访问控制列表 (ACL)

通过访问控制列表，您可以添加和删除有权访问某些文件、文件夹、条目和自定义对象的成员。还可以控制成员是只能查看内容、修改内容，还是可以删除内容。

注： Vault Professional 中提供条目和自定义对象。

对于未定义访问控制列表的文件、文件夹或自定义对象，使用的是基于对象的安全性。

基于对象的安全性可被替代。安全性替代意味着 ACL 仍存在于对象上，但将被新定义的 ACL 所替代。这称为替代访问控制列表（替代 ACL）。

只要替代 ACL 存在，基于对象的安全性就会被忽略。如果用户删除替代 ACL，则基于对象的安全性将成为新的安全性。如果替代 ACL 处于活动状态，则只有 ACL 列表中的成员和用户拥有该对象的相关权限。

下表介绍了每个权限。

权限	访问
读	允许 - 可以查看内容。拒绝 - 不能查看内容。无 - 如果成员在状态级别具有明确的“允许”权限，但将基于对象的安全性设置为“无”，则成员将被拒绝访问。如果某个成员位于两个不同的组中，并且该成员在一个组中基于对象的安全性级别的权限设置为“无”，但在另一个组中设置为“允许”，则该成员在基于对象的安全性级别的有效权限为“允许”。如果某个成员位于两个不同的组中，并且该成员在一个组中基于状态的安全性级别的权限设置为“无”，但在另一个组中设置为“允许”，则该成员在基于状态的安全性级别的有效权限为“允许”。如果组合使用权限（即，应用基于对象的安全性和基于状态的安全性），并且将基于状态的安全性或基于对象的安全性设置为“无”，则结果为拒绝访问。 .
修改	允许 - 可以修改文件。拒绝 - 不能修改文件。无 - 如果成员在状态级别具有明确的“允许”权限，但将基于对象的安全性设置为“无”，则成员将被拒绝访问。如果某个成员位于两个不同的组中，并且该成员在一个组中基于对象的安全性级别的权限设置为“无”，但在另一个组中设置为“允许”，则该成员在基于对象的安全性级别的有效权限为“允许”。如果某个成员位于两个不同的组中，并且该成员在一个组中基于状态的安全性级别的权限设置为“无”，但在另一个组中设置为“允许”，则该成员在基于状态的安全性级别的有效权限为“允许”。如果组合使用权限（即，应用基于对象的安全性和基于状态的安全性），并且将基于状态的安全性或基于对象的安全性设置为“无”，则结果为拒绝访问。
删除	允许 - 可以删除文件。拒绝 - 不能删除文件。无 - 如果成员在状态级别具有明确的“允许”权限，但将基于对象的安全性设置为“无”，则成员将被拒绝访问。如果某个成员位于两个不同的组中，并且该成员在一个组中基于对象的安全性级别的权限设置为“无”，但在另一个组中设置为“允许”，则该成员在基于对象的安全性级别的有效权限为“允许”。如果某个成员位于两个不同的组中，并且该成员在一个组中基于状态的安全性级别的权限设置为“无”，但在另一个组中设置为“允许”，则该成员在基于状态的安全性级别的有效权限为“允许”。如果组合使用权限（即，应用基于对象的安全性和基于状态的安全性），并且将基于状态的安全性或基于对象的安全性设置为“无”，则结果为拒绝访问。
下载	允许 - 可以下载内容。拒绝 - 不能下载内容。无 - 如果成员在状态级别具有明确的“允许”权限，但将基于对象的安全性设置为“无”，则成员将被拒绝访问。如果某个成员位于两个不同的组中，并且该成员在一个组中基于对象的安全性级别的权限设置为“无”，但在另一个组中设置为“允许”，则该成员在基于对象的安全性级别的有效权限为“允许”。如果某个成员位于两个不同的组中，并且该成员在一个组中基于状态的安全性级别的权限设置为“无”，但在另一个组中设置为“允许”，则该成员在基于状态的安全性级别的有效权限为“允许”。如果组合使用权限（即，应用基于对象的安全性和基于状态的安全性），并且将基于状态的安全性或基于对象的安全性设置为“无”，则结果为拒绝访问。

如果基于对象的安全性是合并基于状态的安全性会怎么样？

使用合并安全性（双闸式安全性）时，可将以下用例应用于一个或多个 Vault 对象。

注：若要使用 Vault 2016 或更早版本中的旧安全性（也称为单闸式安全性），请为生命周期定义启用“替代安全性”选项。

对象 ACL	基于状态的 ACL	生成的 ACL
允许	允许	允许
拒绝	拒绝	拒绝
拒绝	允许	拒绝*
空	拒绝	拒绝
允许	空	拒绝
空	空	拒绝
(未在 ACL 中）为空	允许	拒绝*
允许（子集组）	允许（父集组）	允许*（子集组）
* 生成的权限不同于 Vault 2016 或更早版本中使用的旧（单闸式安全性）安全性。

访问控制列表 (ACL)

如果基于对象的安全性是合并基于状态的安全性会怎么样？

相关信息