オブジェクトのアクセス権を設定すると、特定のオブジェクトのアクセス権を制限する場合に役立ちます。 すべてのオブジェクトは、オブジェクト クラスに設定された権限をデフォルトで継承します。
オブジェクトのアクセス権は、クラスおよびグループのアクセス権よりも優先されます。
オブジェクトのアクセス権は常に存在し、セキュリティ サブシステムによって管理されているため無効にすることはできません。 オブジェクトのアクセス権を管理しない場合は、すべてのセキュリティ クラスのクラス レベルのアクセス権を[フル コントロール]に設定します。
認証は、アクセス制御エントリ(ACE)の概念に基づいています。 ACE とは、以下の表に示すコード文字の任意の組み合わせ(たとえば VR)です。 この ACE を使用して、オブジェクトを表示および読み取ることができます。その他のアクセスはすべて拒否されます。
ACE が空(コード文字が含まれない)の場合、アクセス権はまったく付与されません。
以下の表に、オブジェクトのアクセス権の定義を示します。
|
コード文字 |
意味 |
付与される権限 |
|---|---|---|
|
V |
ビュー |
オブジェクトを表示することができます。 |
|
C |
作成 |
オブジェクトを作成することができます。 |
|
R |
読み取り |
オブジェクトのサブオブジェクトを読み取ることができます。 |
|
W |
書き込み |
オブジェクトを変更することができます。 |
|
X |
Execute |
オブジェクト タイプに応じて実行することができます。 |
|
D |
削除 |
オブジェクトを削除することができます。 |
|
P |
権限 |
ACE 自身を変更することができます。 |
|
O |
所有権 |
オブジェクトの所有権を取得することができます。 |
ユーザは、複数のセキュリティ プロファイルに属している場合があります。 また、ユーザは、オブジェクトの所有者になることもできます。 セキュリティ クラスのセットは、各セキュリティ プロファイルに割り当てられています。 セキュリティ クラスのアクセス権では、クラスのインスタンスの作成時にオブジェクトに割り当てられるデフォルトのアクセス権が定義されます。
以下の図では、セキュリティ プロファイル、セキュリティ クラス、およびオブジェクトのアクセス権が相互に関連しており、オブジェクトはそれがインスタンスであるセキュリティ クラスから権限を継承することを示しています。
この図では、ユーザ 1 はセキュリティ プロファイル A に属し、ユーザ 2 はセキュリティ プロファイル A に属し、かつ ACE で表されるオブジェクトの所有者でもあります。 ユーザ 1 およびユーザ 2 は、セキュリティ プロファイル A を介して、たとえば VR などの特定の ACE を持っています。 ユーザ 2 は、オブジェクトの所有者として、たとえば VCRWD などの追加の ACE を持っています。
ユーザ 1 およびユーザ 2 のオブジェクトへのアクセス権をチェックするために、セキュリティ システムではユーザ固有の ACE および保護された特定のオブジェクトに関連付けられた ACE の(論理的な)結合が作成されます。 たとえば、ユーザ 1 およびユーザ 2 はオブジェクトへの「参照」および「読み取り」のアクセス権を持っていますが、書き込みおよび削除のアクセス権を持っているのはユーザ 2 のみです。
|
Copyright © 2013 CA.
All rights reserved.
|
|