关于预防性身份策略的重要说明

实施预防性身份策略之前，请注意以下内容：

预防性身份策略仅防止因为当前任务中的建议更改内容而将发生的违规。他们不防止现有的违规。
例如，一个公司创建预防性身份策略，禁止用户同时拥有“用户管理者”和“用户批准人”角色。管理员将“组管理者”角色分配给已经有“用户管理者”和“用户批准人”角色的用户。 CA IdentityMinder 允许新分配成功，因为该更改不直接引起策略的违规。
如果多个预防性身份策略应用于一套建议更改的内容，CA IdentityMinder 首先会使用拒绝操作应用策略。
不要指定预防性身份策略条件中的动态组。（策略条件决定预防性身份策略应用于的用户集）。
例如，公司有一个动态组，包括经理职位的所有用户。该公司也创建了一个预防性身份策略，即禁止经理组的成员具有合同工角色。

管理员将具有合同工角色的用户职位更改为经理。任务成功提交之后，该更改将会使该用户成为经理组的成员。然而，用户的职位在 CA IdentityMinder 评估策略时不是经理，所以就不会检测出违规。
预防性身份策略的策略条件中不支持角色所有者筛选和 LDAP 查询筛选。