角色层次结构更改实施在ITIM 5.1中如何工作？

Question

“受角色层次结构更改操作影响的人员将根据系统中所有适用的策略进行评估，包括与任何父角色无关的策略。因此，您可能会发现与角色层次结构更改无关的帐户被执行。”

有人可以用外行的术语解释上述几行试图传达的确切内容吗，例如：

角色层次结构更改操作何时发生？

这里有哪些适用的政策，以及如何评估更改？

Answer 1

您只需要较长的一章就可以了解到上面的内容，这听起来似乎有些脱离上下文，但这并不复杂。

角色层次结构与角色之间的关系有关。 在ITIM / ISIM中，您可以定义角色是其他角色的父/子，从而创建层次结构。 它还支持继承的概念，例如，适用于父级角色的置备策略也适用于子级角色。

在给定角色中添加父级或子级时，角色层次结构发生更改。 例如，如果您有Role1，并且您有一个适用于此角色的供应策略，那么当您将Role2添加为Role1角色的子代时，该供应策略现在也将适用于Role2。

至于讨论中的另一件事，让我们从两个事实入手：

1. 您的系统中可能有许多配置策略。 根据策略成员资格的设置方式，每个成员都可以应用于系统中的特定角色，组或所有人员。
2. 在默认的ITIM配置中，每次修改人员时，都会执行ModifyPerson工作流程。 它可以包含多个节点，但是默认情况下，它包含ModifyPerson节点和forceforcePolicy节点。 顾名思义，ModifyPerson对ITIM中的person对象执行修改。 再次顾名思义，forceforcePolicy节点会评估该人员的所有适用设置策略，并根据该设置策略对人员帐户执行必要的操作。

您引用的句子说的是，当您将角色（RoleA）添加为另一个角色（RoleB）的子代时，适用于RoleA的供应策略（现在称为Policy1）现在也适用于RoleB。 并且，如果您有一个作为RoleB成员的人，现在您执行角色层次结构更改，则将评估该人的策略，因为ITIM需要为其执行Policy1。 但是，这并不意味着当前唯一适用于此人的策略是Policy1。 可以对他应用许多不同的策略，所有这些都会在此时进行评估。 这可能会导致其他帐户的更改或此人在同一帐户中的更多更改。

顺便说一下，已使用ISIM 6，FixPack 3，间歇性FixPack 11对此做了一些修改。现在，可以将工作流中的强制策略节点配置为仅考虑需要针对特定​​更改重新评估的供应策略。发生这种情况，而不是盲目地重新评估所有内容。