オブジェクトは複数の権限を保持できますが、ユーザーまたはグループごとに保持できるのは 1 つのみです。たとえば、ある権限で、GroupAdmin にあるオブジェクトの管理者ロールを割り当てるように指定し、別の権限で、GroupVMAdmin に同じオブジェクトの仮想マシン管理者ロールを割り当てるように指定できます。ただし、GroupVMAdmin グループに、このオブジェクトの同じ GroupVMAdmin に別の権限を割り当てることはできません。

親の伝達プロパティが true に設定されている場合、子オブジェクトはその親の権限を継承します。子オブジェクトに直接設定された権限は、親オブジェクトの権限をオーバーライドします。例 2: 子の権限による親の権限のオーバーライドを参照してください。

同じオブジェクトに複数のグループ ロールが定義されており、1 人のユーザーがそれらのグループのうち 2 つ以上に属している場合は、次の 2 つのケースが考えられます。

  • オブジェクトに対し、ユーザーの権限が直接定義されていない。この場合は、ユーザーは所属するグループがオブジェクトに対して持っている権限の集合を取得します。
  • オブジェクトに対し、ユーザーの権限が直接定義されている。この場合は、ユーザーの権限が、すべてのグループ権限より優先されます。

例 1:複数のグループからの権限の継承

この例では、親オブジェクトで権限が付与されているグループから、オブジェクトが複数の権限を継承する方法を示します。

この例では、2 つの異なるグループの同じオブジェクトに、2 つの権限が割り当てられています。

  • PowerOnVMRole は、仮想マシンをパワーオンできる。
  • SnapShotRole は、仮想マシンのスナップショットを作成できる。
  • PowerOnVMGroup は、仮想マシン フォルダで PowerOnVMRole を付与されており、子オブジェクトに伝達するように権限が設定されている。
  • SnapShotGroup は、仮想マシン フォルダで SnapShotRole を付与されており、子オブジェクトに伝達するように権限が設定されている。
  • ユーザー 1 には、特定の権限は割り当てられていない。

PowerOnVMGroup と SnapShotGroup の両方に属するユーザー 1 がログインします。ユーザー 1 は、仮想マシン A と仮想マシン B の両方のパワーオンとスナップショットの作成を実行できます。

図 1. 例 1:複数のグループからの権限の継承
複数の権限を継承する場合の例。

例 2: 子の権限による親の権限のオーバーライド

この例では、子オブジェクトに割り当てられた権限が、親オブジェクトに割り当てられている権限をオーバーライドする方法を示します。このオーバーライド機能によって、ユーザーのアクセスをインベントリの特定の領域に制限できます。

この例では、2 つの異なるグループに、2 つの異なるオブジェクトに関する権限が定義されています。

  • PowerOnVMRole は、仮想マシンをパワーオンできる。
  • SnapShotRole は、仮想マシンのスナップショットを作成できる。
  • PowerOnVMGroup は、仮想マシン フォルダで PowerOnVMRole を付与されており、子オブジェクトに伝達するように権限が設定されている。
  • SnapShotGroup は、仮想マシン B で SnapShotRole を付与されている。

PowerOnVMGroup と SnapShotGroup の両方に属するユーザー 1 がログインします。SnapShotRole は、PowerOnVMRole よりも低い階層で割り当てられているため、仮想マシン B の PowerOnVMRole をオーバーライドします。ユーザー 1 は仮想マシン A をパワーオンできますが、スナップショットは作成できません。ユーザー 1 は、仮想マシン B のスナップショットを作成できますが、パワーオンはできません。

図 2. 例 2: 子の権限による親の権限のオーバーライド
子の権限による親の権限のオーバーライドの例。

例 3: ユーザー ロールによるグループ ロールのオーバーライド

この例では、個々のユーザーに直接ロールを割り当てることによって、グループに割り当てられたロールに関連付けられた権限をオーバーライドする方法を示します。

この例では、異なるアクセス許可を同じオブジェクトに定義します。1 つは、グループをロールに関連付けるアクセス許可、もう 1 つはユーザーをロールに関連付けるアクセス許可です。後者のユーザーは前者のグループのメンバーです。

  • PowerOnVMRole は、仮想マシンをパワーオンできる。
  • PowerOnVMGroup は、仮想マシン フォルダで PowerOnVMRole 割り当てられている。
  • ユーザー 1 は、仮想マシン フォルダで NoAccess ロールを割り当てられている。

PowerOnVMGroup に属するユーザー 1 がログインします。仮想マシン フォルダでユーザー 1 に割り当てられている NoAccess ロールによって、グループに割り当てられたロールがオーバーライドされます。ユーザー 1 は仮想マシン フォルダや仮想マシン A および B にアクセスできません。仮想マシン A および B は、ユーザー 1 の階層には表示されません。

図 3. 例 3: ユーザー権限によるグループ権限のオーバーライド
ユーザー権限によるグループ権限のオーバーライドの例。