Erben und Überschreiben von Berechtigungen
Berechtigungen für einen Ordner werden von Services innerhalb des Ordners geerbt. Wenn Sie z. B. der Rolle "Administratoren" Zugriff auf einen Ordner gewähren, kann diese Rolle auch auf alle Services innerhalb dieses Ordners zugreifen. Im Dialogfeld Berechtigungen werden diese Rolle sowie alle anderen Rollen angezeigt, die Sie möglicherweise hinzugefügt haben. Ordner erben auch Berechtigungen vom Serverstammordner.
Sie können Rollen entfernen, die ein Service von einem Ordner erbt. Öffnen Sie hierzu das Dialogfeld Berechtigungen für den Service, klicken Sie auf die Rolle, klicken Sie dann auf Entfernen. Dies bewirkt, dass dieser Rolle kein Zugriff auf den Service gewährt wird. Beachten Sie, dass Benutzer möglicherweise mehreren Rollen zugewiesen werden, sodass der Zugriff auf Grundlage der Rollenmitgliedschaft sorgfältig überprüft werden muss.
Wenn Berechtigungen für einen Ordner bearbeitet werden, werden alle Änderungen an Rollenberechtigungen wieder für alle Services innerhalb des Ordners übernommen. Beachten Sie, dass damit alle Änderungen, die für einzelne Services an diesen Rollen vorgenommen wurden, überschrieben werden. Wenn Sie eine Rolle aus der Berichtigungsliste für den Ordner entfernen, wird dieser Rolle der Zugriff auf alle Services innerhalb des Ordners verwehrt. Ebenso gilt, dass eine Rolle, die Sie der Berechtigungsliste des Ordners hinzufügen, Zugriff auf alle Services im Ordner hat.
Überschreiben von Berechtigungen in untergeordnete Ordnern und Services
Wenn Sie Berechtigungen für den Stammordner festlegen, sehen Sie möglicherweise folgende Meldung, wenn Sie auf Speichern klicken:
Für mindestens eine Rolle, für die Sie die Berechtigungen ändern, ist bereits eine Berechtigungseinstellung in mindestens einem Dienst oder Ordner in diesem Ordner verfügbar. Wenn Sie den Vorgang fortsetzen, werden die für diese Rollen in den untergeordneten Diensten oder Ordnern vererbt. Möchten Sie diese Änderungen speichern?
Diese Meldung bedeutet, dass Sie eine Rolle hinzufügen oder entfernen, die bereits über explizite Berechtigungen in einem oder mehreren Services innerhalb des Ordners – oder einem untergeordneten Ordner, wenn Sie die Berechtigungen des Stammordners bearbeiten– verfügt und dass die Berechtigung sich von der Einstellung unterscheidet, die Sie jetzt anwenden möchten. Wenn Sie fortfahren, werden alle Regeln für diese Rolle in untergeordneten Ordnern und Services entfernt und die untergeordneten Ordner und die Services erben die Berechtigungen für diese Rolle von diesem Ordner.
Diese Meldung bedeutet, dass sich die Berechtigungen für mindestens einen Service oder Ordner von der Einstellung unterscheiden, die Sie zuvor explizit festgelegt haben. Beispiele:
- Sie fügen einem untergeordneten Ordner Berechtigungen für eine Rolle hinzu, verwehren der Rolle aber den Zugriff auf einen Service innerhalb des Ordners. Später fügen Sie dem Stammordner Berechtigungen für die Rolle hinzu. Es wird eine Warnung ausgegeben, weil der Service innerhalb des untergeordneten Ordners der Rolle Zugriff gewähren würde, wenn fortgefahren wird, der Zugriff zuvor aber nicht zulässig war.
Die Meldung weist auch darauf hin, dass zu einem späteren Zeitpunkt vorgenommene Änderungen möglicherweise nicht die erwarteten Auswirkungen haben. Beispiele:
- Sie lassen die Rolle "Jeder" im Stammordner zu, entfernen Sie dann aber im untergeordneten Ordner EngineeringServices die Rolle "Jeder" aus der Berechtigungsliste, um nur eine bestimmte Rolle, z. B. Ingenieure, zuzulassen. Später entfernen Sie "Jeder" aus dem Stammordner. Es wird eine Warnung ausgegeben, da mit der Übernahme dieser Änderung die explizite Löschung der Berechtigungen beim Ordner EngineeringServices aufgehoben würde. Wenn Sie später beim Stammordner wieder Berechtigungen für Jeder hinzufügen, dann hat Jeder auch Zugriff auf EngineeringServices. Wenn Sie denZugriff auf EngineeringServices einschränken möchten, müssen Sie die Berechtigungen für diesen Ordner bearbeiten und die Rolle "Jeder" entfernen.
- Sie fügen dem Stammordner Berechtigungen für eine Rolle hinzu, entfernen bei einem untergeordneten Ordner aber die Berechtigungen dieser Rolle. Dann gewähren Sie der Rolle Zugriff auf einen Service innerhalb des untergeordneten Ordners. Später entfernen Sie beim Stammordner die Berechtigungen der Rolle. Beim Speichern dieser Änderung erhalten Sie eine Warnung, weil damit die Berechtigungen entfernt würden, die der Rolle explizit für den Service innerhalb des untergeordneten Ordners gewährt wurden. Wenn Sie später beim Stammordner wieder Berechtigungen für die Rolle hinzufügen, dann erhält diese Rolle damit Zugriff auf alle Ordner und Services.
Beachten Sie, dass keine Warnung ausgegeben wird, wenn untergeordnete Services oder Ordner über die gleichen Berechtigungen verfügten, die Sie einem übergeordneten Ordner zuweisen. Wenn Sie zum Beispiel bei einem Service eine Rolle zulassen und später beim Ordner des Services dieselbe Rolle zulassen, dann hat die geerbte Berechtigung für den Service höhere Priorität als die explizit zugewiesene Rolle. Wenn Sie diese Änderung vornehmen, wird keine Warnung ausgegeben. Wenn Sie die Berechtigung der Rolle für den Ordner später entfernen, erhält die Rolle auch keinen Zugriff mehr auf den Service, obwohl Sie der Rolle zuvor Berechtigungen für den Service gewährt hatten. Wenn Sie der Rolle Zugriff gewähren möchten, müssen Sie es wieder dem Service hinzufügen.
Wenn Sie diese Warnung beim Bearbeiten der Berechtigungen des Stammordners erhalten und sich nicht sicher sind, wie sich die Änderungen auf den Zugriff auf Services auswirken, sollten Sie in der Warnmeldung auf Abbrechen klicken und die Berechtigungen der untergeordneten Ordner und Services untersuchen. Sie müssen möglicherweise nach der Übernahme der Änderungen an den Berechtigungen erneut Regeln auf untergeordnete Ordner und Services anwenden, um die gewünschte Sicherheitskonfiguration zu erzeugen.
Wenn Sie während der Bearbeitung der Berechtigungen mehrere Rollen hinzugefügt oder entfernt haben, bedeutet die Meldung möglicherweise, dass mehrere Rollen betroffen sind. Sie sollten die Berechtigungen für untergeordnete Ordnern und Services untersuchen, um sicherzustellen, dass Sie keine Berechtigungen überschreiben, die Sie eigentlich beibehalten möchten.