下列幾節說明每個 CoS 項目資料的讀取與寫入保護之一般原則。定義個別存取控制指令 (ACI) 的詳細程序如第 6 章, 目錄伺服器存取控制中所述。
雖然 CoS 定義項目不包含所產生屬性的值,但會提供尋找該值的資訊。讀取 CoS 定義項目可指出如何尋找包含該值的範本項目。寫入此項目會修改運算屬性的產生方式。
因此您應為 CoS 定義項目定義讀取與寫入 ACI。
CoS 範本項目包含產生的 CoS 屬性值。因此,範本中的 CoS 屬性至少必須受到 ACI 的讀取與更新保護。
在指標 CoS 的案例中,應禁止重新命名單一範本項目。在大多數情況下,最簡單的做法是保護整個範本項目。
在類別 CoS 案例中,所有範本項目在定義項目中皆指定有共用父系。如果父系項目中僅儲存了範本,則父系項目的存取控制能保護範本。但是,如果父系下的其他項目需要存取,則必須個別保護範本項目。
在間接 CoS 的案例中,範本可以是目錄中的任何項目,包含仍需要進行存取的使用者項目。視需要的不同,您可以控制對整個目錄中 CoS 屬性的存取,或確保 CoS 屬性在每個用為範本的項目中皆安全。
在 CoS 定義的範圍中,所有會為其產生 CoS 運算屬性的項目,皆會參與計算屬性值。
若是在目標項目中已存在 CoS 屬性,CoS 機制預設不會覆寫此值。若不想要此運作方式,請定義 CoS 會覆寫目標項目,或保護所有潛在目標項目中的 CoS 屬性。
間接與類別 CoS 也依賴於目標項目中的限定符號屬性。此屬性會指定要使用的範本項目 DN 或 RDN。您應使用 ACI 在 CoS 的整個範圍內保護此屬性,或在需要保護的個別目標項目上保護此屬性。
運算的 CoS 屬性可以根據其他產生的 CoS 屬性與角色進行定義。您必須瞭解並保護這些相依性,以確保運算的 CoS 屬性受到保護。
例如,目標項目中的 CoS 限定符號屬性可能是 nsRole。因此,角色定義必須也受到 ACI 保護。
計算運算屬性值的過程中所包含的任何屬性或項目,一般應會有 ACI 控制讀取與寫入存取。因此,應完善規劃或簡化複合相依性,以降低後續存取控制實作的複雜度。將其他運算屬性上的相依性降至最小,能改善目錄效能並減少維護作業。