按类的访问权限
有效访问值取决于资源所属的类。 下表按类列出了 AC 环境中的有效访问值。
cminder12901cn
有效访问值取决于资源所属的类。 下表按类列出了 AC 环境中的有效访问值。
类 | 有效访问值 | 访问者可执行的操作 |
所有类 | all | 对该类执行 所有 有效操作。 |
none | 对该类 不 执行任何有效操作。 | |
ADMIN | create | 在该类中创建记录。 |
delete | 删除该类中的记录。 | |
join | 将组添加到 USER 记录并完成用户到组的链接。 注意: 访问者也必须拥有修改 权限。 | |
modify | 修改现有记录。 注意: 要将用户链接到组(将用户名添加到 GROUP 记录),访问者还必须拥有加入 权限。 | |
password | 更改其他用户的密码。 注意: 此访问类型仅影响 USER 类。 | |
读取 | 列出该类中的记录。 | |
AUTHHOST | 读取 | 从已进行身份验证的主机登录。 |
CONNECT | 读取 | 连接到远程主机。 |
CONTAINER | inherited
| 注意: 此类的有效访问值为所包含对象的类的有效值。 |
DOMAIN | chmod | 创建和删除两个域之间的信任关系。 注意: 这两个域都必须具有此访问类型。 |
execute | 向域添加成员或删除域中的成员。 | |
读取 | 列出域成员。 | |
FILE, GFILE | chdir | 使用相同的读取和执行权限访问目录。 |
chmod | 更改文件系统模式。 注意: 仅适用于 UNIX 主机。 | |
chown | 更改记录的所有者。 | |
control | 执行 所有 有效操作,删除 和重命名 除外。 | |
create | 在该类中创建记录。 | |
delete | 删除该类中的记录。 | |
execute | 执行程序。 注意: 访问者还必须拥有读取 权限。 | |
读取 | 使用文件或目录,而不对其进行更改。 注意: 使用 UNIX 时,如果您希望使用读取 权限来控制用户是否可以执行获取文件信息的操作(例如 ls -l),则将 STAT_intercept 配置设置为 1。 有关详细信息,请参阅《参考指南 》。 | |
rename | 重命名此类中的记录。 | |
sec | 更改此类中记录的 ACL。 | |
update | 执行 读取 、 写入 和执行 的组合操作。 | |
utime | 更改文件的修改时间。 注意: 仅适用于 UNIX 主机。 | |
写入 | 更改文件或目录。 | |
HNODE | 读取 | 列出此类中的记录。 |
写入 | 编辑记录的详细信息。 | |
HOLIDAY | 读取 | 在指定假日期间登录。 |
KMODULE | load | 加载内核模块。 |
unload | 卸载内核模块。 | |
MFTERMINAL | 读取 | 从大型机终端登录。 |
写入 | 从大型机终端管理。 | |
POLICY | delete | 删除策略。 |
execute | 部署策略。 | |
读取 | 查看策略详细信息。 | |
写入 | 编辑记录的详细信息。 | |
取消部署 | 执行 删除 和执行 的组合操作。 | |
PROCESS | 读取 | 终止进程。 |
PROGRAM, SUDO, GSUDO | execute | 执行程序。 |
REGKEY | delete | 删除 Windows 注册表键。 |
读取 | 列出 Windows 注册表键的内容。 | |
写入 | 更改 Windows 注册表键。 | |
REGVAL | delete | 删除 Windows 注册表值。 |
读取 | 读取 Windows 注册表值。 | |
写入 | 更改 Windows 注册表值。 | |
RULESET | 读取 | 查看记录的详细信息。 |
写入 | 编辑记录的详细信息。 | |
SURROGATE | execute | 替代用户。 |
TCP | 读取 | 从远程主机或主机组访问 TCP 服务。 |
TERMINAL, GTERMINAL | 读取 | 登录到终端。 |
写入 | 管理终端。 | |
UACC | inherited
| 注意: 此类的有效访问值为它所定义类的有效值。 |
WINSERVICE | 读取 | 查看 Windows 服务的属性。 |
start | 启动 Windows 服务。 | |
modify | 更改 Windows 服务的属性。 | |
恢复 | 恢复暂停的 Windows 服务。 | |
stop | 停止 Windows 服务。 | |
pause | 暂停 Windows 服务。 |
注意:
值 none 和 all 均适用于所有类。 值 all 表示某个特定类的整组访问值(none 除外)。 有关访问权限的详细信息,请参阅您操作系统的端点管理指南
。