所有者権限

capamsc141
capamsc141
データベースのすべてのレコード(アクセサ レコードおよびリソース レコードの両方)には、所有者が存在します。レコードをデータベースに追加する場合は、ownerパラメータを使用してレコードの所有者を明示的に割り当てるか、または
Privileged Access Manager
によって、レコードを定義したユーザをレコードの所有者として割り当てることができます。
以下の
いずれか
が true の場合、アクセサがレコードを所有します。
  • これらはレコードの所有者として定義されます。
  • これらはレコードの所有者として定義されたグループのメンバであり、
    なおかつ
    GROUP-ADMIN プロパティでグループのメンバとして追加されています。
  • これらは、リソースがメンバとなっているリソース グループ レコードの所有者です。
レコードを所有するユーザまたはグループをデータベースから削除すると、そのレコードは所有者のないレコードになります。
レコードを所有するユーザには、所有するレコードに対して以下のアクセス権限があります。
アクセス
説明
コマンド
読み取り
レコードのプロパティを表示します。
showusr、showgrp、showres、showfile
Modify
レコードのプロパティを変更します。
chusr、chgrp、chres、chfile
削除
データベースからレコードを削除します。
rmusr、rmgrp、rmres、rmfile
接続
ユーザをグループに追加、またはグループから分離します。
join、join-
ユーザまたはグループに特定レコードに対する所有者権限を与えない場合は、レコードおよびそのレコードがメンバとなっているすべてのリソース グループ レコードに所有者
nobody
を割り当てます。
所有者権限に関する制限事項は、以下のとおりです。
  • データベース内の最後の ADMIN ユーザの所有者は、そのユーザ レコードを削除できません。
  • AUDITOR 属性のない所有者は、監査モードを更新できません。監査モードを更新できるのは、AUDITOR 属性が割り当てられた所有者のみです。
  • スーパーユーザ(UNIX の root アカウントまたは Windows の Administrator アカウント)の所有者は、データベースから スーパーユーザを削除できません。
  • 所有者は、自分が所有するユーザに対して、グローバル権限属性(ADMIN、AUDITOR、OPERATOR、および PWMANAGER)を設定できません。
  • 所有者は、自分に対してリソースをアクセス不可に設定できません。したがって、以下の制限を受けます。
    • 所有者は、自分のセキュリティ レベルより高いセキュリティ レベルを割り当てることはできません。
    • 所有者は、自分が所有していないセキュリティ カテゴリまたはセキュリティ ラベルを割り当てることはできません。
ファイルの所有者権限
capamsc141
Privileged Access Manager
では、FILE クラスにレコードを定義することによって、ファイルの所有者がファイルを保護することを許可します。ファイルの所有者にはそのファイルのレコードに関するすべての権限があるため、所有者はファイルを保護しているレコードに対して、newfile、chfile、showfile、authorize、および authorize- の各コマンドおよびすべてのパラメータを使用できます。
UNIX では、ユーザがファイルを作成すると、そのユーザがファイルの所有者に指定されます。
Privileged Access Manager
では、この機能が明示的に無効にされない限り、UNIX のファイル所有者による FILE レコードの定義が許可されます。ファイル所有者による FILE レコードの定義を許可しない場合は、seos.ini ファイルの[seos]セクションにある use_unix_file_owner トークンを no に設定します(これはデフォルトの設定です)。