限制管理者存取權

您可以為組織中不同類型的管理者指定各種存取權控制單資訊。例如，您可能想要授與少數人「系統管理者」存取權，而將群組中所有管理者指定為資料庫管理者。

關於這項作業

以階層方式授與管理者存取權限。專用權階層看起來像這樣：

具完整存取權限的管理者 -- 取得所列出之全部管理存取權的所有權利及使用權限。
管理者 -- 取得資料庫管理者及具有完整權限的控制台管理者（但不是系統管理者）的所有權利及使用權限。
具完整權限的控制台管理者 -- 取得僅檢視控制台管理者（但不是系統管理者）的所有權利及使用權限
系統管理者 -- 取得受限制系統管理者的權利及專用權

您不需要在每個欄位中個別列出使用者。將使用者新增至最高層次的管理者存取權，會自動將針對階層中子層層次所列出的所有專用權授與該使用者。

限制管理者存取權

程序

從「Domino® 管理者」中，按一下配置標籤，然後開啟「伺服器」文件。
按一下安全性標籤。

在管理者區段中，完成下列一個以上欄位後儲存文件。可為所有這些欄位指定個別階層式名稱、群組及萬用字元（例如 */Sales/Renovations）。使用逗點隔開多個項目。

註：除管理者欄位外，所有這些欄位預設均為空白，表示沒有人具有這些存取權。

表 1. 管理者存取說明
欄位	動作
具完整存取權限的管理者	輸入具有伺服器完整管理存取權的管理者名稱。這是最高的管理存取權限。
管理者	輸入可以管理伺服器的管理者名稱。這個欄位的預設值是最初設定伺服器的管理者名稱。此處列出的管理者具有下列權利：「Web 管理者」資料庫 (WEBADMIN.NSF) 的「管理者」存取權。建立、更新及刪除資料夾及資料庫鏈結建立、更新及刪除目錄鏈結 ACL 壓縮及刪除資料庫建立、更新及刪除全文索引建立資料庫、抄本及「主要範本」取得及設定某些資料庫選項（例如，服務中或暫停服務、資料庫配額等等）使用訊息追蹤及追蹤主旨使用控制台來遠端管理 UNIX 伺服器發出任何遠端控制台指令註：如果使用 (Java)「伺服器控制器」，而且在此欄位中輸入群組名稱，則該群組必須擁有多用途群組類型，才能容許管理者名稱出現在「管理者」欄位中。註：若為 Domino 6.0 及後續版本，如果 NOTES.INI 變數 `Server_Restricted` 是用來限制伺服器存取，則管理者仍然可以開啟伺服器上的資料庫。
資料庫管理者	輸入負責管理伺服器之資料庫的管理者名稱。請注意，不會自動授與資料庫管理者對伺服器上資料庫的「管理者」存取權，這些管理者也不會擁有「Web 管理者」資料庫的存取權。此處列出的使用者僅具有下列權利：建立、更新及刪除「資料夾」及「資料庫」鏈結建立、更新及刪除目錄鏈結 ACL 壓縮及刪除資料庫建立、更新及刪除全文索引建立資料庫、抄本及「主要範本」取得及設定某些資料庫選項（例如，服務中或暫停服務、資料庫配額等等）
具有完整權限的遠端主控台管理者	輸入可以使用遠端主控台來發出指令給這個伺服器的管理者名稱。
只能檢視的管理者	輸入可使用遠端控制台的管理者名稱，此管理者只能發出提供系統狀態資訊的指令，如 SHOW TASKS 及 SHOW SERVER。僅檢視管理者無法發出影響伺服器作業的指令。
系統管理者	輸入可以發出所有作業系統指令給伺服器的管理者名稱。指令的類型及範圍視伺服器作業系統而定。例如，Linux 伺服器的管理者只能發出 Linux 指令。註：此功能需要您在伺服器機器上執行 Domino 伺服器控制器。
受限系統管理者	輸入只容許發出受限系統指令欄位所列出之作業系統指令的管理者名稱。註：此功能需要您在伺服器機器上執行 Domino 伺服器控制器。
受限系統指令	輸入「受限系統管理者」可以發出的作業系統指令子集。指令的類型及範圍視伺服器作業系統及受限制系統管理者需要執行的作業而定。例如，您可能想要受限系統管理者來管理 UNIX 列印佇列。在此欄位中輸入管理列印佇列的 UNIX 指令。您在受限系統管理者欄位中輸入的任何名稱將僅具有這些指令的存取權。
從瀏覽器管理伺服器（Domino 6 時已作廢）	基於向後相容性，這項設定僅適用於 Domino 6 之前的伺服器。「Domino Web 管理者」用戶端只能搭配 Domino 6 以及更新版本的伺服器一起使用。如果現有網域的「Domino 名錄」已從 Domino 5 升級至更新版本，則尚未升級的伺服器仍需於其「伺服器」文件中保留這份設定，才能使用舊版的「Web 管理者」。

結果

注意：

即使並沒有將伺服器文件「安全性」標籤上「具完整存取權限的管理者」、「管理者」及「資料庫管理者」欄位中列出的管理者列為資料庫 ACL 中的管理者，這些管理者亦獲准刪除該伺服器上的任何資料庫。

具完整存取權限的管理者

關於這項作業

具完整存取權限的管理者對伺服器具有最大的管理存取權層次。具完整存取權管理者功能可取代在伺服器本端執行 Notes® 用戶端。建立具完整存取權限的管理者，可以解決當資料庫 ACL 僅有的管理者離開組織時可能產生的存取控制問題。

具完整存取權限的管理者具有下列權利：

在每一個存取層次中授與管理者的所有權限（請參閱表 1）。
伺服器上所有資料庫的「管理者」存取權，並啟用所有存取權限，而不論資料庫 ACL 設定值為何。
註：仍必須為具完整存取權限的管理者手動啟用的 ACL 角色。
「Web 管理者」資料庫 (WEBADMIN.NSF) 的「管理者」存取權，並啟用所有角色及專用權。
所有資料庫中全部文件的存取權，而不考慮「讀者姓名」欄位。
建立在具有完整管理權利的未限制模式中執行之代理程式的能力。
對伺服器上任何未加密資料的存取權。
註：具完整存取權限的管理者不允許存取加密資料。需要使用指定使用者的私密金鑰來解密以公開金鑰加密的文件。同樣地，解密以私密金鑰加密的文件需要私密金鑰。

啟用具完整存取權限的管理者模式

關於這項作業

為在具完整存取權限的管理者模式中工作，管理者必須：

使用「管理者用戶端」。
列在「伺服器」文件安全性標籤之管理者區段中的具完整存取權限的管理者欄位中。此欄位預設為空白。
選取管理 > 完整存取權管理，在「管理者」用戶端中啟用完整存取權管理模式。如果不啟用此模式，那麼即使在「伺服器」文件中被列為具完整存取權限的管理者，使用者也不會具有伺服器的完整管理者存取權。而是會授與這些使用者「管理者」權利。

啟用具完整存取權限的管理者模式後，在用戶端的視窗標題、標籤標題及狀態列會顯示已啟用此模式。這可以提醒使用者他們正以最高層次的專用權存取伺服器，因而應該謹慎操作。

如果管理者在「管理」用戶端中啟用完整管理模式，則也會對 Domino Designer 及 Notes 用戶端啟用此模式。完整管理者存取權亦會在其視窗標題、標籤標題及狀態列中有所反映。

如果使用者試圖切換至具完整存取權限的管理者模式，但在「伺服器」文件中沒有被列為此類管理者，則會拒絕該使用者的完整存取權，並且在狀態列及伺服器控制台會顯示一則訊息。用戶端將處於完整存取權模式，但該使用者不會具有該特定伺服器的完整管理者存取權。如果該使用者試圖切換伺服器，則會依據新伺服器的伺服器文件檢查該人的存取權。

停用具完整存取權限的管理者功能

您可以在 NOTES.INI 檔中設定 SECURE_DISABLE_FULLADMIN = 1，來停用具完整存取權限的管理者欄位。此設定值會停用具完整存取權的管理者專用權，並置換「伺服器」文件中該欄位內所列出的全部名稱。只有對伺服器具有實體存取權的使用者及可編輯伺服器的 NOTES.INI 檔的使用者，可設定這個 NOTES.INI 參數。此參數不能使用伺服器控制台、遠端控制台來設定，或在「伺服器」文件中設定。

管理具完整存取權的管理者功能選項

關於這項作業

授與具完整存取權管理者的方式有數種：

建立特殊 Full Admin ID 檔（例如，Full Admin/Sales/Renovations），並且僅將該名稱放入「完整管理」欄位。然後必須以這個使用者 ID 登入或切換至此 ID，以便取得這個層次的存取權。亦可選擇性地設定此 ID 檔要求多重密碼。
建立 OU 層次發證者以授與完整管理者存取權，並向信任的管理者發出其他 ID，例如 Jane Admin/Full Admin/Acme。
保留「具完整存取權限的管理者」欄位空白。針對緊急狀況新增信任的個人名稱，並在狀況解決後移除它。
在「具完整存取權限的管理者」欄位中填入一組有限的信任管理者。

您亦可追蹤此功能的使用方式：

配置「事件處理程式」，以在呼叫完整存取管理專用權時透過 EVENTS4.NSF 傳送通知。
任何使用具完整存取權限的管理者存取權來完成的資料庫動作均會記錄在資料庫動作日誌中「資料庫內容」下。
伺服器會記錄該功能的使用情況。

相關概念:

伺服器控制器及 Domino 主控台

相關工作:

將 Web 管理者的存取權提供給其他管理者

相關參考:

Server_Restricted