限制取得有效權限控制的存取

檢視有效權限的作業是一項必須受到保護與適當限制的目錄作業。

若要限制有效權限資訊的存取，請修改 getEffectiveRights 屬性的預設 ACI。接著請建立 getEffectiveRightsInfo 屬性的新 ACI。

例如，下列 ACI 將僅允許「目錄伺服器管理員群組」的成員取得有效權限：

aci: (targetattr != "aci")(version 3.0; acl
 "getEffectiveRights"; allow(all) groupdn =
 "ldap:///cn=Directory Administrators,ou=Groups,dc=example,dc=com";)

若要取得有效權限資訊，您必須具備使用「有效權限」控制的存取控制權限，以及 aclRights 屬性的讀取存取權。這種雙層的存取控制，可提供能夠在必要時進一步微調的基本安全性。與代理伺服器相似，若您對某項目中的 aclRights 屬性具有讀取存取權，即可請求任何人對該項目及其屬性之權限的相關資訊。這表示，管理資源的使用者能夠決定擁有資源權限的人員，即使這名使用者並未實際管理具有這些權限的人員亦然。

若請求權限資訊的使用者無權使用「有效權限」控制，作業即會失敗並傳回錯誤訊息。但若請求權限資訊的使用者有權使用控制，但缺少讀取 aclRights 屬性的權限，aclRights 屬性即不會出現在傳回的項目中。此運作方式會反映目錄伺服器的一般搜尋運作方式。