选择全部 (参与者除外)
创建策略访问控制规则时,可以指示要应用该策略规则的参与者,也可以指示一个参与者并使用“全部 (选定参与者除外)”选项。第二种情况下,策略规则将应用于除选定参与者之外的所有参与者。“全部 (选定参与者除外)”选项适用于用户、组、组织和动态角色。但不适用于虚拟角色“所有者”和“全部”。针对除某位参与者外的所有人的规则,会将该参与者视为一个组,其组中成员是除以下人员之外的所有参与者:
• 管理员用户
• 选定的用户
• 在选定的组、动态角色或组织中的用户
例如,Steve 在 /Default 域中创建了一个“遮阳伞”产品。他没有在其产品中为每个组创建多个策略访问控制规则,而是只创建了一个策略访问控制规则,用于拒绝除“管理员”组之外的所有参与者的管理权限。在本示例中,所有非管理员身份的用户对“遮阳伞”产品中的对象的管理权限均被拒绝。然而,如果 Steve 想授予 Carlos 管理权限,则可以通过使用单个用户的策略规则来实现。“全部 (选定参与者除外)”会将规则参与者视为一个组,该组成员为除选定参与者之外的所有参与者。与其他拒绝权限一样,向单个用户授予相同的权限将覆盖组拒绝。
“全部 (选定参与者除外)”选项可与绝对拒绝权限结合使用。例如,假设对于某一文档类型,您想要限制某一组用户外所有其他用户对该类型文档的查看权限。要执行此操作,可创建一个名为“机密查看”的组,并添加有权查看文档的用户。然后,创建一个策略访问控制规则,用于绝对拒绝所有非“机密查看”组成员用户对该类型文档的“读取”权限。