授予新增及刪除群組項目的權限
有些組織會允許員工在樹狀結構中建立項目,以提升其工作效率,並鼓勵他們為公司的活力注入一己之力。以 Example.com 為例,社委會即是由各種不同性質的社團所組成,如網球、游泳、滑雪與角色扮演等。
Example.com 的任何員工皆可建立代表新社團的群組項目,如 ACI “Create Group” 中所說明。
凡屬 Example.com 員工,即可成為這些群組之一的成員,如允許使用者在群組中加入或移除本身中所說明。
只有群組所有者可修改或刪除群組項目,如 ACI “Delete Group” 中所說明。
ACI “Create Group”
在 LDIF 中,若要授予 Example.com 員工在 ou=Social Committee 分支下建立群組項目的權限,請撰寫下列陳述式:
aci: (targetattr="*") (targattrfilters="add=objectClass: (|(objectClass=groupOfNames)(objectClass=top))") (version 3.0; acl "Create Group"; allow (read,search,add) userdn= "ldap:///uid=*,ou=People,dc=example,dc=com") and dns="*.Example.com";) |
此範例假設 ou=Social Committee,dc=example,dc=com 項目中已加入 ACI。
備註 –
-
此 ACI 並未授予寫入權限,這表示該項目的建立者無法修改項目。
-
由於伺服器會以隱藏方式加入 top 值,因此您必須在 targattrfilters 關鍵字中指定 objectClass=top。
-
此 ACI 會將用戶端機器限定在 example.com 網域中。
ACI “Delete Group”
在 LDIF 中,若要授予 Example.com 員工對他們在 ou=Social Committee 分支下所屬群組的群組項目進行修改或刪除的權限,請撰寫下列陳述式:
aci: (targetattr = "*") (targattrfilters="del=objectClass: (objectClass=groupOfNames)") (version 3.0; acl "Delete Group"; allow (write,delete) userattr="owner#GROUPDN";) |
此範例假設 ou=Social Committee,dc=example,dc=com 項目中已加入 aci。
請注意,使用 DSCC 建立此 ACI 是缺乏效率的方式,因為您必須用手動編輯模式以建立目標篩選器,並檢查群組所有權。
- © 2010, Oracle Corporation and/or its affiliates