許可の導出方法
リモート・コントロール・セッションの要求が開始されるときに、ユーザーおよびターゲットが属するすべてのグループが判別されます。これらのグループには、以下のことが当てはまる可能性があります。
- 祖父母グループが存在しない: ユーザーとターゲットについて検出されたすべての親グループには、ユーザー・メンバーまたはターゲット・メンバーのみが存在します。
- 祖父母グループが存在する: 「グループ・メンバーの管理」により作成されたグループ階層により、検出された親グループに、ユーザー・グループとターゲット・グループ・メンバーも存在します。
次に、これらのグループの間にどの許可リンクを作成するかが判別されます。セッションの許可は、以下のルール・セットを使用して導出されます。
規則 1: 祖父母グループが存在しません。2 つのシナリオが考えられます。
- ユーザーとターゲットが、単一のユーザー・グループおよびターゲット・グループのみのメンバーである
- セッションのポリシーは、親のユーザー・グループとターゲット・グループの組み合わせに対して定義された 1 つの許可リンクから設定されます。
- ユーザーとターゲットが、他のユーザー・グループおよびターゲット・グループのメンバーでもある
- セッションのポリシーは、親のユーザー・グループとターゲット・グループの組み合わせに対して定義された複数の許可リンクを比較することによって導出されます。
規則 2: 祖父母グループ。
セッションのポリシーは、複数の許可リンクを比較して導出されます。親ユーザー・グループとターゲット・グループの組み合わせに対して定義されているリンクおよび祖父母グループに対して定義されている許可リンクが、すべて考慮されます。
グループ階層内に複数の許可リンクが存在する場合、各リンク内の有効な各ポリシーに設定された値および優先度が検査されます。優先度の値に関する以下のルールにより、セッション・ポリシーへの適用内容が決定します。
- 優先度 5 いいえ
- 関連するいずれかの許可リンクのポリシーにこの値が設定されている場合、セッション・ポリシーは優先度 5 の「いいえ」に設定されます。この値は、その他のすべての値より優先されます。
- 優先度 1 いいえ
- 既存の許可リンクに優先度 5 の値が設定されていない場合、セッション・ポリシーにはこの値が設定されます。
- 優先度 0 いいえ
- 既存の許可リンクに優先度 1 の値も 5 の値も設定されていない場合、セッション・ポリシーにはこの値が設定されます。
- 優先度 5 はい
- 既存の許可リンクに優先度 5 の「いいえ」が設定されていない場合、セッション・ポリシーにはこの値が設定されます。優先度 5 の「はい」は、それよりも優先度が低い「いいえ」より優先されます。
- 優先度 1 はい
- 既存の許可リンクに優先度 5 の値も、優先度 1 の「いいえ」の値も設定されていない場合、セッション・ポリシーにはこの値が設定されます。
- 優先度 0 はい
- 既存の許可リンクに、より高い優先度の値も、優先度 0 の「いいえ」も設定されていない場合、セッション・ポリシーにはこの値が設定されます。