この例では、子オブジェクトに割り当てられた権限が、親オブジェクトに割り当てられている権限をオーバーライドする方法を示します。このオーバーライド機能によって、ユーザーのアクセスをインベントリの特定の領域に制限できます。

この例では、2 つの異なるグループに、2 つの異なるオブジェクトに関する権限が定義されています。

  • PowerOnVMRole は、仮想マシンをパワーオンできる。
  • SnapShotRole は、仮想マシンのスナップショットを作成できる。
  • PowerOnVMGroup は、仮想マシン フォルダで PowerOnVMRole を付与されており、子オブジェクトに伝達するように権限が設定されている。
  • SnapShotGroup は、仮想マシン B で SnapShotRole を付与されている。

PowerOnVMGroup と SnapShotGroup の両方に属するユーザー 1 がログインします。SnapShotRole は、PowerOnVMRole よりも低い階層で割り当てられているため、仮想マシン B の PowerOnVMRole をオーバーライドします。ユーザー 1 は仮想マシン A をパワーオンできますが、スナップショットは作成できません。ユーザー 1 は、仮想マシン B のスナップショットを作成できますが、パワーオンはできません。

図 1. 例 2: 子の権限による親の権限のオーバーライド
子の権限による親の権限のオーバーライドの例。