优先级顺序

隐含拒绝权限

。如果没有为资源分配任何权限，则会隐含

拒绝

权限。如有可能，使用隐含的

拒绝

权限而非明确的

拒绝

权限，因为这样可以简化管理。

先评估“拒绝”权限，后评估“允许”权限

。例如，如果

操作员

组被明确拒绝访问数据服务器，但组中的个别用户帐户 (

Jane

) 被明确允许访问，该组帐户的

拒绝

规则优先于个别帐户的

允许

规则，只要

Jane

是

操作员

组的成员，便无法访问数据服务器。

明确的权限覆盖继承的权限。

例如，假设应用程序有名为

Baking

的区域，并且允许

操作员

对该区域进行

读

访问。如果将规则应用于明确拒绝对

Baking

区域的 HMI 服务器进行

读取

访问的

操作员

组，则

拒绝

权限优先于

允许

权限。

这意味着明确的

允许

权限会覆盖继承的

拒绝

权限，并且明确的

拒绝

权限也会覆盖继承的

允许

权限。

如果在同一级别设置了冲突的明确权限，“拒绝”优先于“允许”

。例如，

操作员

是明确拒绝访问数据服务器的组，但已明确允许个别用户帐户 (

Jane

) 访问数据服务器。

拒绝

优先于

允许

，如果 Jane 是

操作员

组的成员，则无法访问数据服务器。这是因为在同一资源上设置了冲突的明确权限。要允许

Jane

访问数据服务器，需拒绝

操作员

组访问层级结构中较高级别的资源（如数据服务器所在的区域），然后明确允许数据服务器的例外情况。