• 萬用字元項目
• 使用者、伺服器及群組名稱 (包含網際網路用戶端的使用者及群組名稱)
• 替代名稱
• LDAP 使用者
• 匿名，用於匿名網際網路使用者存取，及匿名 Notes 使用者存取
• 資料庫抄本 ID

以階層式格式將名稱新增至 ACL，以獲得更好的安全性。例如：

Sandra E Smith/West/Acme/US

Randi Bowker/Sales/FactoryCo

ACL 項目類型

萬用字元項目

若要允許一般存取資料庫，您可以在 ACL 中使用萬用字元 (*) 輸入階層式名稱。您可以在一般名稱及組織單位元件中使用萬用字元。

在 ACL 中尚未具有特定使用者或群組名稱項目，且其階層式名稱包含之元件含有萬用字元的使用者及/或伺服器，會被授與最高層次的使用權，由每一個符合的萬用字元項目指定。

此處是萬用字元格式的 ACL 項目：

*/Illustration/Production/Acme/US

Mary Tsen/Illustration/Production/Acme/US

Michael Bowling/Illustration/Production/Acme/US

Sandy Braun/Documentation/Production/Acme/US

Alan Nelson/Acme/US

*/Illustration/*/Acme/US

Michael Bowling/Illustration/West/Acme/US

Karen Richards/Illustration/East/Acme/US

使用者名稱

對於任何具有已認證 Notes 使用者 ID 的個人，或使用名稱及密碼或 SSL 用戶端鑑定進行鑑定的網際網路使用者，您可以將他們的名稱新增至 ACL。

• 若為 Notes 使用者，請輸入每個使用者的完整階層式名稱；例如，John Smith/Sales/Acme，而不論使用者是否與儲存資料庫的伺服器在同一階層式組織。
• 若為網際網路使用者，請輸入顯示為「個人」文件中「使用者名稱」欄位之第一個項目的名稱。

  附註 許多別名可輸入使用者名稱欄位，用於鑑定；不過，它是清單中的第一個名稱，用於執行安全性授權檢查。這是應使用在所有 Domino 資料庫 ACL 上、「伺服器」文件上的安全性設定值中，以及 .ACL 檔中的名稱。

伺服器名稱

您可以將伺服器名稱新增至 ACL，以控制資料庫從資料庫抄本接收的變更。若要確保更嚴密的安全性，請使用伺服器的完整階層式名稱 -- 例如，Server1/Sales/Acme -- 而不論新增的伺服器名稱是否與儲存資料庫的伺服器名稱在不同的階層式組織。

群組名稱

您將群組名稱 -- 例如，Training -- 新增至 ACL，以代表需要相同使用權的多個使用者或伺服器。使用者必須以主要階層式名稱或替代名稱列示在群組中。群組還可以含有萬用字元項目作為成員。您必須先在「Domino 名錄」中，或次要「Domino 名錄」或已在「目錄輔助」資料庫中為群組授權配置的外部「LDAP 目錄」中，建立群組，才可在 ACL 中使用群組名稱。

秘訣 對於資料庫的管理員，使用個人名稱，而不是群組名稱。這樣，當使用者選擇 [建立][其他][給資料庫管理員的信件] 時，他們會知道他們在給誰發送信件。

群組會提供一種管理資料庫 ACL 的方便方法。在 ACL 中使用群組會帶來下列好處：

• 不用將冗長的個人名稱清單新增至 ACL，新增一個群組名稱即可。如果群組列示在多個 ACL 中，修改「Domino 名錄」或「LDAP 目錄」中的群組文件即可，而不用在多重資料庫中新增及刪除個人名稱。
• 如果您需要變更數個使用者或伺服器的使用權控制清單資訊，為整個群組進行一次該動作即可。
• 使用群組名稱，可以反映出群組成員的責任，或部門或公司的組織情況。

終止群組
當員工離開組織時，您應在「Domino 名錄」中，從所有群組移除他們的名稱，並將他們新增至「只限拒絕清單」群組，用於拒絕存取伺服器。「伺服器」文件中的「拒絕存取清單」包含不再具有 Domino 伺服器使用權的 Notes 使用者及群組名稱。您還應確定已從組織中所有資料庫的 ACL 移除離職員工的名稱。當您從「Domino 名錄」刪除人員時，您可以選擇「在拒絕存取群組中新增刪除的使用者」(如果已建立這樣的群組)。(如果不存在這樣的群組，對話方塊即會顯示「未選取或無法使用拒絕存取群組」。)

若需「只限拒絕清單」群組的相關資訊，請參閱主題建立及修改群組。

若需「拒絕存取清單」的相關資訊，請參閱主題拒絕存取清單。

替代名稱

替代名稱是管理員指定給註冊 Notes 使用者的可選別名。您可以將替代名稱新增至 ACL。替代名稱提供的安全性層次，與使用者主要階層式名稱提供的層次相同。例如，主要名稱為 Sandra Brown/West/Sales/Acme 的使用者，其替代名稱格式將會是 Sandy Smith/ANWest/ANSales/ANAcme，其中 AN 是替代名稱。

若需替代名稱的相關資訊，請參閱主題新增替代語言及名稱給使用者 ID。

LDAP 使用者

您可以使用次要 LDAP 目錄來鑑定網際網路使用者。然後，您可以將這些網際網路使用者的名稱新增至資料庫 ACL，以控制使用者存取資料庫。

您還可以在次要 LDAP 目錄中建立包含網際網路使用者名稱的群組，然後，新增這些群組，作為 Notes 資料庫 ACL 中的項目。例如，網際網路使用者可能嘗試存取 Domino Web 伺服器上的資料庫。如果 Web 伺服器鑑定使用者，且 ACL 包含名為 "Web" 的群組，則伺服器除了在主要「Domino 名錄」中搜尋項目之外，還可在位於外來 LDAP 目錄的 "Web" 群組中，查閱網際網路使用者的名稱。請注意，欲讓此方法行得通，Web 伺服器上的「目錄輔助」資料庫必須包含 LDAP 目錄的「LDAP 目錄輔助」文件，並啟用「群組擴展」選項。您還可以使用此功能來查閱儲存在外來 LDAP 目錄群組中的 Notes 使用者名稱，以進行資料庫 ACL 檢查。

當您將 LDAP 目錄使用者或群組名稱新增至資料庫 ACL 時，請使用 LDAP 格式的名稱，但使用正斜線 (/) 而非逗點 (,) 作為分隔字元。例如，如果使用者在 LDAP 目錄中的名稱為：

uid=Sandra Smith,o=Acme,c=US

uid=Sandra Smith/o=Acme/c=US

cn=managers

managers

cn=managers,o=acme

cn=managers/o=acme

例如，如果您在 ACL 中輸入以下名稱：

cn=Sandra Smith/ou=West/o=Acme/c=US

Sandra Smith/West/Acme/US

任何存取伺服器而未進行初次鑑定的使用者，或伺服器在該伺服器上的名稱為 "Anonymous"。匿名資料庫使用權會指定給未經過伺服器鑑定的網際網路使用者及 Notes 使用者。

匿名存取通常在位於大眾可用之伺服器上的資料庫中使用。您可以控制授與匿名使用者或伺服器的資料庫使用權層次，方法是在使用權控制清單中輸入名稱 Anonymous，並指定適當層次的使用權。通常您指定給「匿名」使用者資料庫的「讀者」使用權。

下面表格說明匿名使用者，將會擁有資料庫使用權的不同狀況：

	已啟用網際網路通訊協定的匿名存取	未啟用網際網路通訊協定的匿名存取
已在資料庫 ACL 中啟用匿名存取	使用者以「匿名」項目的使用權控制清單資訊存取資料庫。例如，如果「匿名」使用權設為「讀者」，則會授與存取資料庫的匿名使用者「讀者」使用權。	當使用者嘗試存取伺服器上的任何資源時，系統會提示使用者進行鑑定。如果使用者未列示在資料庫中 (透過群組項目、萬用字元項目，或如果使用者名稱已明確列出)，則使用者會以 -Default- 項目的使用權控制清單資訊存取資料庫。
已在資料庫 ACL 中授與匿名「無使用權」	如果已授與「匿名」「無使用權」(但未啟用「讀取與寫入公用文件」專用權)，則不允許「匿名」使用者存取資料庫，並會提示他們進行鑑定。當他們進行鑑定時，會檢查資料庫 ACL 中的名稱，以決定應授與的資料庫使用權層次。
未在資料庫 ACL 中列出匿名	匿名使用者以 -Default- 項目的使用權控制清單資訊存取資料庫。例如，如果 -Default- 使用權設為「讀者」，且 ACL 中沒有「匿名」項目，則會授與存取資料庫的匿名使用者「讀者」使用權。

匿名使用者 (那些透過「匿名」項目被授與資料庫使用權，以及那些透過 -Default- 項目獲得使用權的使用者) 在資料庫中嘗試執行某些他們使用權層次所不允許的動作時，系統會提示他們進行鑑定。例如，如果「匿名」設為「讀者」，且匿名使用者嘗試建立新文件，則會提示該使用者以名稱及密碼進行鑑定。

秘訣 如果您想要所有使用者透過資料庫進行鑑定，則請確定「匿名」在資料庫 ACL 中，且使用權層次為「無使用權」，並確定未啟用「讀取公用文件」及「寫入公用文件」。將網際網路使用者名稱新增至 ACL，並授與其您所需要的使用權層次。

Domino 伺服器將群組名稱 Anonymous 僅用於使用權控制檢查。例如，如果在資料庫 ACL 中 Anonymous 具有「作者」使用權，則使用者的真實名稱會顯示在那些文件的「作者」欄位中。Domino 伺服器可在文件的「作者」欄位中，僅顯示匿名 Notes 使用者的真實名稱，而不顯示匿名網際網路使用者的真實名稱。「作者」欄位決不是一種安全性功能，不論是否使用匿名存取；如果基於安全考量需要驗證作者名稱，則應簽認文件。

抄本 ID

若要允許一個資料庫中的代理程式使用 @DbColumn 或 @DbLookup 來從另一個資料庫擷取資料，請在包含要擷取資料之資料庫的 ACL 中，輸入包含代理程式資料庫的抄本 ID。包含代理程式的資料庫，至少必須具有包含要擷取資料之資料庫的「讀者」使用權。兩個資料庫都必須在同一伺服器上。例如，資料庫 ACL 中的抄本 ID 為 85255B42:005A8fA4。您可以大寫或小寫字母輸入抄本 ID，但不要使用引號含括。

如果您未將該抄本 ID 新增至使用權控制清單，則只要您資料庫的 -Default- 使用權層次為「讀者」或更高使用權，其他資料庫仍可以擷取資料庫。

ACL 項目的評估次序

系統會以特定次序評估 ACL 項目，以決定要授與嘗試存取資料庫的已鑑定使用者何種使用權層次。如果使用者無法透過伺服器進行鑑定，但儘管如此，伺服器仍允許存取，則存取會按照使用者的名稱為 "Anonymous" 的情況處理。

• ACL 會先檢查使用者名稱，以查看其是否符合 ACL 中的明確項目。ACL 會檢查所有相符的使用者名稱。例如，Sandra E Smith/West/Acme 將與項目 Sandra E Smith/West/Acme/US 及 Sandra E Smith 相符。如果個人的兩個不同項目具有不同的使用權層次 (例如，在不同時間由不同管理員套用)，則會授與嘗試存取資料庫的使用者最高使用權層次，以及 ACL 中該使用者之兩個項目的存取專用權聯集。如果使用者具有替代名稱，亦可能發生此狀況。

  附註 如果您僅在 ACL 中輸入一般名稱 (例如，Sandra E Smith)，則僅當使用者名稱與資料庫伺服器在同一網域階層時，該項目才符合。例如，如果使用者是 Sandra E Smith，其階層式名稱為 Sandra E Smith/West/Acme，且資料庫伺服器為 Manufacturing/FactoryCo，則項目 Sandra E Smith 不會取得伺服器 Manufacturing/FactoryCo 上 ACL 之正確層次的使用權。若要使用者在其他網域的伺服器上取得正確層次的 ACL 使用權，名稱必須以完整階層式格式輸入。

• 如果沒有與使用者名稱相符的項目，則 ACL 會檢查以查看是否有群組名稱項目可與之相符。如果嘗試存取資料庫的個人碰巧與多個群組項目相符，例如，如果此人是「銷售」部門成員，且有兩個「銷售」群組項目：Acme Sales 及 Sales Managers，則會授與此人最高使用權層次，以及 ACL 中該群組之兩個項目的存取專用權聯集。

  附註 如果使用者符合 ACL 中的明確項目，且是 ACL 中所列出的某個群組成員，則即使群組使用權層次更高，使用者也總是會取得指定給明確項目的使用權層次。

• 如果沒有與群組名稱相符的項目，則 ACL 會檢查以查看是否有萬用字元項目可與之相符。如果嘗試存取資料庫的個人碰巧與多個萬用字元項目相符，則會授與此人最高使用權層次，以及所有相符萬用字元項目的存取專用權聯集。
• 最後，如果從資料庫 ACL 項目中找不到相符項目，則會授與此人為 -Default- 項目定義的使用權層次。

配置資料庫 ACL
預設 ACL 項目
網際網路/內部網路用戶端的名稱及密碼認證
設定伺服器之抄寫的資料庫 ACL
設定目錄輔助
伺服器及使用者的階層式命名

名詞解釋

說明的說明

開啟完整的說明視窗

名詞解釋

說明的說明