先给出我们公司权限设置的一个大概框架吧.如下图:

access.JPG (10.57 KB)

2个项目分别是:2个component:com_A和com_B.2个vob:vob_A和vob_B.
这里组 grp_a,b,c都加入到grp_ccu组里.protectvob中,将vob的主组设置为grp_ccu,而grp_a,b,c...为附加组.
2个项目的组都是同样的这几个.项目里目录结构和权限分配也是一样的.

注意:
grp_a,b,c每组成员没有相交的,所以不同组的人员看不到对方组的资料.
我们2个项目里都是protect -chmod 770. 所以others是没有任何权限的.

问题:
现在要新加一个组grp_x.X组的成员跟grp_a,b,c,grp_ccu都不相交.
要求grp_x成员能看到projectA里所有的资料,但不能看到projectB里的任何资料.

这样如何操作?
我之前打算只把grp_x加入到vob_A,而vob_B里不加. 然后把grp_x分别加入到grp_a,b,c,grp_ccu组里.这样grp_x里的成员就可以看到projtectA里的所有资料了,同时grp_a,b,c组的成员还是不能看到其他组的资料. 只是这样就有个问题,因为grp_x属于了grp_a,b,c,grp_ccu组,这样vob_B里虽然我没把grp_x加进去,可grp_x里的成员一样有权限能访问projectB里的资料了,这个不是我想要的.:(
后来打算把projectA里others的权限开大,也就是-chmod 设为775,但这样grp_a,b,c组的成员就能看到其他组的资料了,这个也不行...:(

各位有没什么好方法能避免这样的情况发生??
我不会写trigger的,而且想如果要写trigger了,这样以后万一还有同样的组要加进来,维护就是个问题了...0" />

[ 本帖最后由 brenda 于 2008-5-7 11:57 编辑 ]

根据LZ的描述，我的判断是这样：
grpX可以加入到VOB_A的additional group中，然后将VOB_A根目录及其下子目录的权限设置为775，这样grp_X就能读到VOB_A中的所有内容了，对于VOB_A中的dir_A，设定权限为770，而dir_A元素的group设定为grp_a，这样grp_a就能读写VOB_A中的dir_A，而其他人不能读，类似的，对VOB_A下的dir_B和dir_C做类似权限设定，让grp_B和grp_C分别能读写它们。
对于VOB_B，不要将grpX加入到其group list中，也不要将grpX加到其他组里，LZ试试看。
我这几天也在干类似的事情，感觉这个分组和设定权限是需要仔细规划的，LZ如果照我的方案做成功了，给回复一下，呵呵

另外，我没有试过组再加入到其他组里，不确定这样做是否合适，但貌似grp_CCU和系统缺省的Domain users功能差不多，LZ为什么要建这个组呢？
另外，我目前有个感觉（自己也没有佐证，可能这个判断是没有必要的甚至是错误的）：建立VOB之后，缺省的用户和主组最好别改，需要其他的组的时候就建立组，这些组都加入到additional group里

引用:

原帖由 魔术师约翰逊 于 2008-5-7 12:56 发表
根据LZ的描述，我的判断是这样：
grpX可以加入到VOB_A的additional group中，然后将VOB_A根目录及其下子目录的权限设置为775，这样grp_X就能读到VOB_A中的所有内容了，对于VOB_A中的dir_A，设定权限为770，而dir_A元 ...

哦,还是有点问题:
"grp_X可以加入到VOB_A的additional group中"--- 这个没问题,他们要访问VOB_A肯定要加进去的.
"VOB_A根目录及其下子目录的权限设置为775，这样grp_X就能读到VOB_A中的所有内容了"--- 这样其他组的成员可以看到别的组的资料了.虽然后来"对于VOB_A中的dir_A，设定权限为770，而dir_A元素的group设定为grp_a，"---- dir_A 因为是770,这样grp_X也不能访问了.
感觉看的好晕哦....快转不过来了


现在只想到一个笨方法,就是把projectA的projectB下需要的组设置成不同的组,如下图:

access2.JPG (10.53 KB)

也就是同一个人会属于grp_a(for projectA),grp_a2(for projectB).只要把grp_x组加到有2的组里就行了,只是这样对于a,b,c组的人来讲,工作的时候就需要切换主组了...

[ 本帖最后由 brenda 于 2008-5-7 18:15 编辑 ]

引用:

原帖由 魔术师约翰逊 于 2008-5-7 13:01 发表
另外，我没有试过组再加入到其他组里，不确定这样做是否合适，但貌似grp_CCU和系统缺省的Domain users功能差不多，LZ为什么要建这个组呢？
另外，我目前有个感觉（自己也没有佐证，可能这个判断是没有必要的甚至是错 ...

因为我们目前所有项目other都是没任何权限的,但是怕万一某个目录的权限要对所有人开放,这个时候就可用grp_CCU这个组了.
我现在vob缺省的owner是cc管理员, group是ccu这个组.其他的组都是作为附加组加进来的.所以vob缺省的owner和group是不会改动的.

LZ 4楼说的对，我给弄错了，如果照我那样做，先设置整体上的775，再对dir_a设置770，grp_x最后还是读不了dir_a，这样就根本没实现期望的效果，我也弄晕了，嘿嘿
LZ 5楼的答复我理解了，建立CCU这个组我感觉有道理

是啊,权限没必要的话最好不要设太复杂...
唉,谁让这边老大要这样呢...劝说过,没搞定...