Objekte können über mehrere Berechtigungen verfügen, jedoch nur über eine Berechtigung für jeden Benutzer bzw. jede Gruppe. Eine Berechtigung könnte zum Beispiel festlegen, dass GroupAdmin über die Administratorrolle für ein Objekt verfügt. Eine andere Berechtigung könnte festlegen, dass der GroupVMAdmin über die VM-Administratorrolle für dasselbe Objekt verfügt. Die GroupVMAdmin-Gruppe kann jedoch über keine weitere Berechtigung für dieselbe GroupVMAdmin für dieses Objekt verfügen.
Ein untergeordnetes Objekt übernimmt die Berechtigungen seines übergeordneten Objekts, wenn die Eigenschaft „Weitergeben“ des übergeordneten Objekts auf „true“ festgelegt ist. Eine Berechtigung, die direkt für ein untergeordnetes Objekt festgelegt wird, setzt die Berechtigung im übergeordneten Objekt außer Kraft. Weitere Informationen hierzu finden Sie unter Beispiel 2: Untergeordnete Berechtigungen, die übergeordnete Berechtigungen außer Kraft setzen.
Wenn für dasselbe Objekt mehrere Gruppenrollen definiert sind und ein Benutzer mindestens zwei dieser Gruppen angehört, gibt es zwei mögliche Situationen:
- Direkt für das Objekt wurde keine Berechtigung für den Benutzer definiert. In diesem Fall erhält der Benutzer die Summe der Berechtigungen, die die Gruppen für das Objekt haben.
- Es wurde eine Berechtigung für den Benutzer für das Objekt festgelegt. In diesem Fall haben die Berechtigungen für den Benutzer Vorrang vor allen Gruppenberechtigungen.
Beispiel 1: Berechtigungsübernahme von mehreren Gruppen
Dieses Beispiel zeigt, wie ein Objekt mehrere Berechtigungen von Gruppen übernehmen kann, die auf einem übergeordneten Objekt Berechtigungen erhalten haben.
In diesem Beispiel werden zwei verschiedenen Gruppen zwei Berechtigungen für das gleiche Objekt zugewiesen.
- PowerOnVMRole kann virtuelle Maschinen einschalten.
- SnapShotRole kann Snapshots von virtuellen Maschinen erstellen.
- PowerOnVMGroup wird PowerOnVMRole auf VM-Ordner zugeteilt, mit der Berechtigung „An untergeordnete Objekte weitergeben“.
- SnapShotGroup wird SnapShotRole auf VM-Ordner zugeteilt, mit der Berechtigung „An untergeordnete Objekte weitergeben“.
- Benutzer 1 werden keine speziellen Rechte zugewiesen.
Benutzer 1, der sowohl zur PowerOnVMGroup als auch zur SnapShotGroup gehört, meldet sich an. Benutzer 1 kann sowohl VM A als auch VM B einschalten und von beiden Snapshots erstellen.
Beispiel 2: Untergeordnete Berechtigungen, die übergeordnete Berechtigungen außer Kraft setzen
Dieses Beispiel zeigt, wie Berechtigungen, die einem untergeordneten Objekt zugewiesen wurden, die Berechtigungen, die einem übergeordneten Objekt zugewiesen wurden, außer Kraft setzen. Sie können dieses Verhalten dazu verwenden, um den Benutzerzugriff auf bestimmte Bereiche der Bestandsliste einzuschränken.
In diesem Beispiel werden Berechtigungen für zwei verschiedene Objekte und für zwei verschiedene Gruppen definiert.
- PowerOnVMRole kann virtuelle Maschinen einschalten.
- SnapShotRole kann Snapshots von virtuellen Maschinen erstellen.
- PowerOnVMGroup wird PowerOnVMRole auf VM-Ordner zugeteilt, mit der Berechtigung „An untergeordnete Objekte weitergeben“.
- SnapShotGroup wird SnapShotRole auf VM B zugeteilt.
Benutzer 1, der sowohl zur PowerOnVMGroup als auch zur SnapShotGroup gehört, meldet sich an. Weil SnapShotRole auf einer niedrigeren Hierarchieebene zugewiesen wird wie PowerOnVMRole, setzt sie PowerOnVMRole auf VM B außer Kraft. Benutzer 1 kann zwar VM A einschalten, aber keinen Snapshot erstellen. Benutzer 1 kann zwar Snapshots von VM B erstellen, aber sie nicht einschalten.
Beispiel 3: Benutzerrolle, die Gruppenrolle außer Kraft setzt
Dieses Beispiel zeigt, wie die einem individuellen Benutzer direkt zugewiesene Rolle die Rechte einer Rolle überschreibt, die einer Gruppe zugeordnet ist.
In diesem Beispiel werden Berechtigungen für dasselbe Objekt definiert. Eine Berechtigung ordnet einer Gruppe eine Rolle zu, die andere Berechtigung ordnet einem individuellen Benutzer eine Rolle zu. Der Benutzer ist ein Mitglied der Gruppe.
- PowerOnVMRole kann virtuelle Maschinen einschalten.
- PowerOnVMGroup wird PowerOnVMRole auf VM-Ordner zugeteilt.
- Benutzer 1 erhält die NoAccess-Rolle auf VM-Ordner.
Benutzer 1, der zur PowerOnVMGroup gehört, meldet sich an. Die dem Benutzer 1 zugeteilte NoAccess-Rolle für den VM-Ordner überschreibt die der Gruppe zugewiesene Rolle. Benutzer 1 hat keinen Zugriff auf den VM-Ordner oder die VMs A und B. Die VMs A und B sind in der Hierarchie für Benutzer 1 nicht sichtbar.