类 ADMIN
类 ADMIN 中的记录的访问控制列表 (ACL) 中列出的子管理员用户具有与具有 ADMIN 属性的用户类似的权限。 但是,类 ADMIN 中的记录的 ACL 中的用户的权限仅限于该记录表示的特定类。 例如,ADMIN 类中的 SURROGATE 记录确定哪些用户可以管理 SURROGATE 类的记录。
cminder12901cn
类 ADMIN 中的记录的访问控制列表 (ACL) 中列出的子管理员用户具有与具有 ADMIN 属性的用户类似的权限。 但是,类 ADMIN 中的记录的 ACL 中的用户的权限仅限于该记录表示的特定类。 例如,ADMIN 类中的 SURROGATE 记录确定哪些用户可以管理 SURROGATE 类的记录。
注意:
有关类的详细信息,请参阅《参考指南
》。ADMIN 类中的特定记录的 ACL 中的用户可以执行以下命令:
Access | 说明 | 命令 |
Read | 显示类中记录的属性。 | showusr、showgrp、showres、showfile、find |
创建 | 在类中创建新的数据库记录。 | newusr、newgrp、newres、newfile |
Modify | 更改类中的属性。 | chusr、chgrp、chres、chfile |
删除 | 从数据库中删除现有的类记录。 | rmusr、rmgrp、rmres、rmfile |
Connect | 添加用户和从组中删除用户。 此访问仅在 GROUP 记录的 ACL 中有效。 | join、join- |
密码 | 控制数据库内所有用户的密码和他们的密码属性。 此访问授予的权限与具有 PWMANAGER 属性的用户被授予的权限相同。 这仅在 USER 记录的 ACL 中有效。 | chusr |
拥有 ADMIN 类权限的用户具有以下限制:
- 在 ADMIN 类中的 USER 记录的 ACL 中定义的用户无法删除数据库中的最后一个 ADMIN 用户。
- ADMIN 类用户无法为他们所拥有的用户设置全局授权属性 - ADMIN、AUDITOR、OPERATOR 和 PWMANAGER。
- ADMIN 类用户不一定能更新审核模式。 仅具有 AUDITOR 属性的 ADMIN 类用户可以更新审核模式。
- ADMIN 类用户无法删除超级用户(UNIX 上的 root 帐户或 Windows 上的 Administrator 帐户),但他们可以将 root 设置为 NOADMIN。
- ADMIN 类用户无法使资源对自己不可访问,因此:
- ADMIN 类用户无法将高于自己安全级别的安全级别分配给资源。
- ADMIN 类用户无法分配他们不具有的安全类别或安全标签。
这些限制是 B1 安全级别认证的一部分。