如何限制VOB读访问中明确案件(Windows服务器)?

Question

我被要求看看如何限制阅读入某些Vob在，对于遵约的理由(因此这需要审计，等等，等等...)。我已经找到了解决迄今为止，我会在这里发表，但我仍然有问题，因此任何帮助，将不胜感激。特别是因为魔鬼在细节，我认为。

为便于论证，我们说，我们有3Vob和3组：

• gA和gB两个特别小组，所有其他用户使用CC是在气相色谱，这是默认CC组
• VOB vA，读写访问团gA，并限制别人
• VOB vB，读写访问团的标、读访问团gA，并限制别人
• VOB vC，是读写访问的每个人

Unaswered问题：

• 有什么影响在具有不同的域组CC用户？当人们日志，他们的明确案件集团中挑选的，用户可变CLEARCASE_PRIMARY_GROUP.如果他们是从大会和正常工作，在弗吉尼亚州，这一变量将设立gA，但是如果他们需要改变的东西在vC，我敢打赌，该集团的所有权，他们的文件/版本中的vC会留gA如果他们没做任何事情。目的在vC会结束有组属于gA种gC。可以说是一个问题吗？

• 我甚至不肯定它是有可能设立Acl正在vB没有在实际上创建一个新的小组，gA'含有人从两gA和gB，是吗？

• 在我看来这里的困难不是技术，而是在处理过程中访问某些人对适当群体，厘米的团队应该远离本(并假定安全部门和发展团队的参与).任何人有任何在这个问题上的经验?

• 它似乎是可以使用明确案件区域实现同样的效果。如何将这项工作？

最好的问候，

托马斯

Answer 1

迄今为止，我已经找到了 这个回答来自IBM发现论坛:

(编辑)

1. 建立两个额外域组队

2. 添加适当的新域集团的每个明确案件的用户群体概况(除gC组成员，他们已经有)。你会想的vobadmin帐户的成员，这些新团体。

3. 更改组的所有权Vob因此：
   cleartool protectvob -chgrp group_name <\\..vob.vbs>
   gA vA
   gB vB
   gC对于所有其他Vob(它应该已经是这种情况)

4. 删除"其他群体"的权限从根元素 弗吉尼亚州和vB Vob: cleartool protect -chmod 770 <vob-tag-name>
   你也可以做到这一点通过使用CC资源管理器：右击VOB 任何查看和选择"性质的元素"。有没有必要 重新保护整个VOB(注： 这对我来说是非常重要的，因为reprotecting整个VOB需要很长的时间，并且我有超过200Vob这里)。

现在，只有成员gA组将访问vA VOB。
只有成员的gB组将访问vB VOB。
每个人都是一个成员的gC组，这样每个人都将有机会获得所有 其他Vob.

注意，你将要设置的CLEARCASE_PRIMARY_GROUP环境 变量的特定的用户如果希望新建立的对象， 用户可以拥有的一组不同的用户帐户的主要组 因为它是落在域控制器。

Answer 2

有什么影响在具有不同的域组CC用户？

没有，除了管理成本(注册的每一个用户许多组可能会很麻烦).
事实上，有几件与不同团体不是一个问题本身。

VOB vB，读写访问团的标、读访问团gA，并限制别人

gB的一部分的次级集团的vB，gA不是(意味着没有结账的可能)。
770个 系统 小组包括大会和gB(意义的读取gA、读写标，拒绝gC)

只读或读写意味着保护设定的明确案件("cleartool protect"或者"cleartool protectvob")，但是"不接"只能实现在 系统 一级(chmod770)

明确案件的地区没有任何与数据的限制，仅有的数据可见性：它可以让你看到一个子集的vob或意见，它不会阻止你访问他们(一个简单的 mktag -vob 并且你会看到，"机密"vob无论如何)

在我看来这里的困难不是技术，而是在处理过程中访问某些人对适当群体，厘米的团队应该远离本(并假定安全部门和发展团队的参与).

叹...在厘米应该留下来了，但厘米的团队不能总是停留;)，团队必须至少在初始化的请求，对于该系统的团队注册用户在正确的集团。这一初始步骤孤独是相当的拖累，而风险投资都有其自己的组管理系统。但是明确案件是没有。