Выбор всех, кроме участника
При создании правила управления доступом к политике можно указать участника, к которому должно применяться правило политики, или можно указать участника и использовать опцию Все, кроме выбранного участника. Во втором случае правило политики применимо ко всем участникам, кроме выбранного. Опция Все, кроме выбранного участника доступна для пользователей, групп, организаций и динамических ролей. Она недоступна для псевдоролей "Владелец" и "Все". Правило "для всех кроме участника" обрабатывает участника как группу, участники которой - это все участники за исключением следующих:
пользователь-администратор
выбранный пользователь
пользователи из выбранной группы, динамической роли или организации
Например, Стив создает изделие "Пляжный зонт" в домене /Default. Вместо того чтобы создавать несколько правил политики управления доступом для каждой группы в своем изделии, он создает одно правило управления доступом, отклоняя разрешение на выполнение административных функций всем участникам, кроме группы администраторов. В этом примере разрешение на выполнение административных функций для объектов в изделии "Пляжный зонт" для всех пользователей, которые не являются администраторами, отклоняется. Однако если Стив хочет предоставить Карлосу право на выполнение административных функций, он в состоянии сделать это с помощью правила политики для отдельного пользователя. Опция Все, кроме выбранного участника обрабатывает участника правила как группу, в которой участниками являются все, кроме выбранного участника. Как и с другими отклоненными разрешениями, предоставление того же самого разрешения отдельному пользователю переопределяет отклонение разрешения для группы.
Опция Все, кроме выбранного участника может использоваться в сочетании с опцией полного отказа в предоставлении разрешения. Предположим, например, что имеется тип документов, просмотр которых требуется ограничить для всех, кроме некоторого набора пользователей. Для этого создайте группу с наименованием "Скрытый просмотр" и добавьте в нее пользователей, которые должны иметь возможность просматривать документы. Затем создайте правило управления доступом к политике, которое полностью отказывает в предоставлении разрешения "Чтение" для этого типа документов всем пользователям, не являющимся участниками группы "Скрытый просмотр".
Было ли это полезно?