸入完需要的資訊後,請按一下 [Create Group] 以增加該群組,然後立即返回至 [New Group] 表單。或者,按一下 [Create and Edit Group] 以增加該群組,然後前進至 [Edit Group] 表單以編輯您剛增加的群組。如需有關編輯群組的資訊,請參閱編輯群組屬性。
建立動態群組
若要在目錄內建立動態群組項目,請執行下列步驟:
如需更多資訊,請參閱線上說明中的 [New Group] 頁面。
管理群組對於 LDAP 服務,Administration Server 可使您藉由 [Manage Group] 表單編輯群組和管理群組關係。本節描述了下列主題:
尋找群組項目
您必須先尋找並顯示群組項目,然後才能對其進行編輯。
若要尋找群組項目,請執行下列步驟:
[Find all groups whose] 欄位
對於 LDAP 服務,[Find all groups whose] 欄位讓您可以建立自訂搜尋過濾器。使用此欄位可以減少 [Find groups] 搜尋傳回的搜尋結果。
若要顯示 Look within 目錄中包含的所有群組項目,請在此文字欄位中輸入星號 (*),或者僅僅保留此文字欄位為空。
如需有關如何建立自訂搜尋過濾器的更多資訊,請參閱建立自訂搜尋查詢。
編輯群組屬性
若要編輯群組項目 (僅 LDAP 服務),請執行下列步驟:
如需有關如何尋找特定項目的更多資訊,請參閱尋找群組項目中所述概念。
如需關於編輯群組屬性的更多資訊,請參閱線上說明中的 [Manage Groups] 頁面。
增加群組成員
若要將成員增加至群組 (僅 LDAP 服務),請執行下列步驟:
- 存取 [Administration Server] 並選擇 [Users and Groups] 標籤。
- 按一下 [Manage Groups] 連結。
- 如尋找群組項目中所述,找到您要管理的群組,然後按一下 [Group Members] 下的 [Edit] 按鈕。
Sun ONE Web Server 會顯示一個新表單,可使您搜尋項目。如果要將使用者項目增加至清單,請確保 [Find] 下拉式清單中顯示 [Users]。如果您要將群組項目增加至群組,請確保顯示 [Group]。
- 在最右端的文字欄位中,輸入搜尋字串。輸入下列任何一個選項:
- 名稱。輸入全名或部分名稱。將傳回名稱匹配搜尋字串的所有項目。如果未找到這樣的項目,則將傳回所有包含該搜尋字串的項目。如果未找到這樣的項目,則會傳回所有與該搜尋字串相似的項目。
- 使用者 ID (如果您正在搜尋使用者項目)。
- 電話號碼。如果您僅輸入部分號碼,則將傳回包含以搜尋字串結尾的電話號碼的所有項目。
- 電子郵件位址。任何包含 @ 符號的搜尋字串均被假定為電子郵件位址。如果找不到完全相符項,則將執行搜尋並傳回以該搜尋字串開始的所有電子郵件位址。
- 在此文字欄位中輸入星號 (*) 或者保留此欄位為空,可以查看目前儲存在您目錄中的所有項目或群組。
- 任意 LDAP 搜尋過濾器。包含等號 (=) 的任何字串均被視為搜尋過濾器。
- 按一下 [Find and Add] 以尋找所有匹配的項目,並將其增加至該群組。
如果該搜尋傳回任何您不想增加至該群組的項目,請按一下 [Remove from list?] 欄中的方塊。您也可以建構一個匹配要移除項目的搜尋過濾器,然後按一下 [Find and Remove]。
- 完成群組成員清單後,請按一下 [Save Changes]。
現在,目前顯示的項目即成為該群組的成員。
如需有關增加群組成員的更多資訊,請參閱線上說明中的 [Edit Members] 頁面。
將群組增加至群組成員清單
對於 LDAP 服務,您可將群組 (而不是個別成員) 增加至群組的成員清單。這樣做會使屬於所包括群組的所有使用者都成為接收群組的成員。例如,如果 Neil Armstrong 是「Engineering Managers」群組的成員,而您使「Engineering Managers」群組成為「Engineering Personnel」群組的成員,則 Neil Armstrong 也是「Engineering Personnel」群組的成員。
若要將群組增加至另一群組的成員清單,請像增加使用者項目一樣增加群組。如需更多資訊,請參閱增加群組成員。
從群組成員清單中移除項目
若要從群組成員清單 (僅 LDAP 服務) 中移除項目,請執行下列步驟:
管理擁有者
對於 LDAP 服務,您可以如管理群組成員清單那樣來管理群組的所有者清單。下列表格識別要取得更多資訊所應閱讀的小節:
管理「另請參閱」
「另請參閱」是對可能與目前群組相關的其他目錄項目的參照。它們可讓使用者很容易找到與目前群組相關的使用者或其他群組的項目。
您可以如管理群組成員清單那樣來管理「另請參閱」。下列表格顯示要取得更多資訊所應閱讀的小節:
移除群組
若要刪除群組 (僅 LDAP 服務),請執行下列步驟:
- 存取 [Administration Server] 並選擇 [Users and Groups] 標籤。
- 按一下 [Manage Groups] 連結,找到您要管理的群組 (如尋找群組項目中所述),然後按一下 [Delete Group]。
重新命名群組
若要重新命名群組 (僅 LDAP 服務),請執行下列步驟:
- 存取 [Administration Server] 並選擇 [Users and Groups] 標籤。
- 按一下 [Manage Groups] 連結,找到您要管理的群組,如尋找群組項目中所述。
- 按一下 [Rename Group] 按鈕,然後在結果對話方塊中鍵入新群組名稱。
當您重新命名群組項目時,您僅可變更該群組的名稱,而無法使用重新命名群組功能將該項目從一個組織單元移至另一個組織單元。例如,一個企業可能具有下列組織:
在此範例中,您可以將群組從 Online Sales 重新命名為 Internet Investments,但您不能如此重新命名:將 Marketing 組織單元下的 Online Sales 重新命名為 Product Management 組織單元下的 Online Sales。
建立組織單元對於 LDAP 服務,組織單元可以包括許多群組,通常代表分部、部門或其他個別的業務群組。DN 可以存在於多個組織單元中。
若要建立組織單元,請執行下列步驟:
如需更多資訊,請參閱線上說明中的 [New Organizational Unit] 頁面。
目錄管理員可能對下列備註感興趣:
例如,如果您在 West Coast 組織單元中建立了一個稱為 Accounting 的新組織,而您的基底 DN 為 o=Ace Industry, c=US,則新組織單元的 DN 為:
管理組織單元對於 LDAP 服務,您可以藉由 [Organizational Unit Edit] 表單編輯和管理組織單元。本節描述了下列工作:
尋找組織單元
若要尋找組織單元 (僅 LDAP 服務),請執行下列步驟:
[Find all units whose] 欄位
對於 LDAP 服務,[Find all units whose] 欄位讓您可以建立自訂搜尋過濾器。使用此欄位可以減少 [Find organizational unit] 搜尋傳回的搜尋結果。
若要顯示 Look within 目錄中包含的所有群組項目,請在此文字欄位中輸入星號 (*) 或者僅僅保留此文字欄位為空。
如需有關如何建立自訂搜尋過濾器的更多資訊,請參閱建立自訂搜尋查詢。
編輯組織單元屬性
若要變更組織單元項目 (僅 LDAP 服務),請存取 Administration Server,然後執行下列步驟:
- 如尋找組織單元中所述,找到您要編輯的組織單元。
將顯示組織單元編輯表單。
- 依需要變更顯示的欄位,然後按一下 [Save Changes]。
將立即進行變更。
重新命名組織單元
若要重新命名組織單元項目 (僅 LDAP 服務),請存取 Administration Server,然後執行下列步驟:
刪除組織單元
若要刪除組織單元項目 (僅 LDAP 服務),請存取 Administration Server,然後執行下列步驟:
- 確保所要重新命名的組織單元下的目錄中沒有其他項目。
- 如尋找組織單元中所述,找到您要刪除的組織單元。
- 按一下 [Delete] 按鈕。
- 在結果確認方塊中,按一下 [OK]。
會立即刪除該組織單元。