「参加者を除くすべて」の選択
ポリシーアクセス制御規則を作成するときには、ポリシー規則の適用先の参加者を指定するか、参加者を指定して「選択した参加者を除くすべて」オプションを使用できます。後者の場合、選択した参加者以外のすべての参加者にポリシー規則が適用されます。「選択した参加者を除くすべて」オプションは、ユーザー、グループ、組織、ダイナミック役割に対して使用できます。疑似役割の「オーナー」および「すべて」には使用できません。指定した参加者以外のすべてを対象とする規則では、参加者は、次のユーザーを除くすべての参加者がメンバーであるグループとして処理されます。
• 管理者ユーザー
• 選択したユーザー
• 選択したグループ、ダイナミック役割、または組織のユーザー
たとえば、Steve が Beach Umbrella 製品を /Default ドメインで作成する場合を考えてみます。Steve は、自分の製品の各グループに対して複数のポリシーアクセス制御規則を作成するのではなく、管理者グループを除くすべての参加者の管理者アクセス許可を拒否する 1 つのポリシーアクセス制御規則を作成します。この例では、管理者以外のすべてのユーザーが、Beach Umbrella 製品内のオブジェクトに対する管理アクセス許可を拒否されます。ただし、Steve が Carlos に管理者アクセス許可を付与したい場合は、個々のユーザーのポリシー規則を使用してこれを実行できます。「選択した参加者を除くすべて」オプションでは、規則参加者がグループとして扱われ、選択した参加者を除くすべての参加者がそのグループのメンバーとなります。その他の拒否アクセス許可と同様に、個々のユーザーに同じアクセス許可を付与するとグループに対する拒否アクセス許可はオーバーライドされます。
「選択した参加者を除くすべて」オプションは、拒否 (上書不可) アクセス許可と組み合わせて使用できます。たとえば、ある一連のユーザーを除く、すべてのユーザーに表示を禁止するドキュメントタイプがあるとします。これを行うには、「Secret View」というグループを作成し、ドキュメントを表示できるユーザーをそのグループに登録します。次に、「Secret View」グループのメンバーではないどのユーザーに対しても、そのドキュメントタイプの「読み取り」アクセス許可を拒否 (上書不可) するポリシーアクセス制御規則を作成します。