개체에는 여러 권한이 있을 수 있지만 각 사용자나 그룹에는 권한이 하나만 있을 수 있습니다. 예를 들어, 한 사용 권한에서 GroupAdmin이 한 개체에 대해 관리자 역할을 갖도록 지정할 수 있고 다른 사용 권한에서 GroupVMAdmin이 동일한 개체에 대해 가상 시스템 관리자 역할을 갖도록 지정할 수 있습니다. 그러나 GroupVMAdmin 그룹은 이 개체의 동일한 GroupVMAdmin에 대해 다른 사용 권한을 가질 수 없습니다.
상위의 전파 속성이 true로 설정된 경우 하위 개체는 해당 상위의 사용 권한을 상속합니다. 하위 개체에 직접 설정된 사용 권한은 상위 개체의 사용 권한을 재정의합니다. 예 2: 상위 사용 권한을 재정의하는 하위 사용 권한의 내용을 참조하십시오.
여러 그룹 역할이 동일한 개체에 대해 정의되고 사용자가 이들 그룹 중 둘 이상에 속하게 되면 다음과 같은 두 가지 상황이 가능합니다.
- 해당 개체에 대한 사용자의 권한이 직접적으로 정의되지 않은 경우 사용자는 그룹이 개체에 대해 갖는 사용 권한의 결합체를 갖습니다.
- 해당 개체에 대한 사용자의 권한이 직접적으로 정의된 경우에는 사용자의 사용 권한이 모든 그룹 사용 권한보다 우선합니다.
예1: 여러 그룹의 사용 권한 상속
이 예제에서는 상위 개체에 대한 사용 권한이 부여된 그룹에서 한 개체가 여러 사용 권한을 상속할 수 있는 방법을 보여 줍니다.
이 예제에서는 동일한 개체의 두 그룹에 대해 두 개의 사용 권한이 할당됩니다.
- PowerOnVMRole은 가상 시스템의 전원을 켤 수 있습니다.
- SnapShotRole은 가상 시스템의 스냅샷을 생성할 수 있습니다.
- PowerOnVMGroup에는 VM 폴더에 대한 PowerOnVMRole이 부여되고, 사용 권한은 하위 개체로 전파되도록 설정됩니다.
- SnapShotGroup에는 VM 폴더에 대한 SnapShotRole이 부여되고, 사용 권한은 하위 개체에 전파되도록 설정됩니다.
- 사용자 1에는 특정 권한이 할당되지 않았습니다.
PowerOnVMGroup 및 SnapShotGroup에 모두 속한 사용자 1이 로그인합니다. 사용자 1은 VM A와 VM B의 전원을 모두 켜고 스냅샷을 생성할 수 있습니다.
예 2: 상위 사용 권한을 재정의하는 하위 사용 권한
이 예제에서는 하위 개체에 할당된 사용 권한이 상위 개체에 할당된 사용 권한을 재정의할 수 있는 방법을 보여 줍니다. 이 재정의 동작을 사용하여 사용자 액세스를 특정 인벤토리 영역으로 제한할 수 있습니다.
이 예에서는 사용 권한이 서로 다른 두 그룹의 다른 두 개체에서 정의됩니다.
- PowerOnVMRole은 가상 시스템의 전원을 켤 수 있습니다.
- SnapShotRole은 가상 시스템의 스냅샷을 생성할 수 있습니다.
- PowerOnVMGroup에는 VM 폴더에 대한 PowerOnVMRole이 부여되고, 사용 권한은 하위 개체로 전파되도록 설정됩니다.
- SnapShotGroup에는 VM B에 대한 SnapShotRole이 부여됩니다.
PowerOnVMGroup 및 SnapShotGroup에 모두 속한 사용자 1이 로그인합니다. SnapShotRole은 계층에서 PowerOnVMRole보다 낮은 지점에 할당되어 있으므로 VM B에 대한 PowerOnVMRole을 재정의합니다. 사용자 1은 VM A의 전원을 켤 수 있지만 VM A의 스냅샷을 생성할 수는 없습니다. 사용자 1은 VM B의 스냅샷을 생성할 수 있지만 VM B의 전원을 켤 수는 없습니다.
예 3: 그룹 역할을 재정의하는 사용자 역할
이 예제는 개별 사용자에게 직접 할당된 역할이 그룹에 할당된 역할과 연결된 권한을 재정의하는 방법을 보여줍니다.
이 예제에서 사용 권한은 동일한 개체에서 정의됩니다. 한 사용 권한은 그룹을 역할에 연결하고, 다른 사용 권한은 개별 사용자를 역할에 연결합니다. 사용자는 그룹의 멤버입니다.
- PowerOnVMRole은 가상 시스템의 전원을 켤 수 있습니다.
- PowerOnVMGroup에는 VM 폴더에 대한 PowerOnVMRole이 부여됩니다.
- 사용자 1에는 VM 폴더에 대한 NoAccess 역할이 부여됩니다.
PowerOnVMGroup에 속한 사용자 1이 로그인합니다. VM 폴더에 대해 사용자 1에게 부여된 NoAccess 역할이 그룹에 할당된 역할을 재정의합니다. 사용자 1은 VM 폴더 또는 VM A 및 B에 액세스할 수 없습니다. VM A 및 B는 계층에서 사용자 1에게 표시되지 않습니다.