Orchestrator 用户指南
常见问题
1. 对于属于多个组的用户,访问方式会发生什么情况?
用户将收到与其所属的每个组关联的访问权限并集。
示例:John Smith 属于已添加到 Orchestrator 的人力资源组和财务组。人力资源组具有管理角色以及对“人力资源”文件夹的访问权限,财务组具有执行者角色以及对“财务”文件夹的访问权限。作为这两个组的成员,John 拥有管理角色和执行者角色,以及对“人力资源”文件夹和“财务”文件夹的访问权限。
2. 同时将用户单独与其所属的组一起添加时,访问方式会发生什么情况?
用户将收到与其所属的组关联的访问权限并集,以及显式设置的访问权限。请记住,继承的访问权限取决于组设置,并且显式设置的访问权限独立于组设置。
示例:John Smith 是从 AD 中单独添加的,并且已显式向其授予执行者角色以及对“财务”文件夹的访问权限。人力资源组(John 属于该组)也已添加到 Orchestrator 中,并获得管理角色以及对“人力资源”文件夹的访问权限。John 具有执行者角色和管理角色,以及对“人力资源”文件夹和“财务”文件夹的访问权限。如果在 AD 级别将他从人力资源组中删除,他将失去管理角色和对“人力资源”文件夹的访问权限,但会保留显式设置的访问权限。
3. 我的用户属于两个组,第一个组允许自动创建机器人,第二个组则不允许。是否会为我的用户创建机器人?
由于用户收到与其所属的所有组关联的权限并集,因此系统会根据第一个组的配置为该用户创建机器人。
4. 我已删除/停用目录组。关联的目录用户是否仍可以登录?
不可以,如果您没有为其显式设置访问权限。可以,前提是您在 Orchestrator 中单独向其授予了访问权限。继承的权限仅在用户会话期间保留。只有明确设置的访问权限会在会话之间保留。删除或取消激活目录组将删除继承的权限,但对已显式设置的权限无效。
5. 对 AD 组做出的更改在 Orchestrator 中何时生效?
WindowsAuth.GroupMembershipCacheExpireHours
参数进行更改。