許可權繼承

本主題說明一些重要概念,以瞭解資料夾許可權的繼承方式。

要開發健全的工作區資料夾存取控制原則,關鍵就在於瞭解 Rational® ClearQuest® 許可權繼承。

基準線許可權:「每個人」群組

除了使用者群組外,工作區資料夾許可權會使用一種稱為「每個人」的預先定義群組,其中包括每一個 Rational ClearQuest 使用者。 使用者成員資格為自動及隱含的。要變更「每個人」群組的成員資格是不可能的。

「每個人」群組可用來建立基準線許可權,以便之後能套用其中的修改。例如,所有使用者對 Public Queries 資料夾的預設許可權是「唯讀」。 使用「每個人」群組來變更預設許可權時,您不必建立和管理明確群組。

依群組和子群組的繼承關係

正如許可權是針對群組而非個體來定義,許可權繼承模型取決於使用者的群組和子群組成員資格。

「資料夾管理者」可以指派資料夾的不同許可權給群組和其子群組。如果使用者是群組間接的成員(因為其為子群組直接的成員),而群組和子群組對資料夾擁有不同的存取權(例如,一個是「讀寫」,一個是「唯讀」),則使用者的存取權一律取決於子群組的存取權而定。

反過來說,如果使用者是多個群組的直接成員(不管這些群組是否為彼此的子群組),而這些群組擁有不同的存取層次,則使用者的存取權取決於擁有許可權最高優先順序層次的群組而定。 在決定許可權繼承時,群組中的直接成員資格其順序優先於間接成員資格。

依資料夾和子資料夾的繼承關係

可以更改資料夾許可權的使用者包括具有「公用資料夾」或「安全管理者」專用權的任何使用者,或是本身為群組成員的任何使用者,其獲授與資料夾的「變更許可權」許可權。

依預設,子資料夾會繼承上層資料夾的許可權。可更改許可權的使用者可藉由指派子資料夾的不同許可權,來置換其群組沿用的資料夾許可權。 如果已置換子資料夾的許可權,且子資料夾還有子資料夾,則子資料夾會繼承置換的許可權。 「安全管理者」和「公用資料夾管理者」可存取任何資料夾或子資料夾(不管指派給資料夾什麼樣的許可權)。

有效的許可權

有效的許可權一詞與群組對於 特定資料夾的存取權以及對於個別使用者的存取權有關。

群組對於資料夾的有效許可權如下:
  1. 群組對於該資料夾已明確套用的許可權(如果有的話)。
  2. 如果沒有明確的適用許可權,則會評估每一個群組母層層次,以尋找適用的許可權。擁有適用許可權的最接近的群組母層層次將決定有效的許可權。如果這個群組母層層次中具有多個適用的許可權,則有效的許可權會是優先順序最高的適用許可權。為了決定母層層次,會將「每個人」群組視為最遠的母層層次。
  3. 否則,有效的許可權會和群組對於上層資料夾的有效許可權相同。如果沒有上層資料夾(例如,Public Queries 資料夾),則有效的許可權為預設值(對於 Public Queries 資料夾,此許可權為「唯讀」)。
使用者對於資料夾的有效許可權如下:
  1. 使用者所屬群組對於該資料夾已套用的最高優先順序許可權(如果有的話)。
  2. 如果沒有明確的適用許可權,則會評估使用者的每一個群組母層層次,以尋找適用的許可權。擁有適用許可權的最接近的群組母層層次將決定有效的許可權。如果這個群組母層層次中具有多個適用的許可權,則有效的許可權會是優先順序最高的適用許可權。為了決定母層層次,會將「每個人」群組視為最遠的母層層次。
  3. 否則,有效的許可權會和使用者對於上層資料夾的有效許可權相同。如果沒有上層資料夾(例如,Public Queries 資料夾),則有效的許可權為預設值( 對於 Public Queries 資料夾,此許可權為「唯讀」)。

時間差考量

只要「資料夾管理者」對於使用者群組或子群組的資料夾許可權進行更新,這些更新會立即在現行 Rational ClearQuest 階段作業中生效。 在和現行階段作業相同的抄本方面,當變更已確定到資料庫時,在這之後啟動的所有階段作業中的更新都會生效。 而在其他的抄本方面,當抄本已和內含現行階段作業的抄本同步,且同步處理完成時,之後所啟動的階段作業中的這些更新都會生效。

因為許可權變更對其他階段作業生效的時間延遲,所以在現行階段作業中變更許可權之後,可能會有一段時間,使用者在存取資料庫時所擁有的許可權,其所受到的限制將少於管理者設給他們的限制。


意見