Wenn Sie eine Organisationsrichtlinie für einen Knoten in der Ressourcenhierarchie festlegen, wird diese von allen untergeordneten Objekten des Knotens standardmäßig übernommen. Wenn Sie eine Organisationsrichtlinie für den Stammknoten der Organisation festlegen, werden diese Einschränkungen von allen untergeordneten Ordnern, Projekten und Ressourcen übernommen.
Sie können dieselbe Organisationsrichtlinie mit einer anderen Konfiguration auf untergeordneten Knoten festlegen. Dadurch wird die übernommene Richtlinie gemäß den Regeln der Hierarchieauswertung überschrieben oder mit ihr zusammengeführt.
Hinweise
Lesen Sie die Seite Informationen zu Einschränkungen, um zu erfahren, was eine Einschränkung ist.
Lesen Sie die Übersicht über den Organisationsrichtliniendienst, um zu erfahren, wie Organisationsrichtlinien verwendet werden.
Beispielhierarchie
Im folgenden Diagramm zur Ressourcenhierarchie wird von jedem Knoten eine Organisationsrichtlinie festgelegt und definiert, ob die Richtlinie des übergeordneten Knotens übernommen wird. Die farbigen Formen stellen die Werte dar, die von der Organisationsrichtlinie zugelassen oder abgelehnt werden.
Eine Einschränkung ist eine Definition des Verhaltens, das von einer Organisationsrichtlinie kontrolliert wird. Im obigen Beispiel stellt die Einschränkung den Einschränkungsstandard dar, der das Verhalten definiert, wenn keine Organisationsrichtlinie für die Einschränkung vorhanden ist. Der Einschränkungsstandard in diesem Beispiel lässt
alle Werte zu. Die Knoten darunter definieren Organisationsrichtlinien, die den Einschränkungsstandard überschreiben, indem sie Werte zulassen oder ablehnen.Die geltende Richtlinie der einzelnen Knoten wird anhand der Regeln für die Übernahme evaluiert. Wenn keine Organisationsrichtlinie festgelegt ist, übernimmt der Knoten das Standardverhalten der Einschränkung. Wenn Sie eine Organisationsrichtlinie festlegen, wird stattdessen Ihre Richtlinie verwendet. Im obigen Beispiel definiert der Organisationsknoten eine Richtlinie, die
-rotes Quadrat und -grüne Kreise zulässt.Die Ressourcenknoten, die sich in der Hierarchie unter dem Organisationsknoten befinden, werden folgendermaßen evaluiert:
Ressource 1 definiert eine Richtlinie, die
inheritFromParent
aufTRUE
festlegt und blaue Rauten zulässt. Die Richtlinie vom Organisationsknoten wird übernommen und mit der für Ressource 1 festgelegten Richtlinie zusammengeführt. Die geltende Richtlinie führt eine Evaluierung durch, nach der rotes Quadrat, grüner Kreis und blaue Rauten zulässig sind.Ressource 2 definiert eine Richtlinie, die
inheritFromParent
aufTRUE
festlegt und den grünen Kreis von ablehnt. Abgelehnte Werte haben beim Richtlinienabgleich immer Vorrang. Die Richtlinie vom Organisationsknoten wird übernommen und mit der für Ressource 2 festgelegten Richtlinie zusammengeführt. Die geltende Richtlinie führt eine Evaluierung durch, nach der nur rote Quadrate zulässig sind.Ressource 3 definiert eine Richtlinie, die
inheritFromParent
aufFALSE
festlegt und -gelbe Sechsecke zulässt. Die Richtlinie vom Organisationsknoten wird nicht übernommen. Daher führt die geltende Richtlinie eine Evaluierung durch, nach der nur -gelbes Sechseck zulässig ist.Ressource 4 definiert eine Richtlinie, die
inheritFromParent
aufFALSE
festlegt und den WertrestoreDefault
enthält. Die Richtlinie vom Organisationsknoten wird nicht übernommen und das Standardverhalten der Einschränkung wird verwendet. Daher führt die geltende Richtlinie eine Evaluierung durch, nach der alle Werte zulässig sind.
Regeln für die Evaluierung der Hierarchie
Die folgenden Regeln bestimmen, wie eine Organisationsrichtlinie für eine bestimmte Ressource evaluiert wird. Sie benötigen die Rolle Administrator für Unternehmensrichtlinien, um eine Organisationsrichtlinie festlegen zu können.
Keine Organisationsrichtlinie festgelegt
Wenn Sie keine Organisationsrichtlinie festlegen, übernimmt ein Ressourcenknoten die Richtlinie vom niedrigsten Ancestor mit einem Richtliniensatz. Wenn in der Ancestor-Hierarchie keine Richtlinie festgelegt ist, wird das Standardverhalten der Einschränkung erzwungen.
Vererbung
Ein Ressourcenknoten, für den standardmäßig eine Organisationsrichtlinie festgelegt wurde, ersetzt alle Richtlinien, die von seinen übergeordneten Knoten in der Hierarchie festgelegt wurden. Wenn jedoch ein Ressourcenknoten inheritFromParent = true
festgelegt hat, wird die effektive Richtlinie der übergeordneten Ressource übernommen, zusammengeführt und abgeglichen, um die resultierende effektive Richtlinie auszuwerten. Beispiel:
- Für einen Ordner wird der Wert
projects/123
abgelehnt. - In einem Projekt, das diesem Ordner untergeordnet ist, wird der Wert
projects/456
abgelehnt.
Die beiden Richtlinien werden in diesem Fall zu einer effektiven Richtlinie zusammengeführt, die sowohl projects/123
als auch projects/456
ablehnt.
Übernahme nicht zulässig
Wenn für einen Knoten in einer Ressourcenhierarchie eine Richtlinie festgelegt ist, die inheritFromParent = false
enthält, übernimmt dieser nicht die Organisationsrichtlinie von seinem übergeordneten Element. Stattdessen übernimmt der Knoten das Standardverhalten der Einschränkung, es sei denn, Sie legen eine Richtlinie mit zulässigen oder nicht zulässigen Werten fest.
Richtlinienkonflikte abgleichen
Wenn ein untergeordneter Knoten Organisationsrichtlinien auf Grundlage von Listeneinschränkungen übernimmt, werden die übernommenen Richtlinien zusammengeführt und mit der Organisationsrichtlinie des Knotens abgeglichen. Bei der Evaluierung von Richtlinienlisten haben DENY
-Werte immer Vorrang. Beispiel:
- Für einen Ordner wird der Wert
projects/123
abgelehnt. - In einem diesem Ordner untergeordneten Projekt ist der Wert
projects/123
zulässig.
Die Richtlinien werden zusammengeführt und der Wert DENY
hat Vorrang. Die geltende Richtlinie lässt keine Werte zu. Bei der Evaluierung spielt es dabei keine Rolle, ob der übergeordnete oder untergeordnete Knoten den Wert nicht zulässt. Vermeiden Sie es möglichst, einen Wert sowohl in die Liste der zugelassenen Werte als auch in die Liste der abgelehnten Werte aufzunehmen. Die Richtlinien lassen sich sonst nur schwer nachvollziehen.
Organisationsrichtlinien, die von boolean constraints abgeleitet wurden, führen Richtlinien nicht zusammen und gleichen sie nicht miteinander ab. Wenn für einen Ressourcenknoten eine Richtlinie festgelegt wurde, wird der Wert TRUE
oder FALSE
verwendet, um die effektive Richtlinie zu ermitteln. Beispiel:
In einem Ordner wird für
constraints/compute.disableSerialPortAccess
enforced: true
festgelegt.In einem Projekt, das diesem Ordner untergeordnet ist, wird für
constraints/compute.disableSerialPortAccess
enforced: false
festgelegt.
Der für den Ordner festgelegte Wert enforced: true
wird ignoriert, da enforced: false
projektspezifisch definiert ist. Die Einschränkung für das Projekt wird von der Organisationsrichtlinie nicht erzwungen.
Auf Standardrichtlinie zurücksetzen
Wenn RestoreDefault
aufgerufen wird, verwendet die Organisationsrichtlinie das Standardverhalten der Einschränkung für diesen Knoten in der Ressourcenhierarchie. Auch untergeordnete Knoten übernehmen dieses Verhalten.