12.3. ACI 评估

为了评估特定条目的访问权限,服务器会创建条目本身的访问控制指令(ACI)列表,并在父条目中备份存储在 Directory Server 中的顶层条目。ACI 会针对特定实例在所有数据库中评估,但不在不同实例之间进行评估。

目录服务器根据 ACI 的语义(而非在目录树中的放置位置)评估 ACI 的这个列表。这意味着,与目录树根目录接近的 ACI 不会比目录树更接近的 ACI 优先于 ACI。

在 Directory 服务器中,ACI 中的 拒绝 权限优先于 允许 权限。例如,如果您拒绝目录 root 级别的写入权限,则没有人可以写入该目录,无论其他 ACI 是否被授予此权限。要为目录授予特定用户写入权限,您必须向原始拒绝规则添加例外,以允许用户在该目录中写入。

注意

对于改进的 ACI,请使用精细的 allow 规则而不是 拒绝规则