类 ADMIN

类 ADMIN 中的记录的访问控制列表 (ACL) 中列出的子管理员用户具有与具有 ADMIN 属性的用户类似的权限。 但是,类 ADMIN 中的记录的 ACL 中的用户的权限仅限于该记录表示的特定类。 例如,ADMIN 类中的 SURROGATE 记录确定哪些用户可以管理 SURROGATE 类的记录。
cminder12901cn
类 ADMIN 中的记录的访问控制列表 (ACL) 中列出的子管理员用户具有与具有 ADMIN 属性的用户类似的权限。 但是,类 ADMIN 中的记录的 ACL 中的用户的权限仅限于该记录表示的特定类。 例如,ADMIN 类中的 SURROGATE 记录确定哪些用户可以管理 SURROGATE 类的记录。
注意:
有关类的详细信息,请参阅《
参考指南
》。
ADMIN 类中的特定记录的 ACL 中的用户可以执行以下命令:
Access
说明
命令
Read
显示类中记录的属性。
showusr、showgrp、showres、showfile、find
创建
在类中创建新的数据库记录。
newusr、newgrp、newres、newfile
Modify
更改类中的属性。
chusr、chgrp、chres、chfile
删除
从数据库中删除现有的类记录。
rmusr、rmgrp、rmres、rmfile
Connect
添加用户和从组中删除用户。 此访问仅在 GROUP 记录的 ACL 中有效。
join、join-
密码
控制数据库内所有用户的密码和他们的密码属性。 此访问授予的权限与具有 PWMANAGER 属性的用户被授予的权限相同。 这仅在 USER 记录的 ACL 中有效。
chusr
拥有 ADMIN 类权限的用户具有以下限制:
  • 在 ADMIN 类中的 USER 记录的 ACL 中定义的用户无法删除数据库中的最后一个 ADMIN 用户。
  • ADMIN 类用户无法为他们所拥有的用户设置全局授权属性 - ADMIN、AUDITOR、OPERATOR 和 PWMANAGER。
  • ADMIN 类用户不一定能更新审核模式。 仅具有 AUDITOR 属性的 ADMIN 类用户可以更新审核模式。
  • ADMIN 类用户无法删除超级用户(UNIX 上的 root 帐户或 Windows 上的 Administrator 帐户),但他们可以将 root 设置为 NOADMIN。
  • ADMIN 类用户无法使资源对自己不可访问,因此:
    • ADMIN 类用户无法将高于自己安全级别的安全级别分配给资源。
    • ADMIN 类用户无法分配他们不具有的安全类别或安全标签。
这些限制是 B1 安全级别认证的一部分。