对象可能拥有多种权限,但每个用户或组只拥有一种权限。例如,一种权限可能指定组 A
对某个对象具有管理员特权。另一种权限可能指定组 B对同一个对象具有虚拟机管理员特权。
如果某个对象从两个父对象继承了权限,则对一个对象的权限将添加到对另一个对象的权限中。例如,如果某个虚拟机位于虚拟机文件夹中,同时还属于资源池,该虚拟机将同时从虚拟机文件夹和资源池继承所有权限设置。
在子对象上应用的权限始终会替代在父对象上应用的权限。
如果对同一对象定义了多个组权限,且用户属于这些组中的两个或多个组,则可能出现以下两种情况:
1、如果没有为用户定义对该对象的权限,则用户将获得分配给该对象的组的一系列特权。
2、如果为用户定义了对该对象的权限,则该用户权限将优先于所有组权限。
**示例 1:**继承多个权限
如下图1所示,此示例说明了对象如何从组(在父对象上授予了权限)中继承多个权限。
在此示例中,为两个不同组中的同一对象分配两种权限。
- 角色 1 可启动虚拟机。
- 角色 2 可对虚拟机执行快照。
- 在虚拟机文件夹上为组 A 授予角色 1,并将权限设置为传播到子对象。
- 在虚拟机文件夹上为组 B 授予角色 2,并将权限设置为传播到子对象。
- 用户 1 未获得特定特权。
**结果:**属于组 A 和组 B 的用户 1 登录。用户 1 可以同时启动虚拟机 A 和虚拟机 B
并对其执行快照。
图1 继承多个权限
**示例 2:**子权限替代父权限
此示例说明了为子对象分配的权限如何覆盖为父对象分配的权限。可以使用此替代行为限制用户访问清单的特定区域。
如下图2所示,在此示例中,权限在两个不同组的两个不同对象上定义。
- 角色 1 可启动虚拟机。
- 角色 2 可对虚拟机执行快照。
- 在虚拟机文件夹上为组 A 授予角色 1,并将权限设置为传播到子对象。
- 在虚拟机 B 上为组 B 授予角色 2。
**结果:**属于组 A 和组 B 的用户 1 登录。因为在层次结构中,角色 2 被分配在角色 1之下,所以它将在虚拟机 B 上替代角色 1。用户 1 可以启动虚拟机A,但不能执行快照。用户 1 可对虚拟机 B 执行快照但无法将其启动。
图2 子权限替代父权限
**示例 3:**用户角色替代组角色
下例说明了直接分配给单个用户的角色如何替代与分配给组的角色关联的特权。
如下图3所示,在此示例中,权限在相同的对象上定义。一种权限与包含某个角色的组相关联,另一种权限与包含某个角色的单个用户相关联。用户属于组成员。
- 角色 1 可启动虚拟机。
- 在虚拟机文件夹上为组 A 授予角色 1。
- 在虚拟机文件夹上为用户 1 授予无权访问角色。
**结果:**属于组 A 的用户 1 登录。在虚拟机文件夹上为用户 1
授予的无权访问角色替代分配给组的角色。用户 1 无权访问虚拟机文件夹或虚拟机 A 和
B。
图3 用户权限替代组权限
下面为视频教学课程链接地址(适用于网络工程师、系统工程师、虚拟化工程师)
| 视频教学课程 | 链接地址 |
|---|---|
| 计算机网络技术基础视频课程专题 | https://edu.51cto.com/topic/825.html |
| Windows Server 2008 R2基础与提升实战 | https://edu.51cto.com/topic/1202.html |
| Linux系统管理与运维视频课程专题 | https://edu.51cto.com/topic/779.html |
| Windows Server 2012 R2初级、中级、高级 | https://edu.51cto.com/topic/1514.html |
| (vSphere+vSAN+Horizon)视频套餐完全系列 | https://edu.51cto.com/topic/2813.html |
| Horizon 7.0 构建与配置(初级+中级+高级)套餐 | https://edu.51cto.com/topic/2812.html |
