累積権限

累積権限とは、あるオブジェクトについて操作を実行するのにユーザーまたはグループが持つすべての権限です。

ユーザーは、オブジェクトに関する権限を以下のソースから付与できます。

  • オブジェクトに関してユーザー向けに作成された権限レコード (Windows のみ)。
  • オブジェクトに関してユーザーが所属するグループ向けに作成された権限レコード。
  • オブジェクトに一致する汎用プロファイルに対して、ユーザー向けに作成された権限レコード (Windows のみ)。
  • オブジェクトに一致する汎用プロファイルに対して、ユーザーが所属するグループ向けに作成された権限レコード。

ユーザーが権限 (例えば、Q1 と呼ばれるキューにメッセージを書き込む権限) をこれらのソースの 1 つだけから付与された場合、他のソースの権限レコードがその権限を付与しなくても、ユーザーはその権限を持ちます。例えば以下の図では、グループ AppDev6 に属する User500 と呼ばれるユーザーが、User500 または AppDev6 に Put 権限を付与されていないため、Q1 にメッセージを書き込む権限を持たないことを示しています。ただし、User500 は Q1 からメッセージを Get する権限を持ちます。その理由は、Get 権限が AppDev6 に付与されており、User500 が Get 権限を継承しているためです。

「累積権限の検索」ダイアログの画面取り

図で「累積権限の検索」ダイアログ内の表の先頭行は、User500 の累積権限を示しています。次の 2 行は、累積権限に寄与する権限レコードを示しています。図が示すシナリオでは、User500 の権限レコードは Put および Get 権限を含みません。しかし AppDev6 の権限レコードは Get 権限を含んでいます。したがって、User500 の累積権限は、User500 にキュー Q1 に関する Get 権限はあるけれども Put 権限はないことを示しています。

「累積権限の検索」ダイアログの警告メッセージは、User500 はキュー Q1 に関する操作を実行する権限を持っているが、Q1 をホストするキュー・マネージャーに接続する権限は持っていないことを示しています。