Condividi tramite

Procedure per il blocco del database

  • Articolo

Le informazioni fornite di seguito sono destinate a tutti gli utenti di Visual SourceSafe (VSS) che desiderano creare un database, concedere ad altri utenti l'accesso alla condivisione di file e al database di VSS o gestire le autorizzazioni nel programma di amministrazione di VSS.

Attenersi prima di tutto alle procedure illustrate in Protezione del database per creare due gruppi di utenti di VSS e concedere loro le autorizzazioni appropriate per il database di VSS e le cartelle del programma. Quando nuovi utenti si aggiungono ai team o li lasciano, utilizzare le procedure riportate in Amministrazione continua della protezione per aggiungere o eliminare singoli utenti di VSS. Tali istruzioni sono applicabili sia alla prima installazione di VSS e alla creazione di un database che alla gestione di un'installazione di VSS esistente. Per proteggere VSS e il database, consultare la sezione Ulteriori considerazioni in Protezione dei database. Una volta bloccato il database, utilizzare l'elenco di controllo per verificarne la sicurezza prima di consentire agli utenti di VSS di iniziare a utilizzare VSS.

Per bloccare un database di Visual SourceSafe (VSS) e i file che consentono di controllare e amministrare VSS, è necessario utilizzare le autorizzazioni di protezione di Windows per limitare l'accesso. Attenendosi alle procedure riportate di seguito, sarà possibile bloccare il database, in modo da avvalersi dei seguenti vantaggi:

  • L'esecuzione delle attività di amministrazione, inclusi l'esecuzione di Analyze e il ripristino dei file e dei progetti di VSS archiviati, è consentita solo ai membri del gruppo di amministratori del database di VSS per le cartelle VSS di Windows.
  • La protezione di VSS non influirà in alcun modo sulla modalità di utilizzo di VSS da parte degli amministratori e degli utenti di VSS.
  • Le autorizzazioni di accesso per la condivisione di rete in cui si trova VSS vengono concesse solo agli utenti di VSS. Gli altri utenti non saranno quindi autorizzati ad accedere al database.

Il blocco del database non consente di ottenere le seguenti funzionalità:

  • Protezione a livello di progetto. È possibile utilizzare il programma di amministrazione di VSS per impostare i diritti e le assegnazioni per specifici progetti di VSS o singoli utenti di VSS, ma è necessario concedere a tutti gli utenti di VSS le stesse autorizzazioni per le cartelle di Windows. Indipendentemente dai diritti a livello di progetto specificati nel programma di amministrazione di VSS, tutti gli utenti di VSS saranno quindi in grado di accedere alle cartelle condivise e disporranno di controllo completo su tutti i dati di VSS, ma non sui file che consentono di controllare e amministrare il programma e il database. Non utilizzare il database condiviso per memorizzare file contenenti informazioni riservate, quali informazioni sugli stipendi o documenti legali.
  • Utenti di VSS di sola lettura. Se si desidera consentire a determinati utenti di VSS solo la lettura dei file nel database di VSS, si consiglia non configurarli come utenti di VSS, ma di creare una cartella replicata e di concedere loro l'accesso a tale cartella.

Utenti e gruppi di Windows

Nel programma di amministrazione di VSS sono disponibili strumenti che consentono di gestire gli utenti di VSS, specificando diritti di accesso per singoli utenti o singoli progetti di VSS nel database di VSS. Per garantire la protezione del database, è tuttavia necessario utilizzare la protezione integrata di Windows, in modo da limitare l'accesso alle cartelle di VSS mediante l'impostazione di autorizzazioni di condivisione e di protezione per tali cartelle.

In Windows è possibile creare gruppi di utenti. L'aggiunta di un utente di Windows a un gruppo consente di concedere all'utente tutte le autorizzazioni e tutti i diritti utente assegnati a tale gruppo. Un utente di Windows che utilizza un computer connesso a una rete sarà in grado di accedere sia ai programmi e ai file presenti nel computer che ai programmi e ai file situati in rete, a seconda delle restrizioni sull'account specificate dall'amministratore di rete. La riunione degli utenti di Windows in un gruppo consente all'amministratore di concedere le stesse autorizzazioni a tutti gli utenti, semplificando le attività di amministrazione. Le informazioni relative agli utenti o ai gruppi di Windows che dispongono di autorizzazioni per l'accesso o la modifica di una risorsa o un file sono contenute nell'elenco di controllo di accesso (ACL, Access Control List) relativo a tale risorsa o file. Per ulteriori informazioni sul controllo di accesso, vedere la Guida di Windows.

Per bloccare il database di VSS, è necessario creare due gruppi di utenti Windows: un gruppo per gli amministratori di VSS e uno per gli utenti di VSS.

Protezione del database

Per consentire il blocco del database mediante le procedure riportate di seguito, è necessario che il database sia installato in un file system NT (NTFS), poiché NTFS consente l'assegnazione di autorizzazioni per singoli file e cartelle. Nel file system di tipo FAT (File Allocation Table, tabella di allocazione file) le stesse autorizzazioni vengono applicate a un'intera condivisione. La condivisione delle cartelle è consentita solo agli amministratori Windows per il computer in uso.

Nota   Se si sposta un database, le autorizzazioni di Windows non vengono spostate. Sarà quindi necessario bloccare nuovamente il database nella nuova posizione.

Creazione dei gruppi utente di Windows

La collocazione degli utenti in gruppi di Windows consente di semplificare e velocizzare le attività di amministrazione. È necessario creare due gruppi di utenti di Windows: un gruppo per gli amministratori e un gruppo per gli utenti di VSS. Creare ad esempio i gruppi con nome VSS_DB1_Admin e VSS_DB1_User. Il programma di amministrazione di VSS consente agli amministratori di gestire gli utenti di VSS, impostare le opzioni dei progetti per tutti gli utenti e i progetti di VSS ed eseguire attività di manutenzione. Gli utenti di VSS saranno in grado di utilizzare VSS mediante Gestione risorse VSS o la riga di comando e di personalizzare VSS mediante la finestra di dialogo Opzioni SourceSafe oppure mediante la modifica del file Ss.ini, situato in ogni cartella Users/nomeutente.

Nota   Per accedere al programma di amministrazione di VSS, è consentito solo l'utilizzo del nome utente di VSS Admin. È necessario che tutti i membri del gruppo VSS_DB1_Admin effettuino l'accesso utilizzando il nome utente di VSS Admin e la relativa password.

È necessario concedere a tutti gli utenti di VSS le stesse autorizzazioni di Windows per le cartelle di VSS e ulteriori autorizzazioni individuali per la cartella Users/nomeutente appropriata. Se si desidera consentire a determinati utenti di VSS solo la lettura dei file nel database di VSS, si consiglia di non configurarli come utenti di VSS e membri del gruppo VSS_DB1_Users, ma di creare una cartella replicata e di concedere loro l'accesso a tale cartella. Per ulteriori informazioni sulle cartelle replicate, vedere Creazione di cartelle replicate.

Nota sulla protezione   Tutti gli utenti di VSS dispongono di accesso alle cartelle di VSS e sono in grado di eliminare informazioni essenziali dal database.

Per informazioni sulla creazione e l'utilizzo di gruppi di utenti di Windows, vedere la Guida di Windows.

Per creare gruppi di amministratori e utenti di VSS

  1. Creare due gruppi di utenti di Windows sul server del database di VSS, ad esempio VSS_DB1_Admin e VSS_DB1_User.

    Se sullo stesso server è presente un secondo database, creare altri due gruppi, ad esempio VSS_DB2_Admin e VSS_DB2_User.

  2. Aggiungere gli utenti inclusi nell'elenco di utenti di VSS a uno dei due gruppi.

Rimozione del gruppo Everyone dalla condivisione

Se il database condiviso è stato creato nel corso dell'installazione di VSS o mediante lo strumento di amministrazione di VSS, i file e le cartelle del database sono stati installati nella cartella del database di VSS. Quando si condivide tale cartella, il gruppo di utenti Windows Everyone viene aggiunto alla condivisione. Si consiglia di rimuovere il gruppo Everyone.

Nota sulla protezione   È possibile che gli utenti di Windows si connettano al computer in cui si trova il database di VSS e accedano direttamente alle cartelle di VSS, invece di utilizzare la cartella di database condivisa. Verificare le autorizzazioni per le cartelle di VSS e impedire a utenti non autorizzati di accedere a tali cartelle.

Per rimuovere il gruppo Everyone dalla condivisione

  1. In Esplora risorse passare alla cartella di database di VSS (contenente il file Srcsafe.ini per il database), quindi selezionarla.
  2. Scegliere Proprietà dal menu File, quindi fare clic sulla scheda Condivisione.
  3. Selezionare Condividi la cartella.
  4. Digitare un nuovo Nome condivisione, se non si desidera utilizzare il nome predefinito.
  5. Fare clic su Autorizzazioni.
  6. Se nel riquadro Utenti e gruppi è presente Everyone, fare clic su Rimuovi, quindi scegliere OK.
  7. Scegliere il gruppo VSS_DB1_Admin, quindi selezionare la casella di controllo Consenti per Controllo completo.
  8. Scegliere il gruppo VSS_DB1_User, quindi selezionare la casella di controllo Consenti per Modifica.

Aggiunta e concessione di autorizzazioni per i gruppi di VSS

In questa sezione verrà illustrato come aggiungere i due gruppi di VSS alla cartella del database, rimuovere autorizzazioni ereditate per tutti gli altri utenti e gruppi e concedere ai due gruppi di VSS le autorizzazioni appropriate per la cartella del database e le altre cartelle di VSS. Per consentire l'aggiunta e la concessione di autorizzazioni in base alle procedure riportate di seguito, è necessario che il database sia installato in un file system NT (NTFS), poiché NTFS consente l'assegnazione di autorizzazioni per singoli file e cartelle. Nel file system di tipo FAT (File Allocation Table, tabella di allocazione file) le stesse autorizzazioni vengono applicate a un'intera condivisione. La condivisione delle cartelle è consentita solo agli amministratori Windows per il computer in uso.

Per aggiungere i gruppi di VSS alla cartella del database

  1. In Esplora risorse passare alla cartella del database di VSS, quindi selezionarla.

  2. Scegliere Proprietà dal menu File, quindi fare clic sulla scheda Protezione.

  3. Fare clic su Aggiungi.

  4. Nella finestra di dialogo Seleziona utenti, computer o gruppi fare clic su Percorsi.

  5. Individuare e selezionare il percorso contenente i gruppi VSS_DB1_Admin e VSS_DB1_User, quindi scegliere OK.

    Il percorso indica il nome del computer in cui si trovano i gruppi VSS_DB1_Admin e VSS_DB1_User.

  6. Aggiungere i gruppi VSS_DB1_Admin e VSS_DB1_User nella casella Immettere i nomi degli oggetti da selezionare.

  7. Scegliere OK per aggiungere i gruppi al riquadro Utenti e gruppi della scheda Protezione.

  8. Scegliere il gruppo VSS_DB1_Admin, quindi selezionare la casella di controllo Consenti per Controllo completo.

  9. Scegliere il gruppo VSS_DB1_User, quindi selezionare solo le caselle di controllo Consenti relative a Visualizzazione contenuto cartella e Lettura.

Per assicurarsi che alla cartella verranno applicate solo le autorizzazioni definite esplicitamente per i due gruppi di VSS, rimuovere le autorizzazioni ereditate, applicate in precedenza dalla cartella principale.

Per rimuovere le autorizzazioni ereditate dalla cartella del database

  1. Fare clic su Avanzate.

  2. Nella scheda Autorizzazioni deselezionare la casella di controllo Eredita dall'oggetto padre le autorizzazioni propagate agli oggetti figlio. Aggiungi tali autorizzazioni a quelle qui specificate.

  3. Fare clic su Rimuovi.

  4. Nella scheda Autorizzazioni scegliere OK.

    Solo i gruppi VSS_DB1_Admin e VSS_DB1_User sono presenti nel riquadro Utenti e gruppi.

È necessario concedere al gruppo di amministratori del database di VSS (ad esempio VSS_DB1_Admin) le autorizzazioni di Controllo completo per tutte le cartelle di VSS, ma si consiglia di assegnare autorizzazioni più limitate al gruppo degli utenti di VSS. Nella cartella del database di VSS è presente una cartella Users, contenente una cartella per ogni utente di VSS. È necessario concedere a ogni utente di VSS le autorizzazioni di lettura e scrittura per la cartella Users/nomeutente corrispondente.

Per concedere autorizzazioni ai gruppi di VSS

  1. Concedere ai due gruppi le autorizzazioni indicate di seguito per la cartella del database di VSS:

    VSS_DB1_Admin Controllo completo
    VSS_DB1_Users Lettura e Visualizzazione contenuto cartella

  2. Selezionare la cartella Data e impostare le autorizzazioni su Modifica per VSS_DB1_Users.

  3. Selezionare la cartella Temp e impostare le autorizzazioni su Modifica per VSS_DB1_Users.

  4. Per ogni cartella Users/nomeutente, aggiungere l'utente di Windows da cui verranno utilizzate le credenziali di accesso a VSS corrispondenti: aggiungere ad esempio Dominio\PaoloFazio a Users\PaoloFazio. Impostare le autorizzazioni utente per tale cartella su Modifica.

  5. Se si desidera consentire agli utenti di VSS di eseguire NetSetup, selezionare il file Netsetup.exe e impostare le autorizzazioni su Esecuzione per VSS_DB1_Users.

Amministrazione continua della protezione

Quando nuovi utenti si aggiungono ai team o li lasciano, è necessario aggiungere o eliminare singoli utenti mediante il programma di amministrazione di VSS e le autorizzazioni di Windows.

Aggiunta di utenti di VSS a un database esistente

È necessario aggiungere tutti gli utenti all'elenco di utenti di VSS mediante il programma di amministrazione di VSS, quindi aggiungerli a uno dei gruppi di Windows (quali VSS_DB1_Admin o VSS_DB1_User) e assegnare a ogni utente le autorizzazioni necessarie per la relativa cartella Users/nomeutente.

Quando si crea un database di VSS, il nome utente di VSS Admin viene creato automaticamente e non è possibile eliminarlo. Per accedere al programma di amministrazione di VSS, è consentito solo l'utilizzo del nome utente di VSS Admin e solo i membri del gruppo VSS_DB1_Admin dispongono delle autorizzazioni appropriate per l'esecuzione del programma di amministrazione. È quindi necessario che tutti i membri del gruppo VSS_DB1_Admin effettuino l'accesso utilizzando il nome utente di VSS Admin e la relativa password.

Per aggiungere utenti amministratori di VSS

  1. Selezionare il database necessario mediante il programma di amministrazione di VSS. Per ulteriori informazioni, vedere Apertura di un database.

  2. Scegliere Aggiungi utente dal menu Utenti del programma di amministrazione di VSS.

  3. Digitare il nome dell'utente nella casella Nome utente.

    I nomi utente non possono superare i 31 caratteri, non possono iniziare o terminare con uno spazio o includere segni di interpunzione.

  4. Digitare la password dell'utente nella casella Password.

    Le password non possono superare i 15 e possono contenere qualunque carattere. Non specificare alcuna password se verrà effettuato l'accesso automatico dell'utente mediante il nome di rete.

  5. Per concedere all'utente diritti di sola lettura per VSS, selezionare la casella di controllo Sola lettura.

    Nota   Se si seleziona la casella di controllo Sola lettura, l'utente disporrà di accesso di sola lettura ai file presenti nel database di VSS per le operazioni effettuate tramite Gestione risorse VSS, ma disporrà delle stesse autorizzazioni di Windows concesse a tutti gli altri utenti amministratori di VSS per le cartelle di VSS.

  6. Scegliere OK.

  7. Aggiungere l'utente di Windows corrispondente al gruppo di Windows VSS_DB1_Admin.

    Per informazioni sull'aggiunta di utenti a un gruppo di Windows, vedere la Guida di Windows.

È necessario aggiungere tutti gli utenti di VSS al gruppo VSS_DB1_Users, quindi concedere loro le stesse autorizzazioni di Windows per le cartelle di VSS, oltre ad autorizzazioni individuali per la cartella Users/nomeutente appropriata. È possibile utilizzare i comandi relativi ai diritti e alle assegnazioni del programma di amministrazione di VSS per gestire gli utenti di VSS, specificando diritti di accesso per i singoli utenti o progetti di VSS nel database di VSS da applicare quando un utente effettua operazioni tramite Gestione risorse VSS.

Per aggiungere utenti di VSS

  1. Selezionare il database necessario mediante il programma di amministrazione di VSS. Per ulteriori informazioni, vedere Apertura di un database.

  2. Scegliere Aggiungi utente dal menu Utenti del programma di amministrazione di VSS.

  3. Digitare il nome dell'utente nella casella Nome utente.

    I nomi utente non possono superare i 31 caratteri, non possono iniziare o terminare con uno spazio o includere segni di interpunzione.

  4. Digitare la password dell'utente nella casella Password.

    Le password non possono superare i 15 e possono contenere qualunque carattere.

  5. Per concedere all'utente diritti di sola lettura per VSS, selezionare la casella di controllo Sola lettura.

    Nota   Se si seleziona la casella di controllo Sola lettura, l'utente disporrà di accesso di sola lettura ai file presenti nel database di VSS per le operazioni effettuate tramite Gestione risorse VSS, ma disporrà delle stesse autorizzazioni di Windows concesse a tutti gli altri utenti per le cartelle di VSS. Se si desidera consentire all'utente solo l'accesso in lettura a VSS, vedere Per aggiungere utenti di VSS di sola lettura.

  6. Scegliere OK.

  7. Aggiungere l'utente al gruppo di Windows VSS_DB1_Users.

  8. Concedere all'utente le autorizzazioni di Controllo completo per la cartella Users/nomeutente appropriata.

Per aggiungere utenti di VSS di sola lettura

È necessario concedere a tutti gli utenti di VSS le stesse autorizzazioni di Windows per le cartelle di VSS e ulteriori autorizzazioni individuali per la cartella Users/nomeutente appropriata. Se si desidera consentire a determinati utenti di VSS solo la lettura dei file nel database di VSS, si consiglia di non configurarli come utenti di VSS e membri del gruppo VSS_DB1_Users, ma di creare una cartella replicata e di concedere loro l'accesso a tale cartella. Per ulteriori informazioni sulle cartelle replicate, vedere Creazione di cartelle replicate.

Nota sulla protezione   Tutti gli utenti di VSS dispongono di accesso alle cartelle di VSS e sono in grado di eliminare informazioni essenziali dal database.

Eliminazione di utenti di VSS

Per impedire l'accesso da parte di un utente, è necessario eliminarlo dall'elenco di utenti di VSS, rimuoverlo da uno dei gruppi di Windows per VSS ed eliminare le autorizzazioni per eventuali file e cartelle associati a VSS, quali le cartelle replicate per i progetti.

Nota   Non è consentita l'eliminazione del nome utente Admin di VSS.

Per eliminare utenti amministratori di VSS

  1. Selezionare l'utente dall'elenco di utenti nel programma di amministrazione di VSS.

  2. Scegliere Elimina utente dal menu Utenti.

    Viene visualizzata una finestra di avviso in cui si richiede la conferma dell'eliminazione.

  3. Scegliere OK.

    La cartella Users/nomeutente per l'utente specificato, contenente il file Ss.ini, viene eliminata.

  4. Eliminare l'utente dal gruppo di Windows VSS_DB1_Admin.

  5. Eliminare eventuali cartelle replicate create da tale amministratore e non più necessarie.

    I percorsi per le cartelle replicate sono riportati nel file Srcsafe.ini, alle voci Shadow = cartella replicata.

  6. Se l'amministratore dispone di autorizzazioni relative alle cartelle e ai file elencati di seguito, eliminare tali autorizzazioni.

    I percorsi relativi alle cartelle e ai file sono riportati nel file Srcsafe.ini.

    • Cartelle replicate (Shadow = cartella replicata)
    • Cartelle di distribuzione Web (Deploy_Path = cartella)
    • File registro (Journal_File = nomefile)

  7. Se alcuni progetti Web sono stati distribuiti dall'amministratore in una posizione remota, raggiungibile tramite FTP (File Transfer Protocol), si consiglia di modificare la password associata al percorso di distribuzione. Per ulteriori informazioni, vedere Scheda Progetti Web (comando Opzioni, menu Strumenti).

Quando si elimina un utente di VSS, la cartella Users/nomeutente corrispondente, contenente il file Ss.ini, viene eliminata automaticamente.

Per eliminare utenti di VSS

  1. Selezionare l'utente dall'elenco di utenti nel programma di amministrazione di VSS.

  2. Scegliere Elimina utente dal menu Utenti.

    Viene visualizzata una finestra di avviso in cui si richiede la conferma dell'eliminazione.

  3. Scegliere OK.

  4. Eliminare l'utente dal gruppo di utenti di Windows VSS_DB1_Users.

  5. Se l'utente di Windows dispone di autorizzazioni relative alle cartelle e ai file elencati di seguito, eliminare tali autorizzazioni.

    I percorsi relativi alle cartelle e ai file sono riportati nel file Srcsafe.ini.

    • Cartelle replicate (Shadow = cartella replicata)
    • Cartelle di distribuzione Web (Deploy_Path = cartella)
    • File registro (Journal_File = nomefile)

  6. Se alcuni progetti Web sono stati distribuiti dall'utente di VSS in una posizione remota, raggiungibile tramite FTP (File Transfer Protocol), si consiglia di modificare la password associata al percorso di distribuzione. Per ulteriori informazioni, vedere Scheda Progetti Web (comando Opzioni, menu Strumenti).

Per eliminare utenti di VSS di sola lettura

Se, come consigliato, all'utente di sola lettura di VSS sono state assegnate autorizzazioni solo per la cartella replicata, rimuovere le autorizzazioni di condivisione dell'utente per la cartella replicata.

Gestione dei diritti del progetto e delle assegnazioni utente mediante il programma di amministrazione di VSS

I comandi relativi ai diritti e alle assegnazioni del programma di amministrazione di VSS consentono di gestire gli utenti di VSS, impostando i diritti per i singoli utenti, per gli utenti appena aggiunti e per i progetti, oltre che modificando gli attributi relativi a un utente, in modo da concedere l'accesso in sola lettura o in lettura e scrittura. Per eseguire VSS, è necessario che tutti gli utenti dispongano delle stesse autorizzazioni per le cartelle di Windows. Non modificare quindi le autorizzazioni di un utente per le cartelle di Windows quando si modificano i diritti del progetto o le assegnazioni utente in VSS.

Elenco di controllo

Prima di consentire agli utenti di VSS di iniziare a utilizzare VSS, assicurarsi che il database e l'installazione di VSS siano stati protetti correttamente. Verificare che:

  • Il gruppo di utenti Windows Everyone sia stato rimosso dalla cartella del database di VSS.

  • Le autorizzazioni per le cartelle di VSS siano state concesse solo ai gruppi e agli utenti di VSS. È necessario che nella scheda Protezione per la cartella del database di VSS non siano presenti altri gruppi o utenti, che potrebbero disporre di autorizzazioni ereditate.

  • In VSS siano stati creati due gruppi di utenti di Windows: amministratori e utenti di VSS.

  • Le autorizzazioni assegnate per le cartelle di VSS ed ereditate dalle sottocartelle siano state impostate correttamente:

    Cartella o file di Windows Amministratori Utenti di VSS
    Cartella del database di VSS Controllo completo Lettura

    Visualizzazione contenuto cartella
    Data Controllo completo (ereditata) Modifica
    Temp Controllo completo (ereditata) Modifica
    Users/nomeutente Controllo completo (ereditata) Modifica
    Netsetup.exe Controllo completo (ereditata) Esecuzione

  • Se per alcuni utenti di VSS è necessario l'accesso in sola lettura ad elementi del database di VSS, assicurarsi che a tali utenti siano state concesse le autorizzazioni per accedere alla cartella replicata del progetto, ma che gli utenti non siano inclusi nel gruppo di utenti di VSS.

  • Le autorizzazioni per il gruppo di utenti di VSS siano state rimosse dalle cartelle a cui è necessario che accedano solo gli amministratori.

  • La sezione Ulteriori considerazioni in Protezione dei database sia stata verificata e le relative istruzioni applicate, in base alla necessità.

  • I documenti contenenti informazioni riservate, destinate solo ad alcuni utenti di VSS, siano stati rimossi.

  • L'amministratore del database di VSS abbia preparato istruzioni in cui siano incluse le procedure per l'aggiunta e l'eliminazione di utenti di VSS compatibili con la protezione del database.

Vedere anche

Protezione dei database | Creazione di cartelle replicate | Diritti di accesso