GROUP-ADMIN 属性

拥有组管理授权属性的用户可以创建某组记录。要创建记录，组管理员必须指定记录的所有者。

记录的所有者必须是该用户在其中拥有组授权属性的组。如果该组是其他组的父组，则所有者还可以来自与其中的一个子组。整组记录被称为组范围。提供的授权示例说明了组范围的概念。

具有 GROUP‑ADMIN 属性的用户对他们组范围中的记录拥有以下访问权限：

访问	说明	命令
读取	显示记录的属性。	showusr、showgrp、showres、showfile
创建	在数据库中创建新记录。您必须指定所有者。	newusr、newgrp、newres、newfile
修改	更改记录的属性。	chusr、chgrp、 chres、chfile
删除	删除数据库中的记录。	rmusr、rmgrp、rmres、rmfile
连接	将用户加入组或者将用户与组分离。	join、join‑

GROUP‑ADMIN 属性也有限制：

GROUP‑ADMIN 用户无法阻止自己对资源的访问，因此：
- GROUP‑ADMIN 用户无法分配高于自己安全级别的安全级别。
- GROUP‑ADMIN 用户无法分配他们没有的安全类别或安全标签。
GROUP‑ADMIN 用户无法从数据库中删除超级用户（UNIX 上的 root 帐户或 Windows 上的 Administrator 帐户）。
几种限制与本章中的“全局权限属性”所述的全局权限属性有关：
- GROUP‑ADMIN 用户无法删除数据库中唯一的 ADMIN 用户记录。
- GROUP‑ADMIN 用户无法删除数据库最后一个 ADMIN 用户记录中的 ADMIN 属性。
- 没有 AUDITOR 属性的 GROUP‑ADMIN 用户无法更新审核模式。只有具有 AUDITOR 属性的 GROUP‑ADMIN 用户可以更新审核模式。
- GROUP‑ADMIN 用户无法为任何用户设置全局授权属性 ADMIN、AUDITOR、OPERATOR、PWMANAGER 和 SERVER。

更多信息：