eDirectoryでの権利

ツリーを作成すると、デフォルトの権利割り当てによって、ネットワークへの汎用アクセスとセキュリティが与えられます。デフォルトの割り当てには、次のようなものがあります。

• ユーザAdminはツリーの最上位に対してスーパバイザ権を持ちます。これにより、Adminはディレクトリ全体を完全に制御できます。Adminは、NetWareサーバオブジェクトに対してもスーパバイザ権を持ち、サーバ上のどのボリュームに対しても完全に制御できます。
• [Public]はツリーの最上位のブラウズ権を持ちます。これにより、すべてのユーザが、パブリックアクセスを通して、ツリー内のすべてのオブジェクトを表示する権利を持つことになります。
• NetWareでの移行、印刷アップグレード、またはWindows NTでのユーザ移行などのアップグレードプロセスを通して作成したオブジェクトは、ほとんどの場合、適切なトラスティを割り当てられます。

トラスティ割り当ておよびターゲット

権利の割り当てには、トラスティとターゲットとなるオブジェクトが関係します。トラスティとは、認証されているユーザまたはユーザのグループを表します。ターゲットとは、ユーザが権利を持っているネットワークリソースです。

• 別名をトラスティにする場合、権利は別名が示すオブジェクトにのみ適用されます。ただし、別名オブジェクトを明示的にターゲットにすることは可能です。
• ファイルシステム権はeDirectory内ではなく、ファイルシステム自体に保存されていますが、NetWareファイルシステム内のファイルまたはディレクトリも、ターゲットにすることができます。

注:  [Public]トラスティは、オブジェクトではありません。すべてのネットワークユーザに対して与えられる、権利割り当てに関連するトラスティです。

eDirectoryでの権利の概念

eDirectoryでの権利についてより良く理解していただくために、次に各権利の概念について説明します。

• オブジェクト(エントリ)権
• プロパティ権
• 有効な権利
• 有効な権利を計算する方法
• 同等セキュリティ
• ACL(アクセス制御リスト)
• IRF(権利継承フィルタ)

オブジェクト(エントリ)権

トラスティ割り当てを作成するときには、オブジェクト権とプロパティ権を与えることができます。オブジェクト権はオブジェクト全体の操作に適用されますが、プロパティ権は一定のオブジェクトプロパティにのみ適用されます。オブジェクト権は、eDirectoryデータベース内でエントリが提供されるため、エントリ権と呼ばれます。

各権利について、次に説明します。

• スーパバイザ には、オブジェクトおよびそのオブジェクトのすべてのプロパティに対する、すべての権利が含まれます。

• 参照 とは、ツリー内のオブジェクトを参照する権利です。オブジェクトのプロパティを参照する権利は含まれていません。

• 作成 は、ターゲットオブジェクトがコンテナの場合にのみ適用されます。トラスティがコンテナの下に新規オブジェクトを作成する権利のことで、ブラウズ権も含まれます。

• 削除 とは、ディレクトリからターゲットを削除する権利です。

• リネーム とは、ターゲット名を変更する権利です。

プロパティ権

トラスティ割り当てを作成するときには、オブジェクト権とプロパティ権を与えることができます。オブジェクト権はオブジェクト全体の操作に適用されますが、プロパティ権は一定のオブジェクトプロパティにのみ適用されます。

iManagerでは、プロパティ権の管理用に次の2つのオプションが用意されています。

• ［すべての属性権］項目が選択されている場合は、すべてのプロパティを管理できます。
• 特定のプロパティが選択されている場合は、選択された個々のプロパティを管理できます。

各権利について、次に説明します。

• スーパバイザ は、トラスティにプロパティの完全な制御権を与えます。

• 比較 により、トラスティは、プロパティの値と任意の値を比較できます。この権利によって検索が可能になります。検索では、TRUEまたはFALSEの結果のみ返されます。トラスティは、プロパティの値を実際に参照することはできません。

• 読み込み により、トラスティはプロパティの値を参照することができます。この権利には、比較権が含まれます。

• 書き込み により、トラスティはプロパティの値を作成、変更、および削除できます。

• 自己追加 とは、トラスティ自身をプロパティの値として追加または削除する権利です。この権利は、メンバーシップリストまたはACL(アクセス制御リスト)などのような、値としてオブジェクト名を持つプロパティに適用されます。

有効な権利

ユーザは、明示的なトラスティ割り当て、継承、および同等セキュリティなどのさまざまな方法で権利を受け取ることができます。権利は、権利継承フィルタにより制限され、下位レベルのトラスティ割り当てによって変更、または取り消すこともできます。このような操作による最終的な結果、つまりユーザが実際に行使できる権利を、「有効な権利」といいます。

ユーザがいずれかの操作を実行しようとするたびに、該当のオブジェクトに対するそのユーザの有効な権利が計算されます。

有効な権利を計算する方法

ユーザがネットワークリソースにアクセスを試みるたびに、eDirectoryは次の手順でそのターゲットリソースに対するユーザの有効な権利を計算します。

1. 計算で考慮される権利を持ったトラスティをリストします。考慮されるトラスティには次のものがあります。
   • ターゲットリソースにアクセスしようとしているユーザ
   • ユーザが同等セキュリティとなっているオブジェクト

2. リスト内の各トラスティに対して、次のように有効な権利を決定します。
   1. まず、ツリーの最上位に対してトラスティが継承可能な権利を持っているかどうかチェックします。

      eDirectoryはツリーオブジェクトのオブジェクトトラスティ(ACL)プロパティをチェックして、該当のトラスティが登録された項目があるかどうか調べます。該当のトラスティが登録された項目が見つかり、その権利が継承可能な場合、eDirectoryはそれらの項目に指定された権利を、該当のトラスティの有効な権利の初期セットとして使用します。

   2. ツリー内の、ターゲットリソースが含まれている分岐を1レベル下に移動します。
   3. このレベルでフィルタリングされるすべての権利を削除します。

      eDirectoryはこのレベルのACLをチェックし、該当のトラスティの有効な権利のタイプ(オブジェクト、すべてのプロパティ、または特定のプロパティ)と一致するIRF(権利継承フィルタ)がないか調べます。検出された場合は、eDirectoryは該当のトラスティの有効な権利から、これらのIRFによって継承を阻止されるすべての権利を削除します。

      たとえば、上位のレベルで、トラスティの有効な権利にすべてのプロパティに対する書き込み権の割り当てが含まれていても、このレベルのIRFによってその継承を阻止された場合、すべてのプロパティに対する書き込み権はトラスティの有効な権利から削除されます。

   4. このレベルで割り当てられた継承可能な権利があれば追加し、必要に応じて他の割り当てを無効化します。

      eDirectoryはこのレベルのACLをチェックし、該当のトラスティが登録された項目があるかどうかチェックします。該当のトラスティが登録された項目が見つかり、その権利が継承可能な場合、eDirectoryはそれらの項目の権利をトラスティの有効な権利にコピーし、必要に応じて他の割り当てを無効化します。

      たとえば、上位のレベルで、トラスティの有効な権利に作成および削除オブジェクト権が含まれ、プロパティ権についてはまったく含まれていないときに、このレベルのACLに、該当のトラスティに対する0オブジェクト権の割り当てとすべてのプロパティの書き込み権の割り当てが含まれている場合、トラスティの既存のオブジェクト権(作成および削除)は0権利に置き換えられ、新たにすべてのプロパティ権が追加されます。

   5. ツリーの各レベル(ターゲットリソースのレベルを含む)で、フィルタリングと追加の手順(cおよびd)を繰り返します。
   6. ターゲットリソースで割り当てられた継承不可能な権利があれば追加し、必要に応じて他の割り当てを無効化します。

      eDirectoryは手順2dと同じ処理を行います。その結果作成される権利のセットが、該当のトラスティの有効な権利になります。

3. リスト内のすべてのトラスティの有効な権利を次のように結合します。
   1. eDirectoryはりスト内のいずれかのトラスティが所有している権利をすべて含め、リスト内のどのトラスティも所有していない権利のみ除外します。権利タイプは混在させません。たとえば、特定のプロパティに対する権利を、すべてのプロパティに対する権利に追加したり、その逆を行うことはありません。
   2. 現在有効な権利に暗黙で含まれる権利を追加します。

      権利の設定により、ターゲットリソースに対するユーザの有効な権利が作られます。

例

ユーザDJonesが、ボリュームAcctg_Volにアクセスしようとしています(図 20を参照してください)。

図 20
トラスティ権の例

次の手順は、eDirectoryがAcctg_Volに対するDJonesの有効な権利を計算する方法を示したものです。

1. 計算で考慮される権利を持ったトラスティは、DJones、Marketing、Tree、および[Public]です。

   ここでは、DJonesがどのグループまたは役割にも所属せず、どの同等セキュリティにも明示的に割り当てられていないと仮定します。

2. 各トラスティの有効な権利は、次のとおりです。
   • DJones: 0オブジェクト、0すべてのプロパティ

     Acctg_Volで0すべてのプロパティ権を割り当てられることで、Accountingでのすべてのプロパティに対する書き込み権の割り当ては無効化されます。

   • Marketing: 0すべてのプロパティ

     ツリーの最上位にあるすべてのプロパティに対する書き込み権の割り当ては、AccountingでのIRFによって除外されます。

   • Tree: 権利なし

     Treeには、関連するどのツリー分岐でも、権利はまったく割り当てられません。

   • [Public]: オブジェクトのブラウズ権、すべてのプロパティの読み込み権

     これらの権利はルートで割り当てられ、関連するツリー分岐のどの位置でも、フィルタリングも無効化もされません。

3. これらすべてのトラスティの権利を結合することによって、次のようになります。

   DJones: オブジェクトのブラウズ権、すべてのプロパティの読み込み権

4. すべてのプロパティの読み込み権に伴って暗黙で割り当てられるすべてのプロパティの比較権を追加することで、最終的にAcctg_Volに対するDJonesの有効な権利は次のようになります。

   DJones: オブジェクトのブラウズ権、すべてのプロパティの読み込み、比較権

有効な権利のブロック

有効な権利の計算方法では、IRFに頼らずに特定の権利を特定のユーザに対してブロックする方法は、必ずしも明確ではありません(IRFはすべてのユーザの権利をブロックします)。

特定の権利をIRFに頼らずにユーザに対してブロックするには、次のような方法があります。

• ターゲットリソース、およびツリー内のターゲットリソースよりも上位のレベルで、該当のユーザおよびそのユーザと同等セキュリティになるオブジェクトにそれらの権利を割り当てないようにする。
• 該当のユーザまたはそのユーザが同等セキュリティになるいずれかのオブジェクトにそれらの権利が実際に割り当てられている場合は、ツリーの下位レベルに、それらの権利の割り当てを阻止する何らかの割り当てをそのオブジェクトに対して与えるようにする。不適切な権利を持つすべての(ユーザと関連する)トラスティに対して、これを実行します。

同等セキュリティ

同等セキュリティとは、別のオブジェクトと同じ権利を持つことを意味します。あるオブジェクト(オブジェクトA)を別のオブジェクト(オブジェクトB)と同等セキュリティにすると、オブジェクトAの有効な権利の計算時には、オブジェクトBの権利がオブジェクトAに追加されます。

たとえば、ユーザオブジェクトJoeをAdminオブジェクトと同等セキュリティにするとします。同等セキュリティを割り当てた後は、Joeは、ツリーおよびファイルシステムに対して、Adminが持つ権利と同じ権利を持つことになります。

同等セキュリティには、次の3つのタイプがあります。

• 明示的: 割り当てによる
• 自動: グループのメンバーシップまたは役割による
• 暗黙的: すべてのペアレントコンテナおよび[Public]トラスティと同等

同等セキュリティは、1ステップにかぎり有効です。たとえば、さらに別のユーザを上の例のJoeと同等セキュリティにした場合、このユーザはJoeの権利は受け取りますが、Adminの権利は受け取りません。

同等セキュリティは、該当のユーザオブジェクトの同等セキュリティプロパティの値としてeDirectoryに記録されます。

ユーザオブジェクトを職種オブジェクトにその職種の担当者として追加すると、そのユーザは自動的にその職種オブジェクトと同等セキュリティになります。ユーザをグループオブジェクトに追加した場合も同様です。

ACL(アクセス制御リスト)

ACL(アクセス制御リスト)は、オブジェクトトラスティプロパティとも呼ばれます。トラスティを割り当てると、そのトラスティは値としてターゲットのオブジェクトトラスティ(ACL)プロパティに追加されます。

このプロパティは、次の理由から、ネットワークのセキュリティに大きく影響します。

• オブジェクトのオブジェクトトラスティ(ACL)プロパティに対する書き込み権またはスーパバイザ権を持つユーザは、そのオブジェクトのトラスティが誰であるかを知ることができる。
• オブジェクトのオブジェクトトラスティ(ACL)プロパティに対して自己追加権を持つユーザは、そのオブジェクトに対する自分の権利を変更できる。たとえば、そのユーザは自分にスーパバイザ権を与えることができます。

このため、コンテナオブジェクトのすべてのプロパティに対して自己追加権を与える場合は、慎重に行う必要があります。自己追加権を割り当てられたトラスティは、該当のコンテナ、その中のすべてのオブジェクト、およびその下のコンテナ内のすべてのオブジェクトに対してスーパバイザとなることができます。

IRF(権利継承フィルタ)

権利継承フィルタにより、eDirectoryツリーの下位レベルへの権利の継承をブロックできます。このフィルタの設定の詳細については、eDirectoryオブジェクトまたはプロパティへの権利継承をブロックするを参照してください。

新規サーバのデフォルト権

新規サーバオブジェクトをツリーにインストールすると、次のトラスティ割り当てが作成されます。

管理の委託

eDirectoryでは、自分が管理するツリーの分岐に対する管理権を無効にして、その分岐の管理を他の人物に委託できます。たとえば、特別なセキュリティ要件により、ツリーの分岐を完全に制御する管理者を個別に置かなければならないような場合には、管理権の委託というこの方法をとることが必要になります。

管理権を委託するには、次を実行します。

1. 委託先のユーザに、該当のコンテナに対するスーパーバイザオブジェクト権を与えます。

   1. Novell iManagerで、［役割およびタスク］ボタンをクリックします。

   2. ［権利］>［トラスティの変更］の順にクリックします。

   3. アクセスを制御するコンテナオブジェクトの名前およびコンテキストを入力して、［OK］をクリックします。

   4. ［割り当てられた権利］をクリックします。

   5. 目的のプロパティの［スーパバイザ］チェックボックスをオンにします。

   6. ［完了］をクリックし、［OK］をクリックします。

2. 継承を阻止したいスーパバイザ権や他の権利をフィルタリングするためのIRFを、そのコンテナに対して作成します。

   1. Novell iManagerで、［役割およびタスク］ボタンをクリックします。

   2. ［権利］>［権利継承フィルタの変更］の順にクリックします。

   3. 変更する権利継承フィルタを持つオブジェクトの名前およびコンテキストを指定して、［OK］をクリックします。

   4. 必要に応じて権利継承フィルタのリストを編集します。

      フィルタのリストを編集するには、オブジェクトのACLプロパティへのスーパバイザ権またはアクセス制御権を持っている必要があります。オブジェクトの継承された権利を全体的にブロックするフィルタは、オブジェクトのすべてのプロパティおよび個々のプロパティに対して設定できます。

      注:  フィルタによって、このオブジェクトのトラスティに明示的に付加された権利がブロックされることはありません。これらの権利は継承されるものではないためです。

   5. ［OK］をクリックします。

重要:  ユーザオブジェクトに管理を委託した後に、そのオブジェクトが削除されると、その分岐を管理する権利を持つオブジェクトはなくなります。

パスワードの管理など、特定のeDirectoryプロパティの管理を委託するには、同等セキュリティを付与するを参照してください。

役割ベース管理アプリケーションの特定の機能の使用を委託するには、役割ベースサービスを設定するを参照してください。

権利の管理

• 権利を明示的に割り当てる
• 同等セキュリティを付与する
• eDirectoryオブジェクトまたはプロパティへの権利継承をブロックする
• eDirectoryオブジェクトまたはプロパティへの有効な権利を参照する

権利を明示的に割り当てる

eDirectoryツリーでデフォルトで割り当てられた権利によって、ユーザが必要以上にリソースにアクセスできたり、アクセスが不十分であったりする場合は、権利を明示的に作成して割り当てたり、それを変更したりできます。権利の割り当てを作成または変更するには、まず最初にアクセスを制御しているリソースやトラスティ(権利を所有している、またはこれから所有するeDirectoryオブジェクト)を選択します。

ﾋﾝﾄ:  ユーザの権利を個々にではなく集団で管理するには、グループ、役割、またはコンテナオブジェクトをトラスティにします。すべてのユーザについてリソースへのアクセスを全体的に制限するには、eDirectoryオブジェクトまたはプロパティへの権利継承をブロックするを参照してください。

• リソースに基づいてNovell eDirectoryへのアクセスを制御する
• トラスティに基づいてNovell eDirectoryへのアクセスを制御する

リソースに基づいてNovell eDirectoryへのアクセスを制御する

1. Novell iManagerで、［役割およびタスク］ボタンをクリックします。

2. ［権利］>［トラスティの変更］の順にクリックします。

3. アクセスを制御するeDirectoryリソース(オブジェクト)の名前およびコンテキストを指定して、［OK］をクリックします。

   コンテナの下のすべてのオブジェクトへのアクセスを制御するには、そのコンテナを選択します。

4. トラスティのリストおよび権利の割り当てを必要に応じて編集します。

   1. トラスティの権利の割り当てを変更するには、トラスティを選択し、［割り当てられた権利］をクリックして、必要に応じて権利の割り当てを変更してから、［完了］をクリックします。

   2. トラスティとしてオブジェクトを追加するには、［トラスティの追加］をクリックし、オブジェクトを選択し、［OK］をクリックします。次に、［割り当てられた権利］をクリックしてトラスティを割り当て、［完了］をクリックします。

      権利の割り当てを作成または変更する場合、オブジェクト全体に対しても、オブジェクトのすべてのプロパティまたは個々のプロパティに対しても、アクセスを付与したり拒否したりすることができます。

   3. トラスティとなっているオブジェクトを削除するには、そのトラスティを選択し、［トラスティの削除］をクリックします。

      削除されたトラスティには、オブジェクトやプロパティに対する明示的な権利はすでにありませんが、継承や同等セキュリティによる有効な権利はまだ存在する可能性があります。

5. ［OK］をクリックします。

トラスティに基づいてNovell eDirectoryへのアクセスを制御する

1. Novell iManagerで、［役割およびタスク］ボタンをクリックします。

2. ［権利］>［他のオブジェクトに対する権利］の順にクリックします。

3. 権利を変更するトラスティ(権利を所有している、またはこれから所有するオブジェクト)の名前やコンテキストを入力します。

4. ［検索範囲のコンテキスト］フィールドで、トラスティが現在権利を割り当てられているeDirectoryオブジェクトを検索するeDirectoryツリーの一部を指定します。

5. ［OK］をクリックします。

   検索の進行状況を表す画面が表示されます。検索が終了すると、［他のオブジェクトに対する権利］ページに検索結果が表示されます。

6. トラスティのeDirectory権利の割り当てを必要に応じて編集します。

   1. 権利の割り当てを追加するには、［オブジェクトの追加］をクリックし、アクセスを制御するオブジェクトを選択して、［OK］をクリックします。次に、［割り当てられた権利］をクリックして、トラスティの権利を割り当ててから［完了］をクリックします。

   2. 権利の割り当てを変更するには、アクセスを制御するオブジェクトを選択し、［割り当てられた権利］をクリックして、必要に応じてトラスティの権利の割り当てを変更してから、［完了］をクリックします。

      権利の割り当てを作成または変更する場合、オブジェクト全体に対しても、オブジェクトのすべてのプロパティまたは個々のプロパティに対しても、アクセスを付与したり拒否したりすることができます。

   3. 権利の割り当てを削除するには、アクセスを制御するオブジェクトを選択して、［オブジェクトの削除］をクリックします。

      トラスティには、オブジェクトやプロパティに対する明示的な権利はすでにありませんが、継承や同等セキュリティによる有効な権利はまだ存在する可能性があります。

7. ［OK］をクリックします。

同等セキュリティを付与する

別のeDirectoryオブジェクトに対して同等セキュリティとなっているユーザは、事実上そのオブジェクトのすべての権利を持っています。ユーザは自動的に、所属するグループや役割に対して同等セキュリティになります。すべてのユーザは、[Public]トラスティ、およびツリーオブジェクトなど、eDirectoryツリーのユーザオブジェクトの上にある個々のコンテナに対して、暗黙で同等セキュリティとなります。また、任意のeDirectoryオブジェクトに対して同等セキュリティを明示的に付与することもできます。

注:  このセクションのタスクを実行すると、eDirectory権利を通じて管理権を委託することができます。RBS(役割ベースサービス)役割を使用する管理アプリケーションがある場合、それらの役割にユーザメンバーシップを割り当てることで管理権を委託することもできます。

• メンバーシップに基づいて同等セキュリティを付与する
• 明示的に同等セキュリティを付与する
• オブジェクト固有のeDirectoryプロパティの管理者を設定する

メンバーシップに基づいて同等セキュリティを付与する

1. まだ完了していない場合は、ユーザを同等セキュリティにするグループまたは役割オブジェクトを作成します。

   詳細については、オブジェクトを作成するを参照してください。

2. グループや役割に、ユーザに必要なeDirectory権利を与えます。

   詳細については、権利を明示的に割り当てるを参照してください。

3. グループや役割のメンバーシップを編集して、グループや役割の権利を必要とするユーザを追加します。

   • グループオブジェクトには、［メンバー］プロパティページを使用します。

     Novell iManagerで、［eDirectory管理］>［オブジェクトの変更］の順にクリックし、グループオブジェクトの名前とコンテキストを指定して［OK］をクリックし、次に［メンバー］タブをクリックします。

   • 職種オブジェクトには、［担当者］プロパティページの［担当者］フィールドを使用します。

     Novell iManagerで、［eDirectory管理］>［オブジェクトの変更］の順にクリックし、rbsRoleオブジェクトの名前とコンテキストを指定して［OK］をクリックし、次に［全般］タブで［担当者］をクリックします。

   • rbsRoleオブジェクトには、［iManagerのメンバーを変更］ページを使用します。

     Novell iManagerで、［設定］ボタンをクリックし、［役割の設定］>［iManagerの役割を変更］の順にクリックします。次に、変更する役割の左にある［メンバーの変更］ボタンをクリックしてから、［iManagerのメンバーを変更］ページのオプションを使用して役割のメンバーを追加または削除します。

4. ［OK］をクリックします。

明示的に同等セキュリティを付与する

1. Novell iManagerで、［役割およびタスク］ボタンをクリックします。

2. ［eDirectory管理］>［オブジェクトの変更］の順にクリックします。

3. ユーザを同等セキュリティとするユーザまたはオブジェクトの名前およびコンテキストを入力して、［OK］をクリックします。

4. ［セキュリティ］タブをクリックし、次のように同等セキュリティを付与します。

   • ユーザを選択し、［同等セキュリティ］をクリックします。次に、ユーザを同等セキュリティとするオブジェクトの名前とコンテキストを入力して<Enter>を押し、［OK］をクリックします。
   • ユーザを同等セキュリティとするオブジェクトを選択する場合は、［同等セキュリティ保有者］をクリックし、オブジェクトを同等セキュリティとするユーザの名前とコンテキストを入力して<Enter>を押し、［OK］をクリックします。

   これらの2つのプロパティページのコンテキストは、システムによって同期されます。

5. ［OK］をクリックします。

オブジェクト固有のeDirectoryプロパティの管理者を設定する

1. まだ完了していない場合、オブジェクト固有のプロパティのトラスティを作成するユーザ、グループ、役割、またはコンテナオブジェクトを作成します。

   トラスティとしてコンテナを作成する場合、コンテナ内またはその下のすべてのオブジェクトに権利が付与されます。プロパティは継承可能なものにする必要があります。そうしないと、コンテナおよびそのメンバーは下位レベルへの権利を持たなくなります。

   詳細については、オブジェクトを作成するを参照してください。

2. Novell iManagerで、［役割およびタスク］ボタンをクリックします。

3. ［権利］>［トラスティの変更］の順にクリックします。

4. 管理者による管理を必要とする最高レベルのコンテナの名前とコンテキストを指定し、［OK］をクリックします。

5. ［トラスティの変更］ページで、［トラスティの追加］をクリックし、管理者を表すオブジェクトを選択して［OK］をクリックします。

6. 追加したトラスティの［割り当てられた権利］をクリックし、［プロパティの追加］をクリックします。

7. プロパティリストに追加するプロパティを選択して、［OK］をクリックします。

8. 管理者が管理するそれぞれのプロパティについて、必要な権利を割り当てます。

   それぞれの権利の割り当ての［継承可能］チェックボックスをオンにします。

9. ［完了］をクリックし、［OK］をクリックします。

eDirectoryオブジェクトまたはプロパティへの権利継承をブロックする

eDirectoryでは、コンテナの権利の割り当ては、継承可能な場合とそうでない場合があります。NetWareのファイルシステムでは、フォルダ上のすべての権利の割り当ては継承可能です。eDirectoryおよびNetWareでは、個々の下位アイテムについてこのような継承をブロックして、トラスティになるユーザに関係なく、これらのアイテム上では権利を無効にすることができます。例外として、NetWareファイルシステムではスーパバイザ権はブロックできません。

1. Novell iManagerで、［役割およびタスク］ボタンをクリックします。

2. ［権利］>［権利継承フィルタの変更］の順にクリックします。

3. 変更する権利継承フィルタを持つオブジェクトの名前およびコンテキストを指定して、［OK］をクリックします。

   これで、すでにオブジェクトに設定された権利継承フィルタのリストが表示されます。

4. プロパティページで、必要に応じて権利継承フィルタのリストを編集します。

   フィルタのリストを編集するには、オブジェクトのACLプロパティへのスーパバイザ権またはアクセス制御権を持っている必要があります。オブジェクトの継承された権利を全体的にブロックするフィルタは、オブジェクトのすべてのプロパティおよび個々のプロパティに対して設定できます。

   注:  フィルタによって、このオブジェクトのトラスティに明示的に付加された権利がブロックされることはありません。これらの権利は継承されるものではないためです。

5. ［OK］をクリックします。

eDirectoryオブジェクトまたはプロパティへの有効な権利を参照する

有効な権利は、ユーザが特定のネットワークリソース上で実行できる実際の権利です。有効な権利は、明示的な権利の割り当て、継承、および同等セキュリティを基に、eDirectoryによって計算されます。システムにクエリを設定すると、リソースへのユーザの有効な権利が決定されます。

1. Novell iManagerで、［役割およびタスク］ボタンをクリックします。

2. ［権利］>［有効な権利の表示］の順にクリックします。

3. 参照する有効な権利を持つトラスティの名前とコンテキストを入力し、［OK］をクリックします。

4. 次のオプションから選択します。

   オプション	説明
   プロパティ名	トラスティが有効な権利を持つプロパティを表示します。プロパティはeDirectoryから読み込まれるため、通常英語で表示されます。リストの個々のアイテムは次のタイプのいずれかです。 ［すべての属性権］-オブジェクトのすべてのプロパティを表します。 ［エントリ権］-オブジェクト全体を表します。スーパバイザの場合を除き、このアイテムへの権利にはプロパティの権利は含まれません。 特定のプロパティ-トラスティが個々に権利を持つ特定のプロパティです。デフォルトでは、このオブジェクトクラスのプロパティのみが表示されます(次を参照)。
   有効な権利	eDirectoryで計算されたとおりに、選択されたプロパティへのトラスティの有効な権利を表示します。
   スキーマ内のすべてのプロパティを表示する	このチェックボックスをオフにすると、このオブジェクトクラスのプロパティのみが表示されます。 eDirectoryスキーマで定義されたすべてのクラスのプロパティを表示するには、このチェックボックスをオンにします。追加のプロパティが有効になるのは、このオブジェクトがコンテナである場合、またはそれが拡張されて補助クラスのプロパティを含む場合のみです。追加のプロパティの横には行頭文字は表示されません。

5. ［完了］をクリックします。