Los objetos pueden tener varios permisos, pero solo pueden tener un permiso para cada usuario o grupo. Por ejemplo, un permiso podría especificar que GroupAdmin tiene la función de administrador en un objeto. Otro permiso podría especificar que GroupVMAdmin tiene la función de administrador de máquinas virtuales en el mismo objeto. Sin embargo, el grupo GroupVMAdmin no puede tener otro permiso para el mismo GroupVMAdmin en este objeto.
Un objeto secundario hereda los permisos de su objeto principal si la propiedad de propagación del objeto principal se establece en true. Un permiso que se establece directamente en un objeto secundario reemplaza el permiso en el objeto principal. Consulte Ejemplo 2: permisos secundarios que anulan permisos primarios.
Si se establecen varios permisos grupales en el mismo objeto y un usuario pertenece a dos o más de esos grupos, pueden ocurrir dos situaciones:
- No se han definido permisos para el usuario directamente en el objeto. En ese caso, el usuario obtiene la unión de los permisos que tienen los grupos en ese objeto.
- Se han definido permisos para el usuario directamente en el objeto. En ese caso, los permisos para el usuario tienen prioridad sobre todos los permisos de grupo.
Ejemplo 1: Herencia de permisos de varios grupos
En este ejemplo se muestra cómo un objeto puede heredar varios permisos de los grupos que tienen permisos sobre un objeto primario.
En este ejemplo, se asignan dos permisos sobre el mismo objeto a dos grupos diferentes.
- PowerOnVMRole permite encender las máquinas virtuales.
- SnapShotRole puede crear instantáneas de máquinas virtuales.
- Se asigna PowerOnVMGroup al PowerOnVMRole en la carpeta de máquina virtual; se otorga el permiso para la propagación a objetos secundarios.
- Se asigna SnapShotGroup al SnapShotRole en la carpeta de máquina virtual; se otorga el permiso para la propagación a objetos secundarios.
- No se asignan privilegios específicos al Usuario 1.
El Usuario 1, que pertenece a PowerOnVMGroup y SnapShotGroup, inicia sesión. El Usuario 1 puede encender y crear instantáneas de las máquinas virtuales A y B.
Ejemplo 2: permisos secundarios que anulan permisos primarios
En este ejemplo, se muestra cómo los permisos que se asignan a un objeto secundario pueden anular los permisos que se asignan a un objeto primario. Este comportamiento de anulación se puede utilizar para restringir el acceso de los usuarios a áreas específicas del inventario.
En este ejemplo, los permisos están definidos en dos objetos diferentes de dos grupos distintos.
- PowerOnVMRole permite encender las máquinas virtuales.
- SnapShotRole puede crear instantáneas de máquinas virtuales.
- Se asigna PowerOnVMGroup al PowerOnVMRole en la carpeta de máquina virtual; se otorga el permiso para la propagación a objetos secundarios.
- Se concede SnapShotGroup a SnapShotRole en la máquina virtual B.
El Usuario 1, que pertenece a PowerOnVMGroup y SnapShotGroup, inicia sesión. Ya que SnapShotRole se asigna en un nivel inferior de la jerarquía que PowerOnVMRole, PowerOnVMRole se anula en la máquina virtual B. De esta forma, el Usuario 1 puede encender la máquina virtual A, pero no puede crear instantáneas. El Usuario 1 puede crear instantáneas de la máquina virtual B, pero no puede encenderla.
Ejemplo 3: función de usuario que anula la función de grupo
Este ejemplo ilustra cómo la función asignada directamente a un usuario individual anula los privilegios asociados con una función asignada a un grupo.
En este ejemplo, los permisos se definen sobre el mismo objeto. Un permiso asocia un grupo con una función; el otro permiso asocia un usuario individual con una función. El usuario es un miembro del grupo.
- PowerOnVMRole permite encender las máquinas virtuales.
- Se concede PowerOnVMGroup a PowerOnVMRole en la carpeta de máquina virtual.
- Se asigna la función Sin acceso al Usuario 1 en la carpeta de máquina virtual.
El Usuario 1, que pertenece al PowerOnVMGroup, inicia sesión. La función Sin acceso otorgada al Usuario 1 en la carpeta de máquina virtual anula la función asignada al grupo. El Usuario 1 no tiene acceso a la carpeta de máquina virtual o a las máquinas virtuales A y B. Las máquinas virtuales A y B no están visibles en la jerarquía para el Usuario 1.