物件可能擁有多個權限,但是每個使用者或群組只能有一個權限。例如,一種權限必須指定 GroupAdmin 對某個物件具有管理員角色。另一種權限必須指定 GroupVMAdmin 對同一物件具有虛擬機器管理員角色。但是,GroupVMAdmin 群組不能對此物件具有同一 GroupVMAdmin 的其他權限。

如果父系的散佈內容設定為 true,則子物件會繼承其父系物件的權限。直接在子物件上設定的權限會覆寫父系物件中的權限。請參閱範例 2:子權限覆寫父系權限

如果對同一物件定義了多個群組角色,且使用者屬於這些群組中的兩個或多個群組,則可能出現下列兩種情況:

  • 沒有直接在物件上定義使用者權限。在此情況下,使用者將獲得群組對該物件具有的權限聯集。
  • 已直接在物件上定義使用者權限。在此情況下,該使用者的權限優先於所有群組權限。

範例 1:從多個群組繼承權限

此範例說明物件如何從父系物件上授與權限的群組繼承多個權限。

在此範例中,將在同一物件上針對兩個不同的群組指派兩個權限。

  • PowerOnVMRole 可以開啟虛擬機器電源。
  • SnapShotRole 可以建立虛擬機器快照。
  • 在虛擬機器資料夾上為 PowerOnVMGroup 授與 PowerOnVMRole,並將權限設定為散佈到子物件。
  • 在虛擬機器資料夾上為 SnapShotGroup 授與 SnapShotRole,並將權限設定為散佈到子物件。
  • 未向使用者 1 指派特定權限。

同時屬於 PowerOnVMGroup 和 SnapShotGroup 的使用者 1 登入。使用者 1 可同時為虛擬機器 A 和虛擬機器 B 開啟電源並建立快照。

圖 1. 範例 1:從多個群組繼承權限
多個權限繼承的範例。

範例 2:子權限覆寫父系權限

此範例說明子物件上指派的權限如何覆寫父系物件上指派的權限。可使用此覆寫行為限制使用者對詳細目錄的特定區域的存取。

在此範例中,權限將在兩個不同的物件上針對兩個不同的群組進行定義。

  • PowerOnVMRole 可以開啟虛擬機器電源。
  • SnapShotRole 可以建立虛擬機器快照。
  • 在虛擬機器資料夾上為 PowerOnVMGroup 授與 PowerOnVMRole,並將權限設定為散佈到子物件。
  • 在虛擬機器 B 上為 SnapShotGroup 授與 SnapShotRole。

同時屬於 PowerOnVMGroup 和 SnapShotGroup 的使用者 1 登入。由於在階層中,SnapShotRole 的指派位置比 PowerOnVMRole 略低,因此 SnapShotRole 會覆寫虛擬機器 B 上的 PowerOnVMRole。使用者 1 可開啟虛擬機器 A 的電源,但不能建立快照。使用者 1 可建立虛擬機器 B 的快照,但不能開啟它的電源。

圖 2. 範例 2:子權限覆寫父系權限
覆寫父系權限的子系權限範例。

範例 3:使用者角色覆寫群組角色

此範例說明了直接指派給個別使用者的角色如何覆寫與指派到群組之角色相關聯的權限。

在此範例中,將在相同物件上定義權限。某個權限會將群組與角色建立關聯,其他權限會將個別使用者與某個角色建立關聯。該使用者為群組成員。

  • PowerOnVMRole 可以開啟虛擬機器電源。
  • 在虛擬機器資料夾上為 PowerOnVMGroup 授與 PowerOnVMRole。
  • 在虛擬機器資料夾上為使用者 1 授與 NoAccess 角色。

屬於 PowerOnVMGroup 的使用者 1 登入。虛擬機器資料夾上為使用者 1 授與的 NoAccess 角色會覆寫指派給群組的角色。使用者 1 無法存取虛擬機器資料夾或虛擬機器 A 和 B。在階層中,使用者 1 看不到虛擬機器 A 和 B。

圖 3. 範例 3:使用者權限覆寫群組權限
使用者權限覆寫群組權限的範例。