Informationen zu Evaluierungen der Hierarchie

Wenn Sie eine Organisationsrichtlinie für einen Knoten in der Ressourcenhierarchie festlegen, wird diese von allen untergeordneten Objekten des Knotens standardmäßig übernommen. Wenn Sie eine Organisationsrichtlinie für den Stammknoten der Organisation festlegen, werden diese Einschränkungen von allen untergeordneten Ordnern, Projekten und Ressourcen übernommen.

Sie können eine benutzerdefinierte Organisationsrichtlinie für untergeordnete Knoten festlegen. In diesem Fall wird die übernommene Richtlinie abhängig von den Regeln zur Evaluierung der Hierarchie von der benutzerdefinierten Organisationsrichtlinie überschrieben oder mit ihr zusammengeführt.

Vorbereitung

Beispielhierarchie

Im folgenden Diagramm zur Ressourcenhierarchie wird von jedem Knoten eine benutzerdefinierte Organisationsrichtlinie festgelegt und definiert, ob die Richtlinie des übergeordneten Knotens übernommen wird. Die farbigen Formen stellen die Werte dar, die von der Organisationsrichtlinie zugelassen oder abgelehnt werden.

Übernahmediagramm

Eine Einschränkung ist eine Definition des Verhaltens, das von einer Organisationsrichtlinie kontrolliert wird. Im Standardverhalten der Einschränkung des vorstehenden Beispiels werden alle Werte zugelassen. In den untergeordneten Knoten sind benutzerdefinierte Richtlinien definiert, von denen dieses Verhalten überschrieben wird, indem Werte zugelassen oder abgelehnt werden.

Die geltende Richtlinie der einzelnen Knoten wird anhand der Regeln für die Übernahme evaluiert. Wenn keine benutzerdefinierte Organisationsrichtlinie festgelegt wurde, übernimmt der Knoten das Standardverhalten der Einschränkung. Wenn Sie eine Organisationsrichtlinie festlegen, wird stattdessen die benutzerdefinierte Richtlinie verwendet. Im vorstehenden Beispiel wird im Organisationsknoten eine Richtlinie definiert, die rote Quadrate und grüne Kreise zulässt.

Die Ressourcenknoten, die sich in der Hierarchie unter dem Organisationsknoten befinden, werden folgendermaßen evaluiert:

  1. Ressource 1 enthält eine benutzerdefinierte Richtlinie, die inheritFromParent auf TRUE festlegt und blaue Rauten zulässt. Die Richtlinie vom Organisationsknoten wird übernommen und mit der benutzerdefinierten Richtlinie zusammengeführt. Die geltende Richtlinie führt eine Evaluierung durch, nach der rote Quadrate, grüne Kreise und blaue Rauten zulässig sind.

  2. Ressource 2 enthält eine benutzerdefinierte Richtlinie, die inheritFromParent auf TRUE festlegt und grüne Kreise ablehnt. Abgelehnte Werte haben beim Richtlinienabgleich immer Vorrang. Die Richtlinie vom Organisationsknoten wird übernommen und mit der benutzerdefinierten Richtlinie zusammengeführt. Die geltende Richtlinie führt eine Evaluierung durch, nach der nur rote Quadrate zulässig sind.

  3. Ressource 3 enthält eine benutzerdefinierte Richtlinie, die inheritFromParent auf FALSE festlegt und gelbe Sechsecke zulässt. Die Richtlinie vom Organisationsknoten wird nicht übernommen. Deshalb führt die geltende Richtlinie eine Evaluierung durch, nach der nur gelbe Sechsecke zulässig sind.

  4. Ressource 4 enthält eine benutzerdefinierte Richtlinie, die inheritFromParent auf FALSE festlegt und den Wert restoreDefault umfasst. Die Richtlinie vom Organisationsknoten wird nicht übernommen und das Standardverhalten der Einschränkung wird verwendet. Deshalb führt die geltende Richtlinie eine Evaluierung durch, nach der alles zulässig ist.

Regeln für die Evaluierung der Hierarchie

Die folgenden Regeln bestimmen, wie eine Organisationsrichtlinie für eine bestimmte Ressource evaluiert wird. Sie benötigen die Rolle Administrator für Unternehmensrichtlinien, um eine Organisationsrichtlinie festlegen zu können.

Keine Organisationsrichtlinie festgelegt

Wenn Sie keine Organisationsrichtlinie festlegen, werden die Richtlinien des übergeordneten Knotens von den Ressourcenknoten übernommen. Handelt es sich bei dem übergeordneten Knoten um den Organisationsknoten oder verfügt der übergeordnete Knoten nicht über eine Organisationsrichtlinie, wird das Standardverhalten der Einschränkung erzwungen.

Übernahme

Ein Ressourcenknoten, für den standardmäßig eine Organisationsrichtlinie festgelegt wurde, ersetzt alle Richtlinien, die von seinen übergeordneten Knoten in der Hierarchie festgelegt wurden. Wenn jedoch für einen Ressourcenknoten inheritFromParent = true festgelegt wurde, wird die geltende Richtlinie der übergeordneten Ressource übernommen, zusammengeführt und abgeglichen, um die daraus resultierende geltende Richtlinie zu evaluieren. Beispiel:

  • Der Wert projects/123 wird von einem Ordner nicht zugelassen.
  • Der Wert projects/456 wird von einem Projekt, das sich in der Hierarchie unter diesem Ordner befindet, nicht zugelassen.

Die beiden Richtlinien werden zusammengeführt und ergeben in diesem Fall eine geltende Richtlinie, die sowohl projects/123 als auch projects/456 nicht zulässt.

Übernahme nicht zulässig

Wenn ein Knoten in der Ressourcenhierarchie eine Richtlinie hat, die inheritFromParent = false enthält, wird die Organisationsrichtlinie des übergeordneten Knotens nicht übernommen. Stattdessen übernimmt der Knoten das Standardverhalten der Einschränkung, es sei denn, Sie legen eine Richtlinie mit zulässigen oder nicht zulässigen Werten fest.

Richtlinienkonflikte abgleichen

Wenn ein untergeordneter Knoten Organisationsrichtlinien auf Grundlage von Listeneinschränkungen übernimmt, werden die übernommenen Richtlinien zusammengeführt und mit der Organisationsrichtlinie des Knotens abgeglichen. Bei der Evaluierung von Listenrichtlinien haben DENY-Werte immer Vorrang. Beispiel:

  • Der Wert projects/123 wird von einem Ordner nicht zugelassen.
  • Der Wert projects/123 wird von einem Projekt zugelassen, das sich in der Hierarchie unter diesem Ordner befindet.

Die Richtlinien werden zusammengeführt und der Wert DENY hat Vorrang. Die geltende Richtlinie lässt keine Werte zu. Bei der Evaluierung spielt es dabei keine Rolle, ob der übergeordnete oder untergeordnete Knoten den Wert nicht zulässt. Vermeiden Sie es möglichst, einen Wert sowohl in die Liste der zugelassenen Werte als auch in die Liste der abgelehnten Werte aufzunehmen. Die Richtlinien lassen sich sonst nur schwer nachvollziehen.

Organisationsrichtlinien, die von booleschen Einschränkungen abgeleitet wurden, führen Richtlinien nicht zusammen und gleichen sie nicht miteinander ab. Wenn eine Richtlinie für einen Ressourcenknoten festgelegt wurde, wird der Wert TRUE oder FALSE verwendet, um die geltende Richtlinie zu ermitteln. Beispiel:

  • Ein Ordner legt den Wert enforced: true für constraints/compute.disableSerialPortAccess fest.

  • Ein Projekt unter diesem Ordner legt den Wert enforced: false für constraints/compute.disableSerialPortAccess fest.

Der für den Ordner festgelegte Wert enforced: true wird ignoriert, da für das Projekt selbst enforced: false definiert wurde. Die Einschränkung für das Projekt wird von der Organisationsrichtlinie nicht erzwungen.

Universelle Überschreibung

Wenn der Wert DENY ALL universell festgelegt wird, werden alle anderen Einstellungen überschrieben und alle Werte nicht zugelassen, auch ALLOW ALL. Der universell festgelegte Wert ALLOW ALL lässt jeden Wert zu, der vom übergeordneten Knoten nicht abgelehnt wird.

Auf Standardrichtlinie zurücksetzen

Wenn RestoreDefault aufgerufen wird, verwendet die Organisationsrichtlinie das Standardverhalten der Einschränkung für diesen Knoten in der Ressourcenhierarchie. Auch untergeordnete Knoten übernehmen dieses Verhalten.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zu Resource Manager