Vererbung von Berechtigungen

In diesem Artikel werden die Konzepte beschrieben, die für das Verständnis der Vererbung von Ordnerberechtigungen in ClearQuest von entscheidender Bedeutung sind.

Das Verständnis der Berechtigungsvererbung in IBM Rational ClearQuest ist der Schlüssel zur Entwicklung einer stabilen Zugriffssteuerungsrichtlinie für Arbeitsbereichsordner.

Basisberechtigungen - Gruppe 'Everyone'

Zusätzlich zu den für ein Projekt oder einen Standort definierten Benutzergruppen verwendet das Feature für die Berechtigungen für Arbeitsbereichsordner eine vordefinierte 'universelle' Gruppe mit dem Namen 'Everyone', zu der jeder Benutzer von Rational ClearQuest gehört. Diese Gruppe wird verwendet, um eine Ausgangsberechtigung festzulegen, ausgehend von der Änderungen angewendet werden können. Die von ClearQuest für den Ordner 'Public Queries' festgelegte Standardberechtigung für alle Benutzer ist beispielsweise 'Read-Only' (Lesezugriff). Mit der Gruppe 'Everyone' können Sie das Standardverhalten ändern, ohne eine explizite Gruppe erstellen und verwalten zu müssen.

Vererbung nach Gruppe und Untergruppe

So wie Berechtigungen für Gruppen und nicht für Einzelpersonen definiert werden, richtet sich das Berechtigungsvererbungsmodell nach den Gruppen- und Untergruppenzugehörigkeiten eines Benutzers.

Ein wichtiger Punkt ist, dass ein Ordneradministrator einer Gruppe und ihrer Untergruppe unterschiedliche Berechtigungen für einen Ordner erteilen kann. Wenn ein Benutzer zu einer Gruppe und deren Untergruppe gehört und beide Gruppen unterschiedliche Berechtigungen für den Ordner besitzen (z. B. 'Read-Write' gegenüber 'Read-Only'), richtet sich die Berechtigung des Benutzers immer nach der Berechtigung der Untergruppe.

Wenn ein Benutzer jedoch ein direktes Mitglied mehrerer Gruppen ist, die kein Untergruppenverhältnis zueinander haben, und die Gruppen unterschiedlichen Zugriffsebenen angehören, wird die Berechtigung des Benutzers durch die Gruppe mit der höchsten Vorrangstellung bestimmt.

Vererbung nach Ordner und Unterordner

Standardmäßig erbt ein Unterordner die Berechtigungen seines übergeordneten Ordners. Der Public Folder Administrator einer Gruppe kann die vererbten Berechtigungen für seine Gruppen überschreiben, indem er explizit andere Berechtigungen für den Unterordner erteilt. Wenn die Berechtigungen für einen Unterordner überschrieben werden und der Unterordner selbst Unterordner hat, erben seine Unterordner standardmäßig die Berechtigungen, die als Korrekturwerte für die geerbten Standardberechtigungen festgelegt wurden. Der Security Administrator und der Public Folder Administrator können auf jeden Ordner und Unterordner zugreifen, unabhängig davon, welche Berechtigung dem Ordner zugeordnet wurde.

Wirksame Berechtigungen

Der Begriff wirksame Berechtigungen kann auf zwei Arten verstanden werden: in Bezug auf den Zugriff einer Gruppe auf einen bestimmten Ordner oder auf den Zugriff eines einzelnen Benutzers.

Die wirksame Berechtigung für eine Gruppe für einen bestimmten Ordner ist
  1. die explizit erteilte Berechtigung für diese Gruppe für diesen Ordner, sofern vorhanden.
  2. Wenn keine explizit erteilte Berechtigung vorhanden ist, müssen die übergeordneten Gruppenebenen hinsichtlich einer angewendeten Berechtigung überprüft werden. Die nächst höhere Gruppenebene, die eine erteilte Berechtigung besitzt, bestimmt die wirksame Berechtigung. Wenn es mehrere angewendete Berechtigungen auf dieser übergeordneten Gruppenebene gibt, ist die wirksame Berechtigung die mit der höchsten Vorrangstellung. Für die Bestimmung der übergeordneten Ebene wird die Gruppe 'Everyone' als die am weitesten entfernte übergeordnete Ebene eingestuft.
  3. Andernfalls ist die wirksame Berechtigung identisch mit der wirksamen Berechtigung der Gruppe für den übergeordneten Ordner. Wenn kein übergeordneter Ordner existiert (z. B., wenn es um den Ausgangsordner Public Queries geht), ist die wirksame Berechtigung die Standardberechtigung (gewöhnlich die Berechtigung 'Read-Only').
Die wirksame Berechtigung eines Benutzers für einen bestimmten Ordner ist
  1. die erteilte Berechtigung mit der höchsten Vorrangstellung für diesen Ordner innerhalb der Gruppen, zu denen der Benutzer gehört, sofern vorhanden.
  2. Wenn keine explizit erteilte Berechtigung vorhanden ist, müssen die übergeordneten Gruppenebenen jedes Benutzers hinsichtlich einer angewendeten Berechtigung überprüft werden. Die nächste höhere Gruppenebene, die eine erteilte Berechtigung besitzt, bestimmt die wirksame Berechtigung. Wenn es mehrere erteilte Berechtigungen auf dieser übergeordneten Gruppenebene gibt, ist die wirksame Berechtigung die mit der höchsten Vorrangstellung. Für die Bestimmung der übergeordneten Ebene wird die Gruppe 'Everyone' als die am weitesten entfernte übergeordnete Ebene eingestuft.
  3. Andernfalls ist die wirksame Berechtigung identisch mit der wirksamen Berechtigung des Benutzers für den übergeordneten Ordner. Wenn kein übergeordneter Ordner existiert (z. B., wenn es um den Ausgangsordner Public Queries geht), ist die wirksame Berechtigung die Standardberechtigung (gewöhnlich die Berechtigung 'Read-Only').

Sofortige und verzögerte Wirksamkeit von Berechtigungsänderungen

Aktualisierungen der Ordnerberechtigungen einer Benutzergruppe oder -untergruppe werden innerhalb der aktuellen Rational ClearQuest-Sitzung wirksam, sobald der Ordneradministrator die Aktualisierung vornimmt, d. h., selbst bevor die Änderung in die zentrale Benutzerdatenbank hochgeladen wird. Innerhalb des Replikats, zu dem die aktuelle Sitzung gehört, werden Aktualisierungen für alle Sitzungen wirksam, die nach dem Festschreiben der Änderung in der Datenbank gestartet werden. In anderen Replikaten werden die Aktualisierungen für Sitzungen wirksam, die nach Abschluss der Synchronisation der Replikate mit dem Replikat, das die aktuelle Sitzung enthält, gestartet werden.

Aufgrund der Zeitverzögerung bei der Festschreibung der Zugriffsänderungen können Benutzer mit weniger restriktiven Berechtigungen, als der Administrator neu für sie festgelegt hat, für eine gewisse Zeit nach Änderung der Berechtigung in der aktuellen Sitzung auf die Datenbank zugreifen.



Feedback