继承和覆盖权限
文件夹的权限由文件夹内的服务继承。例如,如果允许管理员角色访问某个文件夹,则该文件夹内的所有服务也允许此角色进行访问。权限 对话框将显示该角色,如果添加了其他角色也将一起显示。文件夹还会继承服务器根文件夹中的权限。
可以将服务从文件夹中继承的角色移除。要执行此操作,打开服务的权限 对话框,单击该角色,然后单击移除。这样,将禁止该角色访问服务。请注意,用户可能被分配多个角色,因此必须根据角色成员资格仔细考虑访问权限。
如果编辑了文件夹的权限,则对角色权限所做的任何更改都将重新应用于文件夹内的所有服务。请注意,这样将覆盖对各个服务的这些角色所做的全部更改。如果从文件夹的允许列表中移除某个角色,将不再允许该角色访问文件夹内的任何服务。同样,如果向文件夹的权限列表添加一个角色,将允许该角色访问文件夹内的所有服务。
覆盖子文件夹和服务中的权限
设置根文件夹的权限时,单击保存可能会显示以下消息:
您正在为其更改权限的一个或多个角色已在此文件夹内的一个或多个服务或文件夹中具有权限设置。如果继续,将移除子服务或文件夹中这些角色的权限设置。是否要保存这些更改?
此消息意味着您要添加或移除的角色已具有文件夹内(如果编辑根文件夹的权限,则在某个子文件夹内)一个或多个服务的显式权限,并且该权限与要应用的权限不同。如果继续,将会移除子文件夹和服务内该角色的所有规则,而子文件夹和服务将继承文件夹中该角色的权限。
此消息意味着至少一个服务或文件夹的权限与之前显式设置的权限不同。例如:
- 您将某个角色的权限添加到子文件夹中,但移除该角色对文件夹内某服务的访问权限。稍后,将该角色的权限添加到根文件夹中。此时会收到一条警告消息,因为如果继续的话,将允许通过该角色访问子文件夹内的服务,但之前这是不允许访问的。
该消息还指示之后所做的更改可能不会出现预期的效果。例如:
- 在根文件夹中允许“任何人”角色,然后从子文件夹 EngineeringServices 的权限中移除“任何人”,从而仅允许特定的角色(如 Engineers)。随后,从根文件夹中移除“任何人”。此时会收到一条警告消息,因为如果继续的话,从 EngineeringServices 文件夹中显式移除的权限将不再出现。如果随后向根文件夹中为“任何人”重新添加权限,则还会允许“任何人”访问 EngineeringServices。如果要限制访问 EngineeringServices,则需要访问该文件夹的权限并移除“任何人”角色。
- 向根文件夹中为角色添加权限,但随后移除该角色的子文件夹权限。然后,允许该角色访问该子文件夹内的服务。随后,从根文件夹中移除该角色的权限。保存此更改时会收到一条警告消息,因为将会移除显式授予该角色对于该子文件夹内的服务的权限。如果随后向根文件夹中为该角色重新添加权限,则所有文件夹和服务都将允许该角色进行访问。
请注意,当子服务或文件夹具有与要应用于父项的某个权限相同的权限时,将不会 收到警告消息。例如,如果在某个服务中允许一个角色,随后对该服务的文件夹允许相同的角色,则该服务将由于继承而允许该角色,而不是作为显式允许的角色。进行此更改时不会收到任何警告消息。如果随后移除该角色对于文件夹的权限,则尽管之前已针对服务允许了该角色,但现在将不再针对服务允许该角色。如果要允许该角色,需要再次将其添加到服务中。
如果在编辑根文件夹的权限时收到此警告消息并且不确定更改将如何影响对服务的访问权限,应在警告消息上单击取消,然后检查子文件夹和服务的权限。然后可能需要通过对子文件夹和服务重新应用规则来继续执行权限更改的应用程序,以获得所需的安全性配置。
如果在编辑权限时已添加或移除了多个角色,则该消息可能意味着多个角色受到了影响。最好检查子文件夹和服务中的权限,以确保不会覆盖实际上想要保留的权限。