端点管理指南：用于 UNIX › 管理权限的范围 › 所有权

所有权

数据库中的每个记录（包括访问者记录和资源记录）都有一个所有者。 当您向数据库中添加记录时，您可以使用 owner 参数来显式指定其所有者，也可以通过 CA ControlMinder 将定义记录的用户指定为记录的所有者。

如果以下内容的任何一条为真，访问者即拥有记录：

• 他们被定义为记录的所有者。
• 他们是定义为记录所有者的组的成员并且已加入具有 GROUP-ADMIN 属性的组。
• 他们是资源所属的资源组记录的所有者。

如果您删除拥有数据库中记录的用户或组，则这些记录不再具有所有者。

拥有记录的用户对他们所拥有的记录享有以下访问权限：

如果您不想让某用户或组对特定记录具有所有权权限，则为该记录以及该记录所属的任何资源组记录分配所有者 nobody。

所有权权限的限制如下：

• 数据库中最后一个 ADMIN 用户的所有者无法删除该用户的记录。
• 不具有 ADMIN 属性的所有者无法更新审核模式。 只有具有 AUDITOR 属性的用户才可以更新审核模式。
• 超级用户（UNIX 上的 root 帐户或 Windows 上的 Administrator 帐户）的所有者不能从数据库中删除 root。
• 所有者无法为他们所拥有的用户设置全局权限属性 ADMIN、AUDITOR、OPERATOR 和 PWMANAGER。
• 所有者无法阻止自己对资源的访问，因此：
  • 所有者无法分配高于自己安全级别的安全级别。
  • 所有者无法分配他们没有的安全类别或安全标签。