角色层次结构如何在ITIM 5.1中更改实施？

Question

“评估受角色层次结构更改操作影响的人员 系统中的所有适用策略，包括与any无关的策略 父角色。因此，您可能会发现与该角色无关的帐户 正在执行的层次结构更改。“

有人可以用非专业人的术语解释上述各行正在试图传达的内容，例如：

何时进行角色层次结构更改操作？

此处适用的政策是什么以及如何评估变更？

Answer 1

你刚才有一个较长篇章的上述部分，听起来有点脱离背景，但并不复杂。

角色层次结构与角色之间的关系有关。在ITIM / ISIM中，您可以定义角色是其他角色的父/子，从而创建层次结构。它还支持继承的概念，因此例如适用于Parent角色的Provisioning策略也适用于子角色。

在给定角色中添加父级或子级时，会发生角色层次结构更改。例如，如果您具有Role1并且您具有适用于此角色的配置策略，则在将Role2添加为Role1角色的子项时，配置策略现在也将应用于Role2。

至于讨论中的其他问题，让我们从两个事实开始：

1. 您的系统中可能有许多配置策略。根据策略成员资格的设置方式，每个成员资格都可以应用于系统中的特定角色，组或所有人员。
2. 在默认的ITIM配置中，每次修改人员时，都会执行modifyPerson工作流程。这可以包含许多节点，但默认情况下它包含modifyPerson节点和enforcePolicy节点。顾名思义，modifyPerson执行对ITIM中person对象的修改。另外，enforcePolicy节点（顾名思义）评估该人员的所有适用的供应策略，并根据供应策略对人员帐户执行必要的操作。

您引用的句子是指当您将角色（RoleA）添加为另一个角色（RoleB）的子级时，适用于RoleA的配置策略（称为Policy1）现在也适用于RoleB。如果您有一个人是RoleB的成员，那么现在您执行角色层次结构更改，将评估此人的策略，因为ITIM需要为他强制实施Policy1。但是，这并不意味着此时，适用于此人的唯一政策是Policy1。许多不同的政策可以适用于他，所有这些政策都将在此时进行评估。这可能会导致其他帐户发生变化，或者此人的同一帐户发生更多变更。

顺便说一下，对ISIM 6，FixPack 3，Intermittent FixPack 11进行了一些修改。现在，工作流中的强制策略节点可以配置为仅考虑需要重新评估的配置策略。发生的具体变化，而不是盲目地通过并再次评估一切。