2024年1月2日发(作者:)

1.1访问控制

在分布式计算机环境中,对象保护和所有权管理非常重要。对象代表了数据库中的产品信息,必须阻止未授权的或意外的访问修改或删除。TC可执行两个层次的数据保护:

 基于规则的保护:作为一个管理员,你可以定义多种条件或规则来控制对对象的访问。这些规则影响TC的整个站点,用访问控制器来定义。

 基于对象的保护:可更改对象访问控制权限的任何TC用户都可以设置基于对象的保护ACL(访问控制列表),来创建基于规则保护外的保护。当需要对具体的对象设置较宽松或较有限的访问权限时,对象的ACL非常有用。访问控制列表ACL显示了当前对一个对象的保护,并允许用户更改这些保护。初始的保护决定于规则树。

1.1.1 TC8中的访问权限

符号 权限

描述

控制查看和打开数据对象的权限

写 控制把数据对象从数据库中检出并做修改的权限

删除 控制删除数据对象的权限

更改权限 控制修改数据对象访问权限的权限,用户拥有此权限时,可修改数据对象的访问权限,修改的权限将覆盖基于规则的访问权限。

应用基于对象的访问权限控制时,必须拥有该权限。

提升 控制在工作流程中前移任务的权限

Controls the privilege to move a task forward in a workflow

process.

符号 权限

回退

描述

控制在工作流程中后退任务的权限

Controls the privilege to move a task backward in a workflow

process.

复制 控制另存、修订数据对象的权限

更改所有权 控制对数据对象授予、更改或限制所有权的权限

发布 控制对用户或组的远程发布

订阅 控制针对某一具体数据对象订阅事件的权限

导出 控制从数据库中导出数据的权限

导入 控制往数据库中导入数据对象的权限

传入 当数据对象从数据库中导出时,控制对象所有权同时传递出的权限

传出 当数据对象导入到本地数据库时,控制对象所有权同时指派的权限

对ICO进行写操作

控制写入分类对象的权限

指派给项目 控制指派对象给项目的权限。它针对未被指定为特权项目小组成员的用户来使用。

从项目中移除

远程签出

控制从项目中移除对象的权限。它针对未被指定为特权项目小组成员的用户来使用。

控制远程签出数据对象的权限

1.1.2 访问管理器

在访问管理器规则树中来组织规则,并按照该规则在树结构中的位置起作用。TC安装时包括的默认规则树假定只要权限没被显示地拒绝,用户就拥有该访问权限。规则按从上到下来发挥作用:在树结构顶端的规则优先于树结构底端的规则。当应用于所选对象的条件满足时,在ACL中定义的权限将被使用。注意:在规则树中的子分支总是优先于父结构。

1.1.3 创建和管理命名的ACL

在访问管理器右侧面板中显示了被命名的引用所采用的条件和值。

默认的访问管理器安装后有大量的预先定义的命名ACL。在列表中选择其他的命名的ACL,可以看到/编辑其他的预先定义的命名的ACL。在命名的ACL表中,访问者在第一列中显示,一个访问者是一个用户,或拥有某些共性的用户的组(如拥有某一对象的组成员或项目团队里的成员等)。

访问者

Owning User

描述

首先创建某一对象的用户。所有权可被转移。其他的权限(如删除)一般授予对象的所有者而非其他人

Group Administrator

Owning Group

对组拥有特殊维护权限的用户

拥有对象的组。一般来说,它是创建对象的用户所在的组。其他的权限(如写权限)可被授予该组,因为一般情况下,用户会与组内其他成员共享数据。

System Administrator

World

属于系统管理组成员的用户

任何用户,忽略组或角色

1.1.3.1 创建命名的ACL

以控制设计过程中数据集AutoCAD实例的权限为例说明如何创建命名的ACL。

1) 在规则树中选中Has Class(Dataset)

2) 在右侧的窗口中创建命名的ACL:条件选择Has Type,值选择ACADDWG,ACL名称输入CAD_ACL,单击右侧的创建按钮

3) 单击右侧的“+”号按钮,添加一条访问控制条目

双击选择访问者类型 双击选择访问者ID

针对访问者定义的权限

4) 单击下侧的“添加”按钮,创建规则并把它添加到当前选中的规则的下面

1.1.3.2 ACL的优先级控制

对某一对象有效的ACL是在规则树中适用于该对象的所有命名的ACL的累积组合。

ACL的优先级顺序:当判断规则树中的优先级顺序时,遵守下列方针:

 子级优先于父级

评价哪个权限最终被授予取决于两个标准:

 规则树中条件声明的优先级别

 命名的ACL中的访问者优先级别

最终的结果是一个有效的ACL,控制着对对象的访问。

ACL指导方针

 不要修改System Objects分支上规则所引用的命名的ACL。这些规则用于某些内部目的,更改可能会导致不可预知的后果或丢失数据。

 不要删除或修改规则树中上面部分分支的顺序。这可能会导致不可预知的后果或丢失数据。

 在Working分支下为工作数据添加规则。这是为工作数据类型添加新规则的最合适的地方。

 不要修改COTS规则,但是可以创建一个新的规则来代替它

在作修改前或后导出规则树