本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
專案成員資格政策會定義有資格新增為網域單位內專案成員的個人或群組。本主題說明政策對階層結構中個別網域單位和網域單位的影響案例。
請務必注意本主題中使用的幾個概念:
-
成員集區 - 透過專案成員政策授予存取權的主體 (使用者或群組) 會被視為專案成員集區的一部分。例如,如果將網域單位 DU1 的政策授予使用者 U1 和 U2,以及單一登入 (SSO) 群組 G1,則 DU1 的專案成員資格集區將包含 {U1、U2, G1}。
-
串聯 - 將授予傳遞至透過網域單位階層連線的所有子網域單位的能力。
-
授予 - 使用者或群組執行動作的許可。
案例 1 - 任何使用者或群組都可以新增至網域單位 1 下的專案,因為成員集區包含 {所有使用者/群組}。
案例 2 - 使用者 {U1, G1} 可以新增至網域單位 2 下的專案,因為它們是網域單位 2 下成員集區的一部分。使用者 {U3, G2} 無法新增至任何專案,因為它們不屬於成員資格集區。
案例 3 - 成員集區的交集:當不同網域單位階層層級有成員集區時,只能將所有成員集區中的使用者和群組新增至專案。
-
兩個成員集區的使用者交集區為 {U1、U2, G1}。
-
使用者 {U1、U2, G1} 可以新增至網域單位 3 下的專案。
-
即使所有使用者和所有群組都在根網域單位層級的成員集區中,使用者 {U3, G2} 仍無法新增至網域單位 3 下的專案。
案例 4 - 成員集區的交集:當不同網域單位階層層級有成員集區時,只能將所有成員集區中的使用者和群組新增至專案。
-
兩個成員集區的使用者交集區為 {U1、U2, G1}。
-
網域單位 4 的成員集區是 {所有使用者/群組},但成員集區無法擴展到根網域 {U1、U2, G1} 的成員集區之外。
-
即使所有使用者和所有群組都在網域單位 4 的成員集區中,使用者 {U3, G2} 也無法新增至網域單位 4 下的專案。
案例 5 - 使用者 {U1, G1} 可以新增至專案 5,因為它們是根網域與網域單元 5 之間成員集區交集的一部分。由於三個成員集區的交集是空的,因此無法將任何使用者/群組新增至專案 6。
案例 6 - 所有三個成員資格集區的交集,表示只能將使用者 {U1} 新增至專案 8。網域單元 8 的交集集區為 {U1}、{U1}、{U1、U2} - 其中只有 {U1} 是這三個單位中通用的。
案例 7 - 使用者 {U1、U2, G1} 可以新增至根網域的專案,因為它們是根網域的成員集區的一部分。任何使用者或群組都可以新增至網域單位 9 下的專案,因為成員集區由 {All Users/Groups} 組成,因為階層在其上方的根網域中設定為 false。
