对象库中的每个对象都有关联的安全性设置。您创建 IBM InfoSphere Enterprise Records 对象时,安全性设置由下列各项定义:
此外,对象可以继承安全性标记,用户也可以直接将标记分配给对象。有关应用对象安全性的更多信息,请参阅设置或修改对象的安全性。
后续导入脚本(FPOS_PostImport_datamodel.vbs,在将数据模型导入对象库时运行)可将记录类和子类(电子、电子邮件和标记)的缺省实例所有者设置为 NULL。当用户使用“记录”类或子类来申报记录时,该记录将继承该类的“缺省实例所有者”属性(此属性设置为 NULL)。对于 PRO 安装,所有者属性表示管理人。所有者为 NULL 时,IBM InfoSphere Enterprise Records 不会将任何特殊访问权授予任何用户,并且记录创建者不具有记录的管理权(例如修改记录的安全性)。
您可以通过使用 Enterprise Manager(EM)修改记录类或子类上的缺省实例所有者,来将所有者更改为特定用户或组。但是,IBM InfoSphere Enterprise Records 不会将此更改应用于任何现有记录,而只将其应用于在更改后创建的记录。有关缺省实例安全性的更多信息,请参阅缺省实例安全性和所有权。
有关修改缺省实例所有者的更多信息,请参阅安全性标签。
当申报流程将记录归档至容器中时,记录将继承父容器(称为安全性父项)的安全性。如果您使用 Workplace 将记录申报至多个容器中,那么安全性父即为您选定的第一个记录容器。
警告:在 IBM InfoSphere Enterprise Records 安装过程中,“记录”类的“缺省实例安全性”会将次版本化/主版本化权限授予“RM 用户”组,从而允许用户创建已申报为记录的文档的新版本。如果容器安全性明确地拒绝了某些用户的所有权限,那么此拒绝将传播到记录。但是,类的缺省实例安全性中设置的用户组优先于此传播的拒绝。被拒绝的用户无法浏览至类别,但仍可以通过搜索或报告访问记录。
要避免通过搜索和报告对记录进行广泛访问,请不要进行缺省实例安全性安装步骤。如果您未完成“缺省实例安全性安装”步骤,那么 IBM InfoSphere Enterprise Records 将在记录和文件夹级别控制安全性访问。例如,您可以:
如果您将记录归档到多个文件夹中,那么记录将继续继承第一个文件夹(安全性父文件夹)的安全性。如果记录被归档到多个文件夹中,且您从安全性父文件夹中移出了记录,那么记录将继承从中移动记录的文件夹的安全性。如果记录的安全性父文件夹已删除,安全性继承也会更改。
如何查看和修改被归档到多个文件夹的记录的安全性父文件夹
如何禁用特定记录的安全性继承
警告:如果不完成此步骤,记录和文档(记录从中申报)将没有安全性设置。
要将文档申报为记录,必须向用户分配“记录用户”角色,且用户必须具有文档的修改属性权限。作为文档作者,用户对文档具有完全访问权,但该文档被申报为记录后,IBM InfoSphere Enterprise Records 将使用记录的安全性来覆盖文档的安全性。分配至文档的访问权由文档的记录控制,作者将再也无法修改已申报文档的安全性。如果授权用户更新记录的访问权,也会将从中申报记录的文档更新为具有相同的访问权。
为了使记录用户可以检出、检入已申报为记录的文档,缺省安装步骤会向所有记录用户授予每个记录的其他许可权。在某些 IBM InfoSphere Enterprise Records 实现中,访问级别较高的用户可以修改记录和文件夹的安全性,以使文档作者可以检出和检入他们的文档。用户必须具有记录的修改内容权限才能创建新版本的文档,且必须有记录的查看内容权限才能查看文档的内容。
已申报的文档无法删除,除非其关联的记录被删除。删除文档的约束是由文档上指向记录并使用“禁止删除”操作的属性施加的。具有完全控制访问权的用户无法删除已申报的文档。删除文档的关联记录后,系统将自动删除文档。删除操作出现的原因是记录上的对象值属性指向文档并使用“级联删除”操作。有关“禁止删除”和“级联删除”操作的更多信息,请参阅关于关联属性。