許可權繼承

這個主題說明一些重要概念,以瞭解資料夾許可權在 ClearQuest 中的繼承方式

要開發健全的工作區資料夾存取控制原則,關鍵就在於瞭解 IBM Rational® ClearQuest® 中的許可權繼承。

基準線許可權;Everyone 群組

除了專案或位置所定義的使用者群組外,工作區資料夾許可權特性會利用一種預先定義的「通用」群組(稱為 Everyone),其中包含了每一個 Rational ClearQuest 使用者。這個群組用來建立基準線許可權,以便之後能套用其中的修改。例如,ClearQuest 針對 Public Queries 資料夾所設的預設許可權,是所有使用者對該資料夾具備唯讀權。使用 Everyone 群組來變更預設的行為,而不必建立和管理明確的群組。

依群組和子群組的繼承關係

正如許可權是針對群組而非個體來定義,許可權繼承關係取決於使用者的群組和子群組成員資格。

必須注意的是,資料夾管理者可以指派不同的許可權給一個群組和其子群組的資料夾。如果使用者同時是群組和其子群組的成員,而群組和子群組對資料夾擁有不同的存取權(例如,一個是「讀寫」,一個是「唯讀」),則使用者的存取權固定取決於子群組的存取權而定。

反過來說,如果使用者是多個群組(彼此不互為子群組)的直接成員,而這些群組擁有不同的存取層次,則使用者的存取權取決於擁有最高優先層次許可權的群組而定。

依資料夾和子資料夾的繼承關係

依預設,子資料夾會繼承上層資料夾的許可權。群組的「公用資料夾管理者」可特別指派不同的許可權給子資料夾,以置換其本身群組所繼承的許可權。一旦子資料夾的許可權遭到置換,如果該子資料夾還有子資料夾,依預設,其子資料夾會繼承當初置換所繼承的預設許可權時所設的許可權。不論指派給資料夾的許可權為哪一種,「安全管理者」和「公用資料夾管理者」可存取任何資料夾或子資料夾。

有效的許可權

有效的許可權一詞可從兩方面來瞭解,一種和群組對於特定資料夾的存取權有關,一種則和個別使用者的存取權有關。

群組對於特定資料夾的有效許可權如下:
  1. 該群組對於該資料夾所明確具備的適用許可權(如果有一個的話)
  2. 如果沒有明確的適用許可權,則會評估每一個群組母層層次,以尋找適用的許可權。擁有適用許可權的最接近的群組母層層次將決定有效的許可權。如果這個群組母層層次中具有多個適用的許可權,則有效的許可權會是優先順序最高的適用許可權。為了決定母層層次,會將 Everyone 群組視為最遠的母層層次。
  3. 否則,有效的許可權會和群組對於上層資料夾的有效許可權相同。如果沒有上層資料夾(例如,所處理的是 最上層的 Public Queries 資料夾),則有效的許可權為預設值(通常是「唯讀」)。
使用者對於特定資料夾的有效許可權如下:
  1. 使用者所屬群組對於該資料夾所具備的最高優先順序適用許可權(如果有一個的話)
  2. 如果沒有明確的適用許可權,則會評估使用者的每一個群組母層層次,以尋找適用的許可權。擁有適用許可權的最接近的群組母層層次將決定有效的許可權。如果這個群組母層層次中具有多個適用的許可權,則有效的許可權會是優先順序最高的適用許可權。為了決定母層層次,會將 Everyone 群組視為最遠的母層層次。
  3. 否則,有效的許可權會和使用者對於上層資料夾的有效許可權相同。如果沒有上層資料夾(例如,所處理的是 最上層的 Public Queries 資料夾),則有效的許可權為預設值(通常是「唯讀」)。

時間差考量

只要資料夾管理者對使用者群組或子群組的資料夾許可權進行更新,這些更新會立即在現行 Rational ClearQuest 階段作業中生效,即使在變更上傳到中央使用者資料庫之前亦然。在和現行階段作業相同的抄本方面,當變更已確定到資料庫時,凡是在這之後啟動的所有階段作業中都會套用這些更新。而在其他的抄本方面,當抄本已和內含現行階段作業的抄本同步,且同步處理完成時,之後所啟動的階段作業中都會套用這些更新。

由於存取權變更的生效時機有所延遲,當在現行階段作業中變更許可權後,可能會有一段時間,使用者在存取資料庫時所擁有的許可權,會比管理者設給他們的限制較少。



意見