ポリシーのアクセス制御を設定すると、同じ種類のすべての共通オブジェクトが同じアクセス権を共有します。共通オブジェクトの子オブジェクトが異なるグループやユーザ間で分割されていても、それらの子オブジェクトのアクセス権が共有されている場合、これにより問題が発生する可能性があります。たとえば、子オブジェクトのディレクトリ、ファイル拡張子、またはファイルリストを使用する不正プログラム検索設定や、不正プログラム検索設定を使用するポリシーなどです。この共有アクセスにより、ユーザがアクセスできるオブジェクトを変更した場合に問題が発生する可能性がありますが、技術的には別のグループに属しています。
共通オブジェクトに対する役割ベースのアクセス制御(RBAC) を使用すると、管理者は次の共通オブジェクトに対する各役割のアクセス範囲を制御できます。
- 不正プログラム検索設定
- ディレクトリリスト
- ファイル拡張子リスト
- ファイルリスト
にアクセスして、ユーザの役割とアセットの表示範囲を設定できます。User Roles画面とロールの適用User Accounts画面に表示されます。
「選択したオブジェクト」へのアクセス権を持つ役割には、他のオブジェクトに対する表示のみの権限を付与できます。これにより、表示のみの権限を持たない役割でも、特定のオブジェクトへのフルアクセスまたはカスタムアクセスを許可しますが、残りのオブジェクトへの表示のみのアクセスは保持できます。また、特定のオブジェクトへの編集アクセス権は、それを必要とする役割にのみ付与されます。
注意オブジェクトに適用された権限は、同じ種類の他のオブジェクトにも適用されます。
|