“受角色层次结构更改操作影响的人员将根据系统中的所有适用策略进行评估,包括与任何父角色无关的策略。因此,您可能会发现与角色层次结构更改无关的帐户被强制执行。”
有人可以用外行的术语解释一下上述几行试图传达的内容,例如:
角色层次结构更改操作何时发生?
这里适用的政策是什么?如何评估变化?
问问题
650 次
1 回答
0
您刚刚从更长的章节中获得了上述部分,这听起来有点脱离上下文,但并不那么复杂。
角色层次结构与角色之间的关系有关。在 ITIM/ISIM 中,您可以将角色定义为其他角色的父/子,从而创建层次结构。它还支持继承的概念,例如,适用于父角色的供应策略也适用于子角色。
当您在给定角色中添加父级或子级时,会发生角色层次结构更改。例如,如果您有 Role1 并且您有一个适用于此角色的配置策略,那么当您将 Role2 添加为 Role1 角色的子角色时,配置策略现在也将适用于 Role2。
至于讨论中的其他问题,让我们从两个事实开始:
- 您的系统中可能有许多供应策略。根据策略成员的设置方式,其中的每一个都可以应用于特定角色、组或系统中的所有人员。
- 在默认 ITIM 配置中,每次修改人员时,都会执行 modifyPerson 工作流。这可以包含许多节点,但默认情况下它包含一个 modifyPerson 节点和一个 enforcePolicy 节点。顾名思义, modifyPerson 对 ITIM 中的 person 对象进行修改。顾名思义,enforcePolicy 节点评估所有适用于人员的供应策略,并根据供应策略对人员帐户执行必要的操作。
您引用的句子是说,当您将角色 (RoleA) 添加为另一个角色 (RoleB) 的子角色时,适用于 RoleA 的配置策略(我们称之为 Policy1 )现在也适用于 RoleB。如果您有一个人是 RoleB 的成员,现在您执行角色层次结构更改,将评估此人的策略,因为 ITIM 需要为他强制执行 Policy1。但是,这并不意味着此时唯一适用于此人的策略是 Policy1。许多不同的政策可以适用于他,所有这些政策都将在此时进行评估。这可能会导致此人的其他帐户发生更改或同一帐户发生更多更改。
顺便说一句,这已经用 ISIM 6、FixPack 3、Intermittent FixPack 11 进行了一些修改。现在可以将工作流中的强制策略节点配置为仅考虑需要针对特定更改重新评估的供应策略发生这种情况,而不是盲目地重新评估一切。
于 2014-11-04T21:09:04.870 回答