質問

ユーザー管理者が管理者グループへのユーザー追加を許可されている理由、およびこの動作を回避する方法を教えてください。

回答、解決策

ユーザー - 管理者 (ユーザー - 管理者グループの全てのユーザーメンバー) は、ユーザーとグループを作成し、グループメンバーシップを管理できます(つまり、すべてのユーザーとグループに対する修正および作成権限があります)。
初期設定では、ユーザー - 管理者は Write ACL の権限を持っていないため、リソースのに ACL を編集することはできません。また、そのためユーザーまたはグループに付与されている権限の変更は有効になりません。

ユーザー - 管理者は各ユーザーとグループをいかなるグループにデフォルトで追加させることができるため、ユーザー - 管理者がユーザーとグループ(彼自身でさえ)を、追加権限を与えられたグループに、追加することが可能です。

ユーザー - 管理者がユーザーやグループを、ユーザー - 管理者自身よりもパワフルな特定のグループに追加可能にすべきでない場合、管理者はその権限を調整する責任があります。

管理者 (管理者グループの全ユーザーとアドミンユーザー) は、実際に付与されている以外のすべての人(つまり、管理者)用により大きな権限(つまり管理者グループ)のグループに対応するノードへの書き込みアクセスを拒否することによって、これを行うことができます。
これは、(私たちの例では)、ユーザー - 管理者が管理者グループのメンバーを修正することを防ぎます。

注意: これは、管理者グループに適用されるだけでなく、ユーザー - 管理者より強力と見なされるいかなるプロジェクト呼吸のグループにも必要とされる場合があります。

例:管理者グループについて (初回セットアップのユーザー管理者の権限以上のグループのみ)

  • CRX にシステム管理者としてログインします(管理ユーザーまたは管理者グループユーザーメンバー)。ワークスペースを「crx.system」に切り替えます。
  • CRX ブラウザーを開き、管理者グループノード(/rep:security/rep:principals/rep:groups/administrators)に移動します。
  • administrators ノードを選択し、トップメニューから、セキュリティ -> ACL エディターを選択します。
  • ACL タブに切り替え、principal= user- administrators での新しい権限を追加し、Modify アクセス(set_ property) を拒否します。すべてのアクセスを拒否することもできます。読み取りアクセスを拒否することによって、user-administrators は GUI で管理者グループを表示することができなくなります。。これにより、すべてのメンバーシップ操作の管理者グループが選択されなくなります(変更アクセスが拒否されてるため機能しない)。
  • ここで user-administrators グループのメンバーであるテストユーザーをログインします。読み取りアクセス権を拒否した場合も、管理者グループにユーザまたはグループを追加すること、または管理者グループの表示はできません。

要約:

グループの権限を変更する管理者(または、その他のユーザーですべてのリソースに ACL を書き込めるグループのメンバー)は、ユーザー管理者がメンバーを追加できることを知っておく必要があります。したがって、対応するグループメンバーを変更するユーザ管理者の権限を制限することが必要になる場合があります。
また、グループのメンバーシップの書き込みが許可されている他のユーザーまたはグループにも適用されます。

適用対象

CQ5.2.0、CQ5.2.1

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー