许可权继承

此主题描述对于了解文件夹许可权的继承方式至关重要的概念。

了解 Rational® ClearQuest® 许可权继承对于制定健壮的工作空间文件夹访问控制策略是很关键的。

基线许可权:“所有用户”组

除用户组之外,工作空间文件夹许可权还使用名为“所有用户”的预定义组,其中包含每个 Rational ClearQuest 用户。 用户成员资格是自动且隐式的。不能更改“所有用户”组的成员资格。

“所有用户”组用于建立基线许可权,使用该许可权可执行修改操作。例如,所有用户的“公共查询”文件夹的缺省许可权都是“只读”的。使用“所有用户”组可更改缺省许可权,而无需创建和管理显式组。

由组和子组继承

就如为组而不是个人定义许可权一样,许可权继承模型取决于用户的组和子组的成员资格。

文件夹管理员可以将不同的许可权指定给某个组及其子组的文件夹。如果用户是组的间接成员(因为他们是子组的直接成员,且组和子组对文件夹具有不同的访问权(例如,“读/写”与“只读”相对),那么用户的访问权始终由子组访问权确定。

相比之下,如果用户是多个组的直接成员(无论各组是否互为子组),并且这些组具有不同的访问级别,那么用户的访问权由具有最高级别的许可权优先顺序的组确定。在确定许可权继承时,组中的直接成员资格优先于非直接的成员资格。

文件夹和子文件夹的继承

可更改对文件夹的许可权的用户包括具有“公共文件夹管理员”或“安全性管理员”特权的任何用户,或从属于某个已授予对文件夹的“更改许可权”许可权的组的任何用户。

缺省情况下,子文件夹继承其父文件夹的许可权。可以更改许可权的用户可以将不同许可权指定给子文件夹来覆盖其组的继承文件夹许可权。如果对子文件夹的许可权被覆盖,而该子文件夹具有子文件夹,那么这些子文件夹将继承覆盖的许可权。“安全性管理员”和“公共文件夹管理员”可以访问任何文件夹和子文件夹,无论指定给文件夹的许可权是哪种级别。

有效许可权

术语有效许可权与组对特定文件夹的访问权以及对各个用户的访问权相关。

文件夹上组的有效许可权是:
  1. 组对该文件夹的显式应用的许可权(如果存在)。
  2. 如果没有显式应用的许可权,请为已应用的许可权评估每个组的父代级别。具有已应用许可权的最接近组的父代级别可确定有效许可权。如果有多个已应用的许可权处于此组的父代级别,那么有效许可权是优先级最高的已应用许可权。为了确定父代级别,“所有用户”组将被视为距离最远的父代级别。
  3. 否则,该有效许可权将与父文件夹上组的有效许可权相同。如果没有父文件夹(例如,“公共查询”文件),那么有效许可权将是缺省值(对于“公共查询”文件夹是“只读”的)。
文件夹上用户的有效许可权是:
  1. 在用户所属的组之间,对该文件夹应用的优先顺序最高的许可权(如果存在)。
  2. 如果没有显式应用的许可权,请为已应用的许可权评估每个用户的组的父代级别。具有已应用许可权的最接近组的父代级别可确定有效许可权。如果有多个已应用的许可权处于此组的父代级别,那么有效许可权是优先级最高的已应用许可权。为了确定父代级别,“所有用户”组将被视为距离最远的父代级别。
  3. 否则,该有效许可权将与父文件夹上用户的有效许可权相同。如果没有父文件夹(例如,公共查询文件夹),那么有效许可权将是缺省值(对于“公共查询”文件夹是只读的)。

计时注意事项

文件夹管理员作出更新后,对用户组或子组的文件夹许可权的更新将在当前 Rational ClearQuest 会话中立即生效。在与当前会话相同的副本中,当更改落实到数据库后,更新将在所有启动的会话中生效。在其他副本中,当这些副本与包含当前会话的副本同步且同步已完成后,更新将在会话启动时生效。

因为许可权更改在其他会话上生效之前有一个延迟,所以在当前会话中更改许可权后的一段时间内,用户可能要使用比管理员为其设置的限制许可权更低的许可权来访问数据库。


反馈