假设我有从Active Directory导入的用户,并且我只有AD角色的权限(我仍然可以在顶部添加我的sitecore角色):
每个用户都处于通用域用户角色
我还有其他角色,例如预算观察员
我有一个文件夹,预算只能由预算查看者角色的用户访问。
因此,访问该文件夹的典型用户将使用域用户和预算查看者角色
现在,我的问题是拒绝权限/继承似乎优先于“允许权限”。所以 如果域用户在预算文件夹中被拒绝权限和/或继承,则无论我对budgetviewer角色做什么,用户都无法看到该文件夹。由于每个用户都在domainusers文件夹中,因此没有用户可以访问预算文件夹。如果我不限制看到预算文件夹中的域用户,因为每个用户都在该角色中,每个用户都会看到该文件夹。 我没有权限/所有权从用户删除domainuser角色。 何我应该接近这个。 谢谢
答案 0 :(得分:4)
您应该破坏安全性中的继承,而不是拒绝访问权限。更多信息可以在post blog和 Sitecore Security Administrator´s Cookbook第5.2.3章中找到。
答案 1 :(得分:2)
我发现sitecore继承有一点小小的变化。让我们假设你打破了节点X中角色A的继承。然后,如果角色B想要访问该节点,则必须在节点X中明确允许它。如果你在父节点中这样做(我这样做)它没有工作,角色A和B的用户将被拒绝。 总而言之,通过打破继承我不会告诉sitecore"从这个项目#34;开始新鲜,而是#34;拒绝任何未明确允许此项目的人 - 我不会&#39关心父母是谁? 打破继承+继承允许其他role = deny的权限 打破继承+允许同一节点中的权限=允许