動作是在已部署的目錄項目上執行。已佈建的目錄項目以及您獲權對其執行的動作,會出現在您的 [項目] 索引標籤中。若要在已部署的項目上執行動作,該動作必須與從服務目錄佈建該項目的目錄項目包含在相同的權利中。

例如,權利 1 包含 vSphere 虛擬機器和建立快照動作,而權利 2 僅包含 vSphere 虛擬機器。當您從權利 1 部署 vSphere 機器時,可以使用建立快照動作。當您從權利 2 部署 vSphere 機器時,則沒有動作。若要提供動作給權利 2 使用者使用,請將建立快照動作新增到權利 2。

如果選取的動作不適用於權利中的任何目錄項目,該動作將不會出現在 [項目] 索引標籤上。例如,您的權利包含 vSphere 機器,而您授權雲端機器的銷毀動作。銷毀動作就無法用來在已佈建的機器上執行。

您可以將與套用到權利中目錄項目的核准原則不同的原則套用到動作。

如果服務目錄使用者是多個業務群組的成員,且其中某一群組僅獲權開啟電源和關閉電源,而其他群組僅獲權銷毀,則該使用者可以對適用的已佈建機器執行所有三種動作。

將動作授權給使用者時的最佳做法

藍圖很複雜,授權動作在已佈建藍圖上執行可能會導致非預期的行為。授權服務目錄使用者在已佈建項目上執行動作時,請使用下列最佳做法。

  • 授權使用者 [銷毀機器] 動作時,亦請授權 [銷毀部署]。一個已佈建藍圖是一個部署。

    部署可包含一部機器。如果服務目錄使用者授獲權執行 [銷毀機器] 動作,但未獲授權執行 [銷毀部署],則當使用者在部署中的最後一部或僅有的機器上執行 [銷毀機器] 動作時,會顯示一則訊息,表示使用者沒有執行此動作的權限。授權這兩個動作可確保從環境中移除部署。若要管理對 [銷毀部署] 動作的監管,您可以建立事先核准原則並將其套用至動作。此原則會允許指定核准者在執行 [銷毀部署] 申請前進行驗證。

  • 授權服務目錄使用者執行可套用至機器和部署的 [變更租用]、[變更擁有者]、[到期]、[重新設定] 和其他動作時,請授權兩種動作。