域概述

访问域中和跨域的对象

Junos Space 平台允许您根据为您分配的角色和您分配到的域跨域访问对象。

在 Junos Space 平台中跨域访问对象时，适用以下规则：

• 对象只能分配给一个域。

• 对象可以从一个域移动到另一个域。

• 跨域的对象可以共享相同的名称。

• 仅当父域允许其子域查看其对象时，您才能以只读模式查看父域中的对象。

• 如果为子域中的对象提供了适当的权限，则可以查看和执行对子域中对象的任务。

• 如果您具有只读访问权限，则无法修改或删除父域中的对象，即使您具有修改这些对象所需的权限也是如此。

• 您只能查看分配给您当前登录的域的对象并对其执行操作。如果将“管理所有已分配域中的对象”标志设置为用户首选项，则可以查看其他可访问域中的对象。要设置此标志，请单击 Junos Space 横幅上的用户设置图标。

• 如果您对子域中的对象具有读/写权限，则可以对子域中的对象执行读/写操作，即使子域未显式分配给您。

• 如果您对子域中的对象具有只读权限，则只能对子域中的对象执行读取操作。

• 如果您对父域中的对象具有只读访问权限，则即使您凭借分配给您的角色对这些对象具有读/写权限，也无法执行写入操作。

• 如果您对父域中的对象没有只读访问权限，则父域中的对象在子域中对您不可见。

除了访问分配给域的对象的默认规则之外，您还可以使用“允许此域的用户对父域对象具有读取和执行访问权限”标志，以便在创建域时向域中的所有用户提供读取权限。此标志提供对父域中对象的读取和执行访问权限。

如果使用此标志，则可以访问具有读取和执行权限的以下对象：

• 设备模板和模板定义

• CLI Configlet、配置视图、配置过滤器、XPath 和正则表达式

• 映像、脚本、操作和脚本包

• 报表定义

设备分区

使用设备分区在多个子域之间共享设备的物理接口、逻辑接口和物理清单。设备分区仅在 M 系列和 MX 系列路由器上受支持。

使用设备分区时，请考虑以下限制：

• 您只能将设备的一个分区分配给子域;不能将同一设备的多个分区分配给子域。

• 您可以将多个设备中的每一个分区分配给一个子域。

• 仅当设备当前已分配到全局域时，才能对设备进行分区。

• 若要将分区分配给子域，根设备应是全局域的一部分。

例如，考虑分区为 P1、P2 和 P3 的设备 D1;具有分区 P1a 和 P2a 的设备 D2;全局、dom1 和 dom2 是 Junos Space 中的可用域。以下分区分配有效：

• P1 到 dom1

• P1a 到 dom1

• P2 到 dom2

• P2a 到 dom2

• P3 到全局（默认）

以下分配无效：P1 和 P2 到 dom1 或 P1a 和 P2a 到 dom2。

若要将分区分配给子域，根设备必须是全局域的一部分。

表 1 列出了可以或不可以对设备分区执行的操作：

表 1：设备分区上支持的任务

任务组	任务名称	设备分区支持	笔记
设备配置	查看/部署配置	不	–
	查看/编辑配置	不	–
	查看活动配置	是的	配置详细信息不会根据分区进行筛选。
	解决带外更改	不	–
	查看/分配共享对象	不	–
	查看配置更改日志	是的	配置详细信息不会根据分区进行筛选。
	查看模板部署	不	–
	查看/编辑非托管设备配置	不	–
设备清单	导出实物库存	不	–
	查看关联的脚本	是的	–
	查看许可证清单	不	–
	查看逻辑接口	是的	–
	查看物理接口	是的	–
	查看实物库存	是的	–
	查看脚本执行情况	是的	–
	查看库存变化	是的	–
	查看软件清单	不	–
设备操作	创建 LSYS	不	LSYS 应仅在根设备上进行管理。
	删除设备	不	您无法从子域中删除设备分区。
	镜子	不	–
	进入 RMA 状态	不	此操作只能在根设备上执行。
	从 RMA 重新激活	不	此操作只能在根设备上执行。
	与网络同步	不	此操作只能在根设备上执行。
	执行脚本	是的	–
	应用 CLI Configlet	是的	–
设备访问	修改身份验证	不	此操作只能在根设备上执行。
	启动设备 WebUI	不	此操作只能在根设备上执行。
	SSH 到设备	不	此操作只能在根设备上执行。
	解决密钥冲突	不	此操作只能在根设备上执行。
托管自定义属性		不	–
删除私有标签		不	–
标记它		不	–
取消标记它		不	–
查看标签		不	–
根据 CSV 筛选		是的	–
清除所有选择		是的	–

您可以将设备分区分配给域，也可以将设备分区从一个域移动到另一个域。要将设备分区分配给域或将设备分区从一个域移动到另一个域，请右键单击设备分区，然后选择将 分区分配给域。

您可以将设备分配到域。为此，请右键单击该设备，然后选择 “将设备分配到域 ”任务。不能将带有分区的设备移动到子域。如果这样做，“将 设备分配到域 ”作业将失败。

将对象分配给域

Junos Space Platform 工作空间中的对象至少分配给一个可用域。

在管理各个工作区中的对象时，以下规则适用：

• 模板 - 模板和模板定义将在您当前操作的域中创建。创建模板时，如果您有权访问父域，则可以从同一域或父域中选择模板定义。如果设备位于同一域中，或者设备属于其他可访问域，并且“管理所有已分配域中的对象”标志设置为用户首选项，则可以在设备上部署模板。要设置此标志，请单击 Junos Space 横幅上的用户设置图标。此外，还可以将从父域继承的模板部署到可访问域中的设备。

• CLI Configlet — CLI Configlet 将分配给您当前运营的域。如果设备属于同一域，或者设备属于其他可访问域，并且“管理所有已分配域中的对象”标志设置为用户首选项，则可以将 CLI Configlet 应用于设备。您可以将从父域继承的 CLI Configlet 分配并部署到当前域中的设备。

• 图像和脚本 - 图像和脚本将分配给您当前操作的域。您只能为属于同一域的那些设备暂存、部署映像和脚本或对这些设备执行任何操作，并且“管理所有已分配域中的对象”标志设置为用户首选项。您还可以从父域继承映像和脚本，并执行一些操作，例如在当前域和其他可访问域中的设备上登台。

• 配置文件 - 在设备当前分配到的域中创建配置文件。如果设备从一个域移动到另一个域，配置文件也将自动移动到相应的域。如果将“管理所有已分配域中的对象”标志设置为用户首选项，则此工作区不显示从父域继承的对象。

• 作业 - 作业与您从中启动作业的域相关联。如果将“管理所有已分配域中的对象”标志设置为用户首选项，则可以查看分配给您的其他域中的作业。

• 审核日志 - 审核日志在用户从中发起操作的域中生成。如果将“管理所有已分配域中的对象”标志设置为用户首选项，则可以查看分配给您的其他域的审核日志。

• 基于角色的访问控制 - “角色”页面在子域中不可用。仅当您登录到全局域时，才能创建用户。您可以在创建用户帐户时或之后将用户分配到域。

• 管理 - 仅当您登录到全局域时，才能访问完整的“管理”工作区。

• 报表 - 将报表定义分配给在其中创建报表定义的域。您可以使用继承的域或当前域中的定义生成报告。

注意：

全局搜索显示与来自当前域、子域和父域的搜索查询匹配的对象（如果用户对父域具有只读访问权限）。如果搜索结果中的对象与用户当前所在的域位于不同的域中，则会禁用指向搜索结果中该对象的超链接。