Informationen zur Bewertung der Hierarchie

Wenn Sie eine Organisationsrichtlinie für einen Knoten in der Ressourcenhierarchie festlegen, wird diese von allen untergeordneten Objekten des Knotens standardmäßig übernommen. Wenn Sie eine Organisationsrichtlinie für den Stammknoten der Organisation festlegen, werden diese Einschränkungen von allen untergeordneten Ordnern, Projekten und Ressourcen übernommen.

Sie können eine benutzerdefinierte Organisationsrichtlinie für untergeordnete Knoten festlegen. In diesem Fall wird die übernommene Richtlinie abhängig von den Regeln zur Evaluierung der Hierarchie von der benutzerdefinierten Organisationsrichtlinie überschrieben oder mit ihr zusammengeführt.

Hinweis

• Lesen Sie die Seite Informationen zu Einschränkungen, um zu erfahren, was eine Einschränkung ist.

• Lesen Sie die Übersicht über den Organisationsrichtliniendienst, um zu erfahren, wie Organisationsrichtlinien verwendet werden.

Beispielhierarchie

Im folgenden Diagramm zur Ressourcenhierarchie wird von jedem Knoten eine benutzerdefinierte Organisationsrichtlinie festgelegt und definiert, ob die Richtlinie des übergeordneten Knotens übernommen wird. Die farbigen Formen stellen die Werte dar, die von der Organisationsrichtlinie zugelassen oder abgelehnt werden.

Eine Einschränkung ist eine Definition des Verhaltens, das von einer Organisationsrichtlinie kontrolliert wird. Im obigen Beispiel stellt die Einschränkung den Einschränkungsstandard dar, der das Verhalten definiert, wenn für die Einschränkung keine Organisationsrichtlinie vorhanden ist. Der Einschränkungsstandard in diesem Beispiel lässt all_inclusive alle Werte zu. Die darunter liegenden Knoten definieren benutzerdefinierte Richtlinien, die den Standardwert der Einschränkung überschreiben, indem sie Werte zulassen oder ablehnen.

Die geltende Richtlinie der einzelnen Knoten wird anhand der Regeln für die Übernahme evaluiert. Wenn keine benutzerdefinierte Organisationsrichtlinie festgelegt wurde, übernimmt der Knoten das Standardverhalten der Einschränkung. Wenn Sie eine Organisationsrichtlinie festlegen, wird stattdessen die benutzerdefinierte Richtlinie verwendet. Im obigen Beispiel definiert der Organisationsknoten eine Richtlinie, die ein rotes Quadrat square und einen grünen Kreis circle zulässt.

Die Ressourcenknoten, die sich in der Hierarchie unter dem Organisationsknoten befinden, werden folgendermaßen evaluiert:

1. Ressource 1 enthält eine benutzerdefinierte Richtlinie, die inheritFromParent auf TRUE festlegt und square-blaue Raute zulässt. Die Richtlinie vom Organisationsknoten wird übernommen und mit der benutzerdefinierten Richtlinie zusammengeführt. Die geltende Richtlinie führt eine Evaluierung durch, nach der square rote Quadrate, circle grüne Kreise und square blaue Rauten zulässig sind.

2. Ressource 2 enthält eine benutzerdefinierte Richtlinie, die inheritFromParent auf TRUE festlegt und den grünen Kreis circle ablehnt. Ablehnungswerte haben beim Richtlinienabgleich immer Vorrang. Die Richtlinie vom Organisationsknoten wird übernommen und mit der benutzerdefinierten Richtlinie zusammengeführt. Die geltende Richtlinie führt eine Evaluierung durch, nach der nur das rote Quadrat square zulässig ist.

3. Ressource 3 enthält eine benutzerdefinierte Richtlinie, die inheritFromParent auf FALSE festlegt und hexagon gelbe Sechsecke zulässt. Die Richtlinie vom Organisationsknoten wird nicht übernommen, sodass die effektive Richtlinie nur hexagon-gelbe Sechsecke zulässt.

4. Ressource 4 definiert eine benutzerdefinierte Richtlinie, nach der inheritFromParent auf FALSE festgelegt wird und der Wert restoreDefault enthalten ist. Die Richtlinie vom Organisationsknoten wird nicht übernommen und das Standardverhalten der Einschränkung wird verwendet. Daher führt die geltende Richtlinie eine Evaluierung durch, nach der alle Werte für all_inclusive zulässig sind.

Regeln für die Evaluierung der Hierarchie

Die folgenden Regeln bestimmen, wie eine Organisationsrichtlinie für eine bestimmte Ressource evaluiert wird. Sie benötigen die Rolle Administrator für Unternehmensrichtlinien, um eine Organisationsrichtlinie festlegen zu können.

Keine Organisationsrichtlinie festgelegt

Wenn Sie keine Organisationsrichtlinie festlegen, übernimmt ein Ressourcenknoten die Richtlinie vom niedrigsten Ancestor mit einem Richtliniensatz. Wenn in der Ancestor-Hierarchie keine Richtlinie festgelegt ist, wird das Standardverhalten der Einschränkung erzwungen.

Vererbung

Ein Ressourcenknoten, für den standardmäßig eine Organisationsrichtlinie festgelegt wurde, ersetzt alle Richtlinien, die von seinen übergeordneten Knoten in der Hierarchie festgelegt wurden. Wenn jedoch ein Ressourcenknoten inheritFromParent = true festgelegt hat, wird die effektive Richtlinie der übergeordneten Ressource übernommen, zusammengeführt und abgeglichen, um die resultierende effektive Richtlinie auszuwerten. Beispiel:

• Für einen Ordner wird der Wert projects/123 abgelehnt.
• In einem Projekt, das diesem Ordner untergeordnet ist, wird der Wert projects/456 abgelehnt.

Die beiden Richtlinien werden in diesem Fall zu einer effektiven Richtlinie zusammengeführt, die sowohl projects/123 als auch projects/456 ablehnt.

Übernahme nicht zulässig

Wenn für einen Knoten in einer Ressourcenhierarchie eine Richtlinie festgelegt ist, die inheritFromParent = false enthält, übernimmt dieser nicht die Organisationsrichtlinie von seinem übergeordneten Element. Stattdessen übernimmt der Knoten das Standardverhalten der Einschränkung, es sei denn, Sie legen eine Richtlinie mit zulässigen oder nicht zulässigen Werten fest.

Richtlinienkonflikte abgleichen

Wenn ein untergeordneter Knoten Organisationsrichtlinien auf Grundlage von Listeneinschränkungen übernimmt, werden die übernommenen Richtlinien zusammengeführt und mit der Organisationsrichtlinie des Knotens abgeglichen. Bei der Evaluierung von Richtlinienlisten haben DENY-Werte immer Vorrang. Beispiel:

• Für einen Ordner wird der Wert projects/123 abgelehnt.
• In einem diesem Ordner untergeordneten Projekt ist der Wert projects/123 zulässig.

Die Richtlinien werden zusammengeführt und der Wert DENY hat Vorrang. Die geltende Richtlinie lässt keine Werte zu. Bei der Evaluierung spielt es dabei keine Rolle, ob der übergeordnete oder untergeordnete Knoten den Wert nicht zulässt. Vermeiden Sie es möglichst, einen Wert sowohl in die Liste der zugelassenen Werte als auch in die Liste der abgelehnten Werte aufzunehmen. Die Richtlinien lassen sich sonst nur schwer nachvollziehen.

Organisationsrichtlinien, die von booleschen Einschränkungen abgeleitet wurden, führen Richtlinien nicht zusammen und gleichen sie nicht miteinander ab. Wenn für einen Ressourcenknoten eine Richtlinie festgelegt wurde, wird der Wert TRUE oder FALSE verwendet, um die effektive Richtlinie zu ermitteln. Beispiel:

• In einem Ordner wird für constraints/compute.disableSerialPortAccess enforced: true festgelegt.

• In einem Projekt, das diesem Ordner untergeordnet ist, wird für constraints/compute.disableSerialPortAccess enforced: false festgelegt.

Der für den Ordner festgelegte Wert enforced: true wird ignoriert, da enforced: false projektspezifisch definiert ist. Die Einschränkung für das Projekt wird von der Organisationsrichtlinie nicht erzwungen.

Auf Standardrichtlinie zurücksetzen

Wenn RestoreDefault aufgerufen wird, verwendet die Organisationsrichtlinie das Standardverhalten der Einschränkung für diesen Knoten in der Ressourcenhierarchie. Auch untergeordnete Knoten übernehmen dieses Verhalten.