Vererbung von Berechtigungen

In diesem Artikel werden die Konzepte beschrieben, die wesentlich sind für das Verständnis der Vererbung von Ordnerberechtigungen.

Das Verständnis der Berechtigungsvererbung bei Rational ClearQuest ist der Schlüssel zur Entwicklung einer stabilen Zugriffssteuerungsrichtlinie für Arbeitsbereichsordner.

Basisberechtigungen: Gruppe "Everyone"

Zusätzlich zu Benutzergruppen wird für die Berechtigungen für Arbeitsbereichsordner eine vordefinierte "universelle" Gruppe mit dem Namen "Everyone" verwendet, die jeden Benutzer von Rational ClearQuest enthält. Die Benutzerzugehörigkeit ist automatisch und implizit. Es ist nicht möglich, die Zugehörigkeit zur Gruppe "Everyone" zu ändern.

Diese Gruppe wird verwendet, um eine Berechtigung festzulegen, die als Basis für Änderungen verwendet werden kann. Die von ClearQuest für den Ordner "Public Queries" festgelegte Standardberechtigung für alle Benutzer ist beispielsweise "Read-Only". Mit der Gruppe "Everyone" können Sie die Standardberechtigung ändern, ohne eine explizite Gruppe erstellen und verwalten zu müssen.

Vererbung nach Gruppe und Untergruppe

So wie Berechtigungen für Gruppen und nicht für Einzelpersonen definiert werden, richtet sich das Berechtigungsvererbungsmodell nach den Gruppen- und Untergruppenzugehörigkeiten eines Benutzers.

Ein wichtiger Punkt ist, dass ein Ordneradministrator einer Gruppe und ihrer Untergruppe unterschiedliche Berechtigungen für einen Ordner zuweisen kann. Wenn ein Benutzer indirektes Mitglied einer Gruppe ist, weil er direktes Mitglied einer Untergruppe ist, und beide Gruppen unterschiedliche Zugriffsrechte für den Ordner besitzen (z. B. "Read-Write" vs. "Read-Only"), richtet sich das Zugriffsrecht des Benutzers immer nach dem Zugriffsrecht der Untergruppe.

Wenn ein Benutzer jedoch ein direktes Mitglied mehrerer Gruppen ist und die Gruppen unterschiedlichen Zugriffsebenen angehören, wird das Zugriffsrecht des Benutzers durch die Gruppe mit der höchsten Berechtigungspriorität bestimmt, unabhängig davon, ob die Gruppe einer anderen Gruppe untergeordnet ist. Die direkte Gruppenzugehörigkeit hat bei der Bestimmung der Berechtigungsvererbung Priorität vor der indirekten Zugehörigkeit.

Vererbung nach Ordner und Unterordner

Alle Benutzer mit der Berechtigung "Public Folder Administrator" oder "Security Administrator" können die Berechtigungen für einen Ordner ändern. Dasselbe gilt für die Mitglieder einer Gruppe, der die Berechtigung "Change-Permission" zugewiesen wurde.

Standardmäßig übernimmt ein Unterordner die Berechtigungen seines übergeordneten Ordners. Ein Benutzer, der Berechtigungen ändern kann, hat die Möglichkeit, die übernommenen Berechtigungen für Gruppen zu ändern, indem er einem Unterordner andere Berechtigungen zuweist. Wenn die Berechtigungen für einen Unterordner überschrieben werden und der Unterordner selbst Unterordner hat, übernehmen die Unterordner die Berechtigungen zum Überschreiben. Die Benutzer mit der Berechtigung "Security Administrator" oder "Public Folder Administrator" können auf jeden Ordner oder Unterordner zugreifen, unabhängig davon, welche Berechtigung dem Ordner zugeordnet wurde.

Wirksame Berechtigungen

Der Begriff Wirksame Berechtigung bezieht sich sowohl auf den Zugriff einer Gruppe auf einen bestimmten Ordner als auch auf den Zugriff eines einzelnen Benutzers.

Wirksame Berechtigung einer Gruppe für einen Ordner

Hinsichtlich der wirksamen Berechtigung einer Gruppe für einen bestimmten Ordner ist Folgendes zu beachten:
  1. Die wirksame Berechtigung ist die explizit angewendete Berechtigung der Gruppe für diesen Ordner, sofern vorhanden.
  2. Wenn keine explizit erteilte Berechtigung vorhanden ist, müssen die übergeordneten Gruppenebenen hinsichtlich einer angewendeten Berechtigung überprüft werden. Die nächsthöhere Gruppenebene, die eine erteilte Berechtigung besitzt, bestimmt die wirksame Berechtigung. Wenn es mehrere angewendete Berechtigungen auf dieser übergeordneten Gruppenebene gibt, ist die wirksame Berechtigung die mit der höchsten Vorrangstellung. Bei der Bestimmung der übergeordneten Ebene gilt die Gruppe "Everyone" als die am weitesten entfernte übergeordnete Ebene.
  3. Andernfalls ist die wirksame Berechtigung identisch mit der wirksamen Berechtigung der Gruppe für den übergeordneten Ordner. Wenn kein übergeordneter Ordner existiert (z. B. der Ordner "Public Queries"), ist die wirksame Berechtigung die Standardberechtigung (gewöhnlich die Berechtigung "Read-Only" für den Ordner "Public Queries").

Wirksame Berechtigung eines Benutzers

Die wirksame Berechtigung eines Benutzers für einen bestimmten Ordner ist Folgendes:
  1. die angewendete Berechtigung mit der höchsten Priorität für diesen Ordner innerhalb der Gruppen, zu denen der Benutzer gehört, sofern vorhanden.
  2. Wenn keine explizit angewendete Berechtigung vorhanden ist, müssen alle übergeordneten Gruppenebenen des Benutzers hinsichtlich einer angewendeten Berechtigung überprüft werden. Die nächsthöhere Gruppenebene, die eine erteilte Berechtigung besitzt, bestimmt die wirksame Berechtigung. Wenn es mehrere angewendete Berechtigungen auf dieser übergeordneten Gruppenebene gibt, ist die wirksame Berechtigung die mit der höchsten Vorrangstellung. Bei der Bestimmung der übergeordneten Ebene gilt die Gruppe "Everyone" als die am weitesten entfernte übergeordnete Ebene.
  3. Andernfalls ist die wirksame Berechtigung identisch mit der wirksamen Berechtigung des Benutzers für den übergeordneten Ordner. Wenn kein übergeordneter Ordner existiert (z. B. der Ordner "Public Queries"), ist die wirksame Berechtigung die Standardberechtigung (gewöhnlich die Berechtigung "Read-Only" für den Ordner "Public Queries").

Zeitlicher Ablauf

Aktualisierungen der Ordnerberechtigungen einer Benutzergruppe oder -untergruppe werden innerhalb der aktuellen Rational-ClearQuest-Sitzung wirksam, sobald der Ordneradministrator die Aktualisierung vornimmt. Innerhalb des Replikats, zu dem die aktuelle Sitzung gehört, werden Aktualisierungen für alle Sitzungen wirksam, die nach dem Festschreiben der Änderung in der Datenbank gestartet werden. In anderen Replikaten werden die Aktualisierungen für Sitzungen wirksam, die gestartet wurden, nachdem die Synchronisation der Replikate mit dem Replikat, das die aktuelle Sitzung enthält, abgeschlossen war.

Da Berechtigungsänderungen zeitverzögert in anderen Sitzungen wirksam werden, können Benutzer mit weniger restriktiven Berechtigungen, als der Administrator für sie festgelegt hat, für eine gewisse Zeit nach der Änderung in der aktuellen Sitzung auf die Datenbank zugreifen.


Feedback