Das Verständnis der Berechtigungsvererbung bei Rational ClearQuest ist der Schlüssel zur Entwicklung einer stabilen Zugriffssteuerungsrichtlinie für Arbeitsbereichsordner.
Diese Gruppe wird verwendet, um eine Berechtigung festzulegen, die als Basis für Änderungen verwendet werden kann. Die von ClearQuest für den Ordner "Public Queries" festgelegte Standardberechtigung für alle Benutzer ist beispielsweise "Read-Only". Mit der Gruppe "Everyone" können Sie die Standardberechtigung ändern, ohne eine explizite Gruppe erstellen und verwalten zu müssen.
Ein wichtiger Punkt ist, dass ein Ordneradministrator einer Gruppe und ihrer Untergruppe unterschiedliche Berechtigungen für einen Ordner zuweisen kann. Wenn ein Benutzer indirektes Mitglied einer Gruppe ist, weil er direktes Mitglied einer Untergruppe ist, und beide Gruppen unterschiedliche Zugriffsrechte für den Ordner besitzen (z. B. "Read-Write" vs. "Read-Only"), richtet sich das Zugriffsrecht des Benutzers immer nach dem Zugriffsrecht der Untergruppe.
Wenn ein Benutzer jedoch ein direktes Mitglied mehrerer Gruppen ist und die Gruppen unterschiedlichen Zugriffsebenen angehören, wird das Zugriffsrecht des Benutzers durch die Gruppe mit der höchsten Berechtigungspriorität bestimmt, unabhängig davon, ob die Gruppe einer anderen Gruppe untergeordnet ist. Die direkte Gruppenzugehörigkeit hat bei der Bestimmung der Berechtigungsvererbung Priorität vor der indirekten Zugehörigkeit.
Alle Benutzer mit der Berechtigung "Public Folder Administrator" oder "Security Administrator" können die Berechtigungen für einen Ordner ändern. Dasselbe gilt für die Mitglieder einer Gruppe, der die Berechtigung "Change-Permission" zugewiesen wurde.
Standardmäßig übernimmt ein Unterordner die Berechtigungen seines übergeordneten Ordners. Ein Benutzer, der Berechtigungen ändern kann, hat die Möglichkeit, die übernommenen Berechtigungen für Gruppen zu ändern, indem er einem Unterordner andere Berechtigungen zuweist. Wenn die Berechtigungen für einen Unterordner überschrieben werden und der Unterordner selbst Unterordner hat, übernehmen die Unterordner die Berechtigungen zum Überschreiben. Die Benutzer mit der Berechtigung "Security Administrator" oder "Public Folder Administrator" können auf jeden Ordner oder Unterordner zugreifen, unabhängig davon, welche Berechtigung dem Ordner zugeordnet wurde.
Der Begriff Wirksame Berechtigung bezieht sich sowohl auf den Zugriff einer Gruppe auf einen bestimmten Ordner als auch auf den Zugriff eines einzelnen Benutzers.
Aktualisierungen der Ordnerberechtigungen einer Benutzergruppe oder -untergruppe werden innerhalb der aktuellen Rational-ClearQuest-Sitzung wirksam, sobald der Ordneradministrator die Aktualisierung vornimmt. Innerhalb des Replikats, zu dem die aktuelle Sitzung gehört, werden Aktualisierungen für alle Sitzungen wirksam, die nach dem Festschreiben der Änderung in der Datenbank gestartet werden. In anderen Replikaten werden die Aktualisierungen für Sitzungen wirksam, die gestartet wurden, nachdem die Synchronisation der Replikate mit dem Replikat, das die aktuelle Sitzung enthält, abgeschlossen war.
Da Berechtigungsänderungen zeitverzögert in anderen Sitzungen wirksam werden, können Benutzer mit weniger restriktiven Berechtigungen, als der Administrator für sie festgelegt hat, für eine gewisse Zeit nach der Änderung in der aktuellen Sitzung auf die Datenbank zugreifen.