以下信息应用于所有权利而不是某个特定的实施。
您可以控制授予或取消权利的结果。 每个驱动程序都提供了所支持的选择列表,来控制“授予”或“取消”的意义。
例如,当添加 GroupWise 帐户时,可以将授予的实际意义指定为授予用户一个处于禁用状态的帐户,所以在用户可以访问该帐户前,管理员必须进行干预。 或者,也可以选择启用该帐户(此为默认选择)。
默认情况下,驱动程序配置将使用最有可能保留数据的选项。 例如,去除 GroupWise 帐户的默认意义是将其设置为“禁用”,这样管理员在对策略进行更改时,如果出现失误,就不会无意地丢失帐户。 再举一例,Identity Manager 驱动程序配置不会取消具有其它系统中的用户帐户值的权利。 如果在电子邮件分发列表中授予用户成员资格,而不久后该用户不再满足权利策略准则,他(她)只会失去此成员资格。 帐户将被禁用,但不会去除组成员资格和特性值。 如果想要一个不同的结果,Identity Manager 专家还可以自定义驱动程序配置。
因为基于职能的权利功能可以在产品环境中对组织的权利进行彻底更改,而不需要在实验室中测试结果,所以对取消权利的解释尤为重要。
您可以在预配置的驱动程序中编辑全局配置变量,以更改授予或取消的解释设置。 如果要创建自定义配置,则可以添加 GCV,对授予和取消权利进行解释。
依据策略中的成员资格,基于职能的权利允许您对权利(例如,帐户)进行全面更改。 然而,这就意味着要注意更改策略过程中产生的错误。 Identity Manager 附带的驱动程序配置采用最佳的设置。 您应理解如何使用 GCV 避免无意造成的数据丢失。
例如,建议不要将用于解释撤销帐户权利的 GCV 值设为 delete。
编辑或创建新的权限策略时,可以通过关闭驱动程序来保护数据,这样在完成策略编辑之前将不会进行更改。 如果已完成,您可以使用权利策略界面中的“重启动”按钮,手工重启动驱动程序。 同样,如果另一用户正在编辑权利策略,而您尝试使用“重启动”按钮重启动权利服务驱动程序,则将提示您在另一用户完成更改前不要重启动驱动程序。
使用基于职能的权利的驱动程序的口令同步与其它驱动程序的口令同步采用相同的管理方法,详见已连接系统间的口令同步。