上個文章說說到要建立不同的使用者組。然後不同使用者組在VOB中對應不同的許可權

ClearCase7.0還沒有自己的的賬戶管理體系。主要是藉助域使用者管理器。由作業系統實現。

據說ClearCase7.1有了自己的賬戶管理體系。還沒去查證。

（其實也無非就是，使用者，使用者組的問題）

Active Directory 使用者 代表物理實體，如人員。還可以將使用者帳戶用作某些應用程式的專用服務帳戶。使用者帳戶也稱為安全主體。安全主體是指自動為其分配安全識別符號 (SID) 的目錄物件，

組 是指使用者與計算機帳戶、聯絡人以及其他可以作為單個單位管理的組的集合。屬於特定組的使用者和計算機稱為組成員。

組的特徵體現在用來標識組在域樹或林中的應用程度的作用域。有三個組作用域：本地域、全域性和通用 。

使用具有全域性作用域的組 來管理需要進行日常維護的目錄物件，如使用者和計算機帳戶。由於具有全域性作用域的組在自已的域外不會被複制，因此您可以經常更改具有全域性作用域的組中的帳戶，且不會對全域性編錄產生重複流量。

使用具有通用作用域 的組來合併跨域的組。為此，向具有全域性作用域的組新增帳戶，並在具有通用作用域的組內巢狀這些組。使用此策略時，對具有全域性作用域的組成員身份的任何更改都不會影響具有通用作用域的組

AD DS 中有兩種組型別：分發組和安全組 。您可以使用分發組來建立電子郵件分發列表，而使用安全組來分配共享資源的許可權。

域 是複製的單位。在特定域中，所有域控制器都可以接受更改，並將這些更改複製到域中的所有其他域控制器。在 Active Directory 域服務 (AD DS) 中，每個域都是使用域名系統 (DNS) 域名來標識的。每個域都需要一個或多個域控制器。如果您的網路需要多個域，您可以輕鬆建立多個域。

共享公用架構和全域性編錄的一個或多個域被稱為林 。林中的第一個域稱為林根域。如果林中的多個域具有連續的 DNS 域名，這種結構稱為域樹。

單個域可以跨多個物理位置或站點，幷包含數百萬個物件。站點結構和域結構是獨立而靈活的。單個域可以跨分佈在多個地理位置的站點，而單個站點可以包含屬於多個域的使用者和計算機。

域中包含的一種特別有用的目錄物件型別是組織單位 (OU)。OU 是一些 Active Directory 容器，可以在其中放置使用者、組、計算機和其他 OU。OU 不能包含來自其他域中的物件。

可以使用 OU 建立能夠縮放到任意大小的管理模型。使用者可以對域中的所有 OU 或單個 OU 具有管理權力。一個 OU 的管理員不一定對域中的任何其他 OU 具有管理權力。

（都是windows系統自帶幫助文件的，複製出幾個CC相關的，具體想了解清楚的可以細看。）

現在參照文件 看看怎麼配置讀寫許可權

對讀許可權控制

如果希望設定一組使用者擁有對某些檔案的讀許可權，可以通過目錄來實現：
講這些檔案集中在一個新建目錄中，講這一組使用者設定為該目錄的屬組，設定該目錄的存取模式為770，這樣非該組使用者便沒有任何許可權。
進一步如果希望該目錄下的某些檔案只能被某幾個人讀取，則在該目錄下建立子目錄包含這些檔案，將欲讀取的使用者設定成子目錄的屬組（該屬組同時包含在目錄的屬組中），設定子目錄的存取模式為770。

如果要設定對單獨檔案的讀許可權，首先要保證訪問該檔案的使用者擁有該檔案所在目錄的讀許可權，然後設定該檔案的存取模式保證其可讀許可權。

如果有多組使用者需要訪問某些檔案，首先必須將這些組加到VOB的附加屬組列中，然後在這些組中的使用者所屬組列表中加入欲訪問檔案的屬組（即使這些使用者同時屬於多個組），這樣便可以實現多組使用者的訪問

對寫許可權的控制

clearcase存取模式中的寫許可權通常被忽略，只有通過檢出（Check Out）才能進行修改。對檢出的許可權控制可以通過加鎖，觸發器實現。如可以為該檔案加鎖或者建立一個觸發器設定某些使用者可以執行檢出操作

許可權控制例項

突然懶得寫了。哎。悲劇、