1.3. ACI 评估
要评估特定条目的访问权限,服务器会在条目本身上创建一个访问控制指令(ACI)列表,并将父条目备份到存储在目录服务器中的顶级条目。ACI 针对特定实例在所有数据库中评估,但不在不同的实例之间。
目录服务器根据 ACI 的语义评估 ACI 列表,而不是在目录树中的放置上评估。这意味着,与目录树的根目录接近的 ACI 不优先于目录树所处处的 ACI。
在 Directory Server 中,ACI 中的 拒绝 权限优先于 允许 权限。例如,如果在目录的根目录中拒绝写入权限,无论其他 ACI 是否授予了此权限,任何用户都不能写入该目录。要为 目录授予特定用户写入权限,您必须为原始拒绝规则添加例外,以便用户在该目录中进行写入。
注意
若要改进 ACI,请使用精细的 允许规则 而不是 拒绝规则。
