Zugriffsberechtigungen für Benutzer in mehreren Gruppen
Ein Benutzer kann mehr als einer Gruppe angehören. Gleichzeitig kann jeder Gruppe der Zugriff gewährt oder verweigert werden. Für diese Situation gilt eine klar definierte Logik, sodass Sie bestimmen können, ob der Benutzer Zugriff hat oder nicht. Die Regel lautet: Die Zugriffsberechtigungen, die dem Benutzer am nächsten sind, haben Vorrang. Dieses Konzept wird weiter unten erläutert.
Angenommen, Benutzer A gehört mehreren Gruppen an, wie in der folgenden Abbildung dargestellt. Genauer gesagt sind Benutzer A und Benutzer B beide Mitglieder der Gruppe "Alle Mitarbeiter" und einer weiteren Gruppe, die als Vorlagengruppe bezeichnet wird. Benutzer C ist jedoch kein Mitglied der Vorlagengruppe. Was passiert, wenn diesen Gruppen der Zugriff verweigert wird? Zuerst verweigern wir den Zugriff auf die Gruppe "Alle Mitarbeiter" und dann auf die Vorlagengruppe.
Bevor wir uns jedoch damit befassen, lassen Sie uns eine Ausgangsbasis schaffen, indem wir den folgenden Fall untersuchen. Die folgende Abbildung ist eine Version der Tab Benutzerberechtigungen, die so geändert wurde, dass die Berechtigungen für alle im Feld aufgeführten Benutzer und Gruppen gleichzeitig angezeigt werden. (In Wirklichkeit müssen Sie den Namen im Feld auswählen, um zu sehen, ob dieser Benutzer oder diese Gruppe zugelassen oder abgelehnt wurde.) In diesem Fall sind "Alle Mitarbeiter", "Vorlagengruppe" und "Benutzer A" explizit zulässig. Obwohl Benutzer B und Benutzer C nicht im Feld unten angezeigt werden, werden sie auch angezeigt implizit zulässig, weil sie Mitglieder von "Alle Mitarbeiter" und "Vorlagengruppe" sind.
Nehmen wir nun an, Sie möchten nicht, dass jeder im Unternehmen Zugriff auf diese Vorlage hat. Sie verweigern also allen Mitarbeitern die Berechtigung. Der Tab "Benutzerberechtigungen" würde nun ähnlich wie in der folgenden Abbildung angezeigt. Alle Mitglieder der Vorlagengruppe haben Zugriff. Benutzer A ist nicht nur Mitglied der Vorlagengruppe (implizit), sondern wird auch explizit in der Box aufgeführt. Benutzer A darf also sowohl explizit als auch implizit darauf zugreifen. Benutzer B ist Mitglied der Vorlagengruppe und hat Zugriff über die implizite Mitgliedschaft in dieser Gruppe, aber keinen expliziten Zugriff.
Aber erinnern Sie sich an Benutzer C, der zuvor Zugriff auf diese Vorlage hatte? Benutzer C ist nur Mitglied von "Alle Mitarbeiter", und da der Gruppe "Alle Mitarbeiter" der Zugriff verweigert wurde, kann Benutzer C nicht mehr auf diese Vorlage zugreifen.
Nehmen wir schließlich an, dass Sie den Zugriff auf die Vorlagengruppe verweigern, weil Sie möchten, dass sie eine andere Vorlage verwendet. Sie möchten jedoch, dass Benutzer A weiterhin dieselbe Vorlage verwendet. Benutzer A hat weiterhin Zugriff, da Benutzer A hier explizit aufgeführt ist und der Zugriff daher zulässig ist.
Erinnern Sie sich an Benutzer B, der zuvor Zugriff auf diese Vorlage hatte? Da Benutzer B Mitglied der Vorlagengruppe ist und der Zugriff auf diese Gruppe verweigert wird, kann Benutzer B nicht mehr auf diese Vorlage zugreifen. Die einzige Person, die auf die Vorlage zugreifen kann, ist Benutzer A.
Bei zwei Gruppenhierarchien auf Top-Level hat der Prozess eine zusätzliche Wendung. Derselbe Benutzer kann in dem einen Zugriff erhalten und in dem anderen nicht. Ein Beispiel für diesen Fall ist in der folgenden Abbildung dargestellt. Es gilt die gleiche Regel: Die Zugriffsberechtigungen, die dem Benutzer am nächsten sind, haben Vorrang. In der folgenden Abbildung hat Benutzer A weiterhin Zugriff.
Im Falle eines "Unentschiedens" gewinnt der Benutzer mit der Zugriffsberechtigung. Angenommen, Sie verweigern Benutzer A in der Vorlagengruppe den Zugriff, erlauben aber den Zugriff für Benutzer A in der Gruppe "Alle Mitarbeiter". Benutzer A hat weiterhin Zugriff.
