Informationen zu Evaluierungen der Hierarchie

Wenn Sie für einen Knoten in der Ressourcenhierarchie eine Organisationsrichtlinie festlegen, wird diese von allen untergeordneten Objekten des Knotens standardmäßig übernommen. Wenn Sie eine Organisationsrichtlinie für den Stammknoten der Organisation festlegen, werden diese Einschränkungen von allen untergeordneten Ordnern, Projekten und Ressourcen übernommen.

Sie können eine benutzerdefinierte Organisationsrichtlinie für untergeordnete Knoten festlegen. In diesem Fall wird die übernommene Richtlinie abhängig von den Regeln zur Evaluierung der Hierarchie von der benutzerdefinierten Organisationsrichtlinie überschrieben oder mit ihr zusammengeführt.

Hinweis

Beispielhierarchie

Im folgenden Diagramm zur Ressourcenhierarchie wird von jedem Knoten eine benutzerdefinierte Organisationsrichtlinie festgelegt und definiert, ob die Richtlinie des übergeordneten Knotens übernommen wird. Die farbigen Formen stellen die Werte dar, die von der Organisationsrichtlinie zugelassen oder abgelehnt werden.

Übernahmediagramm

Eine Einschränkung ist eine Definition des Verhaltens, das von einer Organisationsrichtlinie kontrolliert wird. Im Standardverhalten der Einschränkung des vorstehenden Beispiels werden alle Werte zugelassen. In den untergeordneten Knoten sind benutzerdefinierte Richtlinien definiert, von denen dieses Verhalten überschrieben wird, indem Werte zugelassen oder abgelehnt werden.

Die geltende Richtlinie der einzelnen Knoten wird anhand der Regeln für die Übernahme evaluiert. Wenn keine benutzerdefinierte Organisationsrichtlinie festgelegt wurde, übernimmt der Knoten das Standardverhalten der Einschränkung. Wenn Sie eine Organisationsrichtlinie festlegen, wird stattdessen die benutzerdefinierte Richtlinie verwendet. Im vorstehenden Beispiel wird im Organisationsknoten eine Richtlinie definiert, die rote Quadrate und grüne Kreise zulässt.

Die Ressourcenknoten, die sich in der Hierarchie unter dem Organisationsknoten befinden, werden folgendermaßen evaluiert:

  1. Ressource 1 definiert eine benutzerdefinierte Richtlinie, nach der inheritFromParent auf TRUE festgelegt wird und blaue Rauten zulässig sind. Die Richtlinie des Organisationsknotens wird übernommen und mit der benutzerdefinierten Richtlinie zusammengeführt. Die geltende Richtlinie führt eine Evaluierung durch, nach der rote Quadrate, grüne Kreise und blaue Rauten zulässig sind.

  2. Ressource 2 definiert eine benutzerdefinierte Richtlinie, nach der inheritFromParent auf TRUE festgelegt wird und grüne Kreise nicht zulässig sind. Abgelehnte Werte haben beim Richtlinienabgleich immer Vorrang. Die Richtlinie des Organisationsknotens wird übernommen und mit der benutzerdefinierten Richtlinie zusammengeführt. Die effektive Richtlinie führt eine Evaluierung durch, nach der nur rote Quadrate zulässig sind.

  3. Ressource 3 definiert eine benutzerdefinierte Richtlinie, nach der inheritFromParent auf FALSE festgelegt wird und gelbe Sechsecke zulässig sind. Die Richtlinie des Organisationsknotens wird nicht übernommen, deshalb führt die effektive Richtlinie die Evaluierung durch, nach der nur gelbe Sechsecke zulässig sind.

  4. Ressource 4 definiert eine benutzerdefinierte Richtlinie, nach der inheritFromParent auf FALSE festgelegt wird und der Wert restoreDefault enthalten ist. Die Richtlinie des Organisationsknotens wird nicht übernommen und das Standardverhalten der Einschränkung wird verwendet, sodass die effektive Richtlinie eine Evaluierung durchführt, nach der alles zulässig ist.

Regeln für die Evaluierung der Hierarchie

Die folgenden Regeln bestimmen, wie eine Organisationsrichtlinie für eine bestimmte Ressource evaluiert wird. Sie benötigen die Rolle Administrator für Unternehmensrichtlinien, um eine Organisationsrichtlinie festlegen zu können.

Keine Organisationsrichtlinie festgelegt

Wenn Sie keine Organisationsrichtlinie festlegen, werden die Richtlinien des übergeordneten Knotens von den Ressourcenknoten übernommen. Handelt es sich bei dem übergeordneten Knoten um den Organisationsknoten oder verfügt der übergeordnete Knoten nicht über eine Organisationsrichtlinie, wird das Standardverhalten der Einschränkung erzwungen.

Vererbung

Ein Ressourcenknoten, für den standardmäßig eine Organisationsrichtlinie festgelegt wurde, ersetzt alle Richtlinien, die von seinen übergeordneten Knoten in der Hierarchie festgelegt wurden. Wenn jedoch ein Ressourcenknoten inheritFromParent = true festgelegt hat, wird die effektive Richtlinie der übergeordneten Ressource übernommen, zusammengeführt und abgeglichen, um die resultierende effektive Richtlinie auszuwerten. Beispiel:

  • Für einen Ordner wird der Wert projects/123 abgelehnt.
  • In einem Projekt, das diesem Ordner untergeordnet ist, wird der Wert projects/456 abgelehnt.

Die beiden Richtlinien werden in diesem Fall zu einer effektiven Richtlinie zusammengeführt, die sowohl projects/123 als auch projects/456 ablehnt.

Übernahme nicht zulässig

Wenn für einen Knoten in einer Ressourcenhierarchie eine Richtlinie festgelegt ist, die inheritFromParent = false enthält, übernimmt dieser nicht die Organisationsrichtlinie von seinem übergeordneten Element. Stattdessen übernimmt der Knoten das Standardverhalten der Einschränkung, es sei denn, Sie legen eine Richtlinie mit zulässigen oder nicht zulässigen Werten fest.

Richtlinienkonflikte abgleichen

Wenn ein untergeordneter Knoten Organisationsrichtlinien auf Grundlage von Listeneinschränkungen übernimmt, werden die übernommenen Richtlinien zusammengeführt und mit der Organisationsrichtlinie des Knotens abgeglichen. Bei der Evaluierung von Richtlinienlisten haben DENY-Werte immer Vorrang. Beispiel:

  • Für einen Ordner wird der Wert projects/123 abgelehnt.
  • In einem diesem Ordner untergeordneten Projekt ist der Wert projects/123 zulässig.

Die Richtlinien werden zusammengeführt und der Wert DENY hat Vorrang. Die geltende Richtlinie lässt keine Werte zu. Bei der Evaluierung spielt es dabei keine Rolle, ob der übergeordnete oder untergeordnete Knoten den Wert nicht zulässt. Vermeiden Sie es möglichst, einen Wert sowohl in die Liste der zugelassenen Werte als auch in die Liste der abgelehnten Werte aufzunehmen. Die Richtlinien lassen sich sonst nur schwer nachvollziehen.

Organisationsrichtlinien, die von booleschen Einschränkungen abgeleitet wurden, führen Richtlinien nicht zusammen und gleichen sie nicht miteinander ab. Wenn für einen Ressourcenknoten eine Richtlinie festgelegt wurde, wird der Wert TRUE oder FALSE verwendet, um die effektive Richtlinie zu ermitteln. Beispiel:

  • In einem Ordner wird für constraints/compute.disableSerialPortAccess enforced: true festgelegt.

  • In einem Projekt, das diesem Ordner untergeordnet ist, wird für constraints/compute.disableSerialPortAccess enforced: false festgelegt.

Der für den Ordner festgelegte Wert enforced: true wird ignoriert, da enforced: false projektspezifisch definiert ist. Die Einschränkung für das Projekt wird von der Organisationsrichtlinie nicht erzwungen.

Auf Standardrichtlinie zurücksetzen

Wenn RestoreDefault aufgerufen wird, verwendet die Organisationsrichtlinie das Standardverhalten der Einschränkung für diesen Knoten in der Ressourcenhierarchie. Auch untergeordnete Knoten übernehmen dieses Verhalten.