在規則中解析動態角色的考量
動態角色一律會解析到與網域所在之前後關聯相關聯的特定前後關聯小組。此網域通常與目前正在對存取權進行評估的物件處於同一個前後關聯中。例如,假設設定了下列規則:
網域
類型
狀態
參與者
授與權限
Default (示範組織)
WTDocument
全部
設計者 (前後關聯小組角色 – 示範組織)
讀取
也會假設已建立「零件示範」產品前後關聯,其中 Default 網域是「示範組織」之 /Default/PDM 網域的子項,且「設計者」角色是「零件示範」小組中使用的角色。因此,針對位於「零件示範」前後關聯之任何 WTDocument 物件評估,且與其 Default 網域相關聯的規則,將會包含在「示範組織」前後關聯中建立之「設計者」角色的規則。計算 Default 網域的 ACL 時,「設計師」角色將會解析至與「零件示範」小組的「設計師」角色相關聯的系統群組。
針對位於「示範組織」前後關聯之任何 WTDocument 物件評估,且與其 Default 網域相關聯的規則,將不會包含「設計者」角色的規則,即使該物件與 Default 網域相關聯亦然。這是因為組織前後關聯沒有可解析動態角色的相關聯小組。
如果 WTDocument 物件建立於「零件示範」產品中,但與不在網域階層的網域相關聯 (該階層包含「示範組織」前後關聯中的 Default 網域),則不會評估「設計者」角色的規則。在此案例中,前後關聯小組包含「設計者」角色,但原則規則並不會透過網域繼承。如果使用者可選取文件所在之資料夾的網域關聯,但卻沒有選擇 Default 網域,則可能會發生這種情況。
這是否有幫助?