18.4. ACI 评估
要评估对特定条目的访问权限,服务器会创建条目本身上存在的 ACI 列表,并在父条目上备份到目录服务器中的顶级条目。ACI 是针对特定实例的所有数据库进行评估,但不能在不同实例间评估。
目录服务器根据 ACI 的语义而不是目录树中的放置来评估此 ACI 列表。这意味着,接近目录树根目录的 ACI 不会优先于与目录树保留更接近的 ACI。
在 Directory 服务器中,ACT 中的 deny 权限优先于 allow 权限。例如,如果您在目录的根目录中拒绝写入权限,则任何用户都可以写入该目录,无论其他 ACI 是否授予这个权限。要为目录授予特定用户写入权限,您必须对原始拒绝规则添加例外,以允许用户在该目录中写入。
注意
为了改进 ACI,请使用精细的 允许规则,而不是 拒绝规则。