如何鎖定 Visual SourceSafe 數據庫

Christine Woskett 和 Oded Ye Shekel
Visual SourceSafe Team
Microsoft Corporation
2003年1月

摘要：本文通過一些操作步驟詳細介紹了如何保護 Visual SourceSafe 數據庫。

本文分為兩部分。有關在創建和管理 Visual SourceSafe 6.0 及其早期版本的數據庫時管理員需要解決的一些安全問題的詳細信息，請參閱 Visual SourceSafe 數據庫安全性簡介。

目錄

• 簡介
• Windows 用戶和組
• 保護數據庫
• 過程中的安全管理
• 安全核對表

簡介

如果您需要使用 Visual SourceSafe (VSS) 來創建數據庫，授予其他用戶訪問文件共享和 VSS 數據庫的權限，或者在 VSS Administrator 程序中管理權限，那么閱讀本文就會對您有所幫助。

首先，請按照保護數據庫中的步驟創建兩個 VSS 用戶組，并授予他們訪問 VSS 數據庫和程序文件夾的適當權限。然后，當有人加入或退出團隊時，使用過程中的安全管理中的步驟來添加或刪除單個 VSS 用戶。不管您是首次安裝 VSS 并創建數據庫，還是已經安裝有 VSS，都請按照本文中的說明并檢查 VSS 數據庫安全性簡介中的其他注意事項，以保護 VSS 和您的數據庫。在鎖定數據庫之后，如果要通知 VSS 用戶使用 VSS，請先使用核對表來驗證其安全性。

要保護 Visual SourceSafe (VSS) 數據庫以及用于控制和管理 VSS 的文件，需要使用 Windows 的安全權限來限制訪問。按照本文介紹的步驟，您可以鎖定數據庫，從而達到以下目的：

• 只有 VSS Windows 文件夾的 VSS 數據庫管理員組中的成員才能執行管理員任務，包括運行 Analyze 和恢復存檔的 VSS 文件與項目。
• 設置 VSS 安全性之后，所有的 VSS 管理員和 VSS 用戶還可以按設置之前的方式使用 VSS。
• 不是 VSS 用戶的人員將無權訪問 VSS 所在的網絡共享位置，因此也就無法訪問數據庫。

鎖定數據庫不能提供：

• 項目級安全性。您可以使用 VSS Administrator 程序為特定的 VSS 項目或各別 VSS 用戶設置權限和分配任務，但所有 VSS 用戶必須都擁有相同的 Windows 文件夾權限。因此，所有 VSS 用戶，不管他們在 VSS Administrator 程序中指定的項目級權限如何，均可以訪問共享文件夾，并且可以完全控制所有的 VSS 數據，但那些用于控制和管理程序及數據庫的文件除外。請勿使用共享數據庫來存儲包含敏感信息的文件，例如工資信息或法律文檔。
• 只讀 VSS 用戶。如果要限制某些 VSS 用戶，使其只能讀取 VSS 數據庫中的文件，那么建議您不要將這些人員設為 VSS 用戶，而應該創建一個影子文件夾，并授予這些人訪問此文件夾的權限。

Windows 用戶和組

VSS Administrator 程序提供了用于管理 VSS 用戶的工具，通過指定 VSS 數據庫中的各個用戶或各個項目的訪問權限來實現管理功能。但是，要真正保證數據庫的安全，您必須使用 Windows 集成的安全性限制對 VSS 文件夾的訪問，即設置這些文件夾的共享和安全權限。

您可以在 Windows 中創建用戶組，然后將 Windows 用戶添加到組，從而使用戶獲得為該組指定的所有許可和用戶權限。已聯網的計算機的 Windows 用戶可以訪問該計算機上的程序和文件，也可以訪問位于網絡上的文件，這取決于網絡管理員對帳戶權限的限制。通過將 Windows 用戶編組，管理員可以授予組中所有用戶相同的權限，從而簡化管理任務。有關哪些 Windows 用戶或組有權訪問或修改資源及文件的信息，包含在該資源或文件的訪問控制列表 (ACL) 中。有關訪問控制的詳細信息，請參閱 Windows 幫助。

要鎖定 VSS 數據庫，需要創建兩個 Windows 用戶組：一個是 VSS 管理員組，另一個是 VSS 用戶組。

保護數據庫

如果要使用本文介紹的步驟來保護 VSS 數據庫，您的數據庫必須安裝在 NT 文件系統 (NTFS) 上。Windows NT 4.0、Windows 2000、Windows XP 及更高版本中都提供了該文件系統。在 NTFS 文件系統上，可以為各個文件和文件夾分別授予權限，而文件分配表 (FAT) 文件系統則對整個共享應用相同的權限。要共享文件夾，您必須是該計算機的 Windows 管理員。

注意：如果移動數據庫，Windows 權限不會跟著移動，您必須在新位置再次鎖定數據庫。

創建 Windows 用戶組

將用戶編成 Windows 用戶組可以簡化您的管理任務并提高管理效率。您需要創建兩個 Windows 用戶組：一個是 VSS 管理員組，另一個是 VSS 用戶組。例如，創建名為 VSS_DB1_Admin 和 VSS_DB1_User 的組。管理員可以使用 VSS Administrator 程序管理 VSS 用戶，為所有 VSS 用戶與項目設置項目選項，以及執行維護操作。VSS 用戶可以通過 VSS Explorer 或命令行來使用 VSS，也可以通過使用 SourceSafe Options 對話框或通過編輯每個 Users/username 文件夾下的 Ss.ini 文件來自定義 VSS。

注意：VSS 用戶名 Admin 是唯一可用于登錄到 VSS Administrator 程序的 VSS 用戶名。VSS_DB1_Admin 組中的所有成員都必須使用 VSS 用戶名 Admin 及相應的密碼進行登錄。

所有 VSS 用戶對 VSS 文件夾必須擁有相同的 Windows 權限，還要對相應的 Users/username 文件夾擁有其他各種權限。如果要限制某些 VSS 用戶，使其只能讀取 VSS 數據庫中的文件，那么建議您不要將這些人員設為 VSS 用戶或 VSS_DB1_Users 組中的成員，而應該創建一個影子文件夾，并授予這些人訪問此文件夾的權限。有關影子文件夾的信息，請參閱 Create Shadow Folders（英文）。

安全提示：所有 VSS 用戶都可以訪問 VSS 文件夾并且可以從數據庫中刪除重要信息。

有關創建和使用 Windows 用戶組的詳細信息，請參閱 Windows 幫助。

創建管理員和 VSS 用戶組

在 VSS 數據庫服務器上創建兩個 Windows 用戶組，例如 VSS_DB1_Admin 和 VSS_DB1_User。

如果同一服務器上還有第二個數據庫，則需要再創建兩個組，例如 VSS_DB2_Admin 和 VSS_DB2_User。

將 VSS 用戶列表中的每個用戶都添加到其中一個組中。

重新啟動 VSS 服務器。

從共享中刪除 Everyone 組

如果共享數據庫是在 VSS 安裝過程中創建的，或者是使用 VSS Administrator 工具創建的，則該數據庫的文件和文件夾會被安裝在 VSS 數據庫文件夾中。當共享此數據庫文件夾時，會將 Windows 用戶的 Everyone 組添加到共享。建議您刪除 Everyone 組。

安全提示：Windows 用戶可能會登錄到 VSS 數據庫所在的計算機，并直接訪問 VSS 文件夾而不是訪問共享的數據庫文件夾。請檢查 VSS 文件夾的權限，防止未獲授權的用戶訪問這些文件夾。

從共享中刪除 Everyone 組

使用 Windows 資源管理器，找到 VSS 數據庫文件夾（其中包含數據庫的 Srcsafe.ini 文件），然后選中該文件夾。

在“文件”菜單上，單擊“屬性”，然后單擊“共享”選項卡。

選擇“共享該文件夾”。

如果不希望使用默認設置，請在“共享名”鍵入新的名稱。

單擊“權限”。

如果“組或用戶名”框中包含“Everyone”，請單擊“刪除”，然后單擊“確定”。

單擊“添加”。

在“選擇用戶、計算機或組”對話框中，單擊“位置”。

查找并單擊包含 VSS_DB1_Admin 和 VSS_DB1_User 組的“位置”，然后單擊“確定”。

其中，“位置”就是包含 VSS_DB1_Admin 和 VSS_DB1_User 組的計算機名。

在“輸入要選擇的對象名”框中添加 VSS_DB1_Admin 和 VSS_DB1_User 組。

單擊“確定”將這些組添加到“共享權限”選項卡上的“組或用戶名”框中。

選擇 VSS_DB1_Admin 組，然后選中“完全控制”的“允許”復選框。

選擇 VSS_DB1_Use 組，然后選中“更改”的“允許”復選框。

添加并授予組權限

下面將把這兩個 VSS 組添加到數據庫文件夾，刪除所有其他用戶和組繼承的權限，并為這兩個 VSS 組授予訪問數據庫文件夾和其他 VSS 文件夾的適當權限。要使用本文介紹的步驟添加和授予權限，數據庫必須安裝在 NT 文件系統 (NTFS) 上，因為在 NTFS 上可以為各個文件和文件夾分別授予權限，而文件分配表 (FAT) 文件系統則對整個共享應用相同的權限。要共享文件夾，您必須是該計算機的 Windows 管理員。

向數據庫文件夾添加 VSS 組

使用 Windows 資源管理器找到 VSS 數據庫文件夾，并選中該文件夾。

在“文件”菜單上，單擊“屬性”，然后單擊“安全”選項卡。

單擊“添加”。

在“選擇用戶、計算機或組”對話框中，單擊“位置”。

查找并單擊包含 VSS_DB1_Admin 和 VSS_DB1_User 組的“位置”，然后單擊“確定”。

其中，“位置”就是包含 VSS_DB1_Admin 和 VSS_DB1_User 組的計算機名。

在“輸入要選擇的對象名”框中添加 VSS_DB1_Admin 和 VSS_DB1_User 組。

單擊“確定”將這些組添加到“安全”選項卡上的“組或用戶名”框中。

選擇 VSS_DB1_Admin 組，然后選中“完全控制”的“允許”復選框。

選擇 VSS_DB1_Use 組，然后選中“列出文件夾內容”和“讀取”的“允許”復選框。

為確保只將您明確為這兩個 VSS 組定義的權限應用到此文件夾，需要刪除先前從其父文件夾繼承的權限。

刪除數據庫文件夾繼承的權限

單擊“高級”。

在“權限”選項卡上，清除“從父項繼承那些可以應用到子對象的權限項目，包括那些在此明確定義的項目。”復選框。

單擊“刪除”。

在“權限”選項卡上，單擊“確定”。

只有 VSS_DB1_Admin 和 VSS_DB1_User 組列在“組或用戶名”框中。

VSS 數據庫管理員組（例如 VSS_DB1_Admin）需要具有對所有 VSS 文件夾的“完全控制”權限，而 VSS 用戶組被授予的權限應該受到更多的限制。在 VSS 數據庫文件夾下有一個 Users 文件夾，其下為每個 VSS 用戶創建了一個文件夾。您必須將每個 VSS 用戶的“讀取”或“寫入”權限授予相應的 Users/username 文件夾。

授予 VSS 組權限

將以下權限授予 VSS 數據庫文件夾的兩個組：

VSS_DB1_Admin	完全控制
VSS_DB1_Users	讀取及列出文件夾內容

選擇 Data 文件夾，將 VSS_DB1_Users 組的權限設置為“修改”。

選擇 Temp 文件夾，將 VSS_DB1_Users 組的權限設置為“修改”。

為每個 Users/username 文件夾添加使用相應 VSS 登錄的 Windows 用戶，例如，將 Domain\BenSmith 添加到 Users\BenSmith。將該文件夾的用戶權限設置為“修改”。

如果要由 VSS 用戶運行 NetSetup，請選擇文件 Netsetup.exe 并將 VSS_DB1_Users 的權限設置為“執行”。

過程中的安全管理

當有人加入或退出團隊時，需要使用 VSS Administrator 程序和 Windows 權限來增加或刪除單個用戶。

向現有數據庫添加 VSS 用戶

必須使用 VSS Administrator 程序將所有新用戶添加到 VSS 用戶列表中，然后將其添加到某個 Windows 組（例如 VSS_DB1_Admin 或 VSS_DB1_User）中，并將相應的 Users/username 文件夾的權限指定給他們。

創建 VSS 數據庫時，將自動創建 VSS 用戶名 Admin，該用戶名無法刪除。Admin 是用于登錄到 VSS Administrator 程序的唯一 VSS 用戶名，只有 VSS_DB1_Admin 組的成員才有運行 VSS Administrator 程序的相應權限。因此，VSS_DB1_Admin 組中的所有成員都必須使用 VSS 用戶名 Admin 及相應的密碼進行登錄。

添加 VSS 管理員用戶

使用 VSS Administrator 程序選擇所需的數據庫。有關詳細信息，請參閱 Open a VSS Database（英文）。

在 VSS Administrator 程序的 User（用戶）菜單上，單擊 Add User（添加用戶）。

在 User Name（用戶名）框中輸入用戶名。

用戶名最多可以包含 31 個字符，開頭和結尾字符不能為空格，也不能包含任何標點符號。

在 Password（密碼）框中輸入用戶密碼。

密碼最多可以包含 15 個字符，并且可以是任何字符。如果用戶使用網絡名自動登錄，則不用輸入密碼。

單擊 OK（確定）。

向 Windows 組 VSS_DB1_Admin 添加相應的 Windows 用戶。

有關向 Windows 組添加用戶的信息，請參閱 Windows 幫助。

所有 VSS 用戶均必須添加到 VSS_DB1_Users 組，并對 VSS 文件夾擁有相同的 Windows 權限，以及對相應 Users/username 文件夾擁有其他各種權限。您可以使用 VSS Administrator 程序中的 Rights 和 Assignments 命令來管理 VSS 用戶，具體操作是：在用戶使用 VSS Explorer 處理的 VSS 數據庫中為各個 VSS 用戶或各個 VSS 項目指定訪問權限。

添加 VSS 用戶

使用 VSS Administrator 程序選擇所需的數據庫。有關詳細信息，請參閱 Open a VSS Database（英文）。

在 VSS Administrator 程序的 User（用戶）菜單上，單擊 Add User（添加用戶）。

在 User Name（用戶名）框中輸入用戶名。

用戶名最多可以包含 31 個字符，開頭和結尾字符不能為空格，也不能包含任何標點符號。

在 Password（密碼）框中輸入用戶密碼。

密碼最多可以包含 15 個字符，并且可以是任何字符。

要授予用戶只讀權限，請選中 Read only（只讀）復選框。 注意：如果選中 Read only（只讀）復選框，則該用戶在使用 VSS Explorer 時對 VSS 數據庫中的文件具有只讀權限，但對 VSS 文件夾卻與所有其他 VSS 用戶具有相同的 Windows 權限。要使用戶成為只讀 VSS 用戶，請參閱添加只讀 VSS 用戶。

單擊 OK（確定）。

向 Windows 組 VSS_DB1_Users 添加用戶。

授予用戶對相應 Users\username 文件夾的“修改”權限。

添加只讀 VSS 用戶

所有 VSS 用戶對 VSS 文件夾必須擁有相同的 Windows 權限，還要擁有對相應的 Users\username 文件夾的其他各種權限。如果要限制某些 VSS 用戶，使其只能讀取 VSS 數據庫中的文件，那么建議您不要將這些人員設為 VSS 用戶或 VSS_DB1_Users 組中的成員，而應該創建一個影子文件夾，并授予這些人訪問此文件夾的權限。有關影子文件夾的信息，請參閱 Create Shadow Folders（英文）。

安全提示：所有 VSS 用戶都可以訪問 VSS 文件夾并且可以從數據庫中刪除重要信息。

刪除 VSS 用戶

要禁止某用戶的訪問，必須從 VSS 用戶列表中刪除該用戶，從其所在的 VSS Windows 組中刪除該用戶，并且刪除該用戶對 VSS 關聯的所有文件和文件夾（例如項目的影子文件夾）的訪問權限。

注意：無法刪除 VSS 用戶名 Admin。

刪除 VSS 管理員用戶

從 VSS Administrator 程序的用戶列表中選擇 User（用戶）。

在 Users（用戶）菜單上，單擊 Delete User（刪除用戶）。

VSS 將顯示一個警告對話框，詢問您“Are you sure you want to delete?”（是否要刪除？）

單擊 OK（確定）。

該用戶的 Users/username 文件夾及其包含的 Ss.ini 文件都將被刪除。

從 Windows 組 VSS_DB1_ Admin 中刪除該用戶。

刪除管理員創建的不再需要的所有影子文件夾。

影子文件夾的位置包含在 Srcsafe.ini 文件中，請在該文件中查找“Shadow = shadow folder”。

如果管理員具有以下文件夾和文件的權限，請刪除這些權限。

這些文件夾和文件的位置包含在 Srcsafe.ini 文件中：

• 影子文件夾 (Shadow = shadow folder)
• Web 部署文件夾 (Deploy_Path = folder)
• 日志文件 (Journal_File = filename)。

如果管理員將 Web 項目部署到遠程位置，通過文件傳輸協議 (FTP) 使用，請考慮更改與部署路徑相關的密碼。有關信息，請參閱 Web Projects Options Tab（英文）。

刪除 VSS 用戶時，相應的 Users/username 文件夾及其包含的 Ss.ini 文件會自動被刪除。

刪除 VSS 用戶

從 VSS Administrator 程序的用戶列表中選擇 User（用戶）。

在 Users（用戶）菜單上，單擊 Delete User（刪除用戶）。

VSS 將顯示一個警告對話框，詢問您“Are you sure you want to delete?”（是否要刪除？）

單擊 OK（確定）。

從 Windows 用戶組 VSS_DB1_ Users 中刪除該用戶。

如果 Windows 用戶具有以下文件夾和文件的權限，請刪除該用戶的這些權限。

這些文件夾和文件的位置包含在 Srcsafe.ini 文件中：

• 影子文件夾 (Shadow = shadow folder)
• Web 部署文件夾 (Deploy_Path = folder)
• 日志文件 (Journal_File = filename)。

如果 VSS 用戶將 Web 項目部署到遠程位置，通過文件傳輸協議 (FTP) 使用，請考慮更改與部署路徑相關的密碼。有關信息，請參閱 Web Projects Options Tab（英文）。

刪除只讀 VSS 用戶

如果您按照我們的建議，使只讀 VSS 用戶只對影子文件夾具有權限，則請刪除該用戶對影子文件夾的共享權限。

使用 VSS Administrator 程序管理項目權限和用戶任務分配

您可以使用 VSS Administrator 程序中的 Rights 和 Assignments 命令來管理 VSS 用戶，為各個用戶、新增用戶以及項目設置權限，而且還可以編輯用戶屬性，使該用戶具有只讀或讀寫權限。但是，對于 Windows 文件夾，必須授予所有用戶相同的權限以使他們能運行 VSS，因此，當您在 VSS 中更改項目權限或更改用戶任務分配時，請不要更改用戶對 Windows 文件夾的權限。

核對表

在通知您的 VSS 用戶 VSS 已準備就緒之前，請確保已經對數據庫和 VSS 安裝進行了安全設置。請核對以下內容：

• 已從 VSS 數據庫文件夾中刪除 Windows 的 Everyone 用戶組。
• 只有 VSS 組和用戶才有權訪問 VSS 文件夾，在數據庫的 VSS 數據庫文件夾的“安全”選項卡中，沒有列出任何其他的組和用戶，因而也不具有繼承的權限。
• 已為 VSS 創建了兩個 Windows 用戶組：管理員和 VSS 用戶。
• 已正確設置好 VSS 文件夾的權限及其子文件夾的繼承權限： Windows 文件夾或文件管理員VSS 用戶

  VSS 數據庫文件夾	完全控制	讀取 列出文件夾內容
  Data	完全控制（繼承）	修改
  Temp	完全控制（繼承）	修改
  Users/username	完全控制（繼承）	修改
  Netsetup.exe	完全控制（繼承）	執行

• 如果有些 VSS 用戶只需要對 VSS 數據庫中的項目具有讀權限，則可以給這些用戶授予項目影子文件夾的訪問權限，但這些用戶并不是 VSS 用戶組中的成員。
• 對只有管理員才可以訪問的文件夾，刪除 VSS 用戶組的訪問權限。
• 您已經檢查并有選擇地實施了 VSS 數據庫安全簡介中的其他注意事項。
• 已刪除包含敏感或機密信息的文檔，以避免這些文檔被 VSS 數據庫的所有用戶獲得。
• VSS 數據庫管理員已準備了包含添加和刪除 VSS 用戶的過程的說明，以維護數據庫的安全。

請參閱

VSS 數據庫安全性簡介 | Create Shadow Folders（英文）| Access Rights（英文）

轉載于:https://www.cnblogs.com/BpLoveGcy/archive/2005/07/16/194053.html

總結

以上是生活随笔為你收集整理的如何锁定 Visual SourceSafe 数据库（转载）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。