管理安全性

安全性设置可保护从应用程序访问的所有对象(例如文档、文件夹、存储的搜索、搜索模板、条目模板、表单、发布模板和定制对象)。通常,管理员为您的站点定义用户、组以及缺省安全性。根据您站点的设置,可以在添加新文件夹、文档或对象时,以及在发布文档、检入文档或查看对象“信息”页面时设置安全性许可权。更改对象的安全性需要相应的许可权。

本节中的主题将帮助您了解安全性设置及如何应用它们。

缺省安全性

通常,管理员可以定义文档类、文件夹类和定制对象类的缺省安全性。定义缺省安全性的其他方法是通过:

如果您拥有相应的许可权,则可以更改对象的安全性。

注意:管理员可以设置在您添加或检入文档或者添加文件夹时隐藏安全性页面的站点首选项。如果添加文档或文件夹时隐藏了安全性页面,则将应用文档或文件夹类的缺省安全性,并且还可能由安全策略定义文档缺省安全性。当您检入文档时,缺省安全性来源于上次检出(保存对象)过程中应用的设置和安全策略(如果文档中已使用)。有关保留对象的详细信息,请参阅有关版本控制

安全性设置

对象的基本安全性页面可显示已授予访问对象权限的用户和组的列表,并显示已授予的许可权级别。从此页面,您可以查看或分配对象的安全策略,或添加新用户和组,或者修改现有用户和组的许可权。

注意:管理员可以使用其他工具管理安全性。此工具的安全性设置称为访问控制列表 (ACL)。该工具作为访问控制条目 (ACE) 还可标识每个用户和组的头衔及其许可权。

下图显示了名为考勤表的文档的安全性设置。安全策略当前分配给文档并控制着缺省安全性。选中标记可显示授予每个用户或组的许可权。

安全性示例

在某些情况下,项的安全性设置中可能会多次列出特定的用户或组。在这些情况中,用户或组的安全性设置来源于多个源。例如,如果用户“abrown”具有继承、从安全策略获取以及直接设置的访问权,那么他的用户名可能列出三次。另外,当启用了可选的 IBM InfoSphere Enterprise Records 扩展产品时,记录管理设置还可对文档应用更多安全性。您可以单击用户名或组名以查看这些设置的详细信息。如下表中所示的图标表示安全性设置的源。

图标 描述
无图标 直接设置安全性设置(显式)。
设置来源于文件夹继承 安全性设置来源于文件夹继承。
设置传播至所有子文件夹 安全性设置从一个文件夹传送至其子文件夹的所有级别。
设置传播至下一级文件夹 安全性设置从一个文件夹降低一个级别下传至下一子文件夹。
设置来源于安全策略 安全性设置来源于安全策略。(图标仅适用于 Workplace XT)

注意:配置继承性后,安全性父项可以代表文档安全性的源。当添加新文件夹时,还可以将父文件夹的继承性应用到文件夹。管理员定义管理安全性继承性的规则。

许可权级别

许可权级别是一组许可权,确定授予特定用户或组访问某个对象的访问权的组合类型。例如,“修改内容”控制着用户检出文档、以次版本检入文档和取消文档检出的许可权。

注意:可用许可权级别取决于选定对象的类型。

您可以将许可权设置为“允许”或“拒绝”。此类许可权可以关联到其他许可权。当您更改“允许”或“拒绝”设置时,此更改将影响相关设置。例如,当您将“修改内容”设置为“允许”时,“修改属性”、“查看内容”和“查看属性”同样会接收到“允许”设置。

下图为您显示了特定文档的“人力资源经理”组的当前许可权设置。“所有者控制”和“发布”的许可权已设置为“隐式拒绝”。“隐式拒绝”意味着不存在特定的设置。组帐户拒绝这些访问权,直到通过其他方式授予了访问权。示例显示“人力资源经理”组尚未明确地授予此文档“所有者控制”和“发布”访问权,但请注意其可能已通过其他方式(例如通过直接分配访问权或通过其他组的成员资格)授予了组成员访问权此示例中的其他设置均来源于安全策略。如有需要,您可以通过选择任何设置的“允许”或“拒绝”以覆盖这些设置中任何一个设置。

人力资源经理组的当前安全性设置。

注意:虽然“发布”许可权显示在 Workplace XT 中,但是您必须通过 Workplace 来执行发布操作。

许可权说明

下表的条目介绍了每项许可权。

许可权 描述
所有者控制 “所有者控制”许可权允许用户完全控制对象。用户可以删除对象并设置对象的安全性。根据缺省,最初将对象添加到对象库的用户拥有该对象的“所有者控制”许可权。
  • 当您将“所有者控制”设置为“允许”时,所有其他许可权将自动设置为“允许”。
  • 当您将“所有者控制”设置为“拒绝”时,将不会更改其他许可权。
升级版本
(仅限于文档)
“升级版本”允许用户升级和降级文档。您可以检出文档、作为主版本再次检入、取消文档检出以及升级或降级文档版本。有关版本控制的详细信息,请参阅管理文档版本控制
  • 当您将“升级版本”设置为“允许”时,“修改内容”、“修改属性”、“查看内容”和“查看属性”将自动设置为“允许”。
  • 当您将“升级版本”设置为“拒绝”时,“所有者控制”也将设置为“拒绝”。

注意:Application Integration 没有升级和降级功能。

修改内容
(仅限于文档)
“修改内容”允许用户检出文档、作为次版本再次检入或取消检出。
  • 当您将“修改内容”设置为“允许”时,“修改属性”、“查看内容”和“查看属性”将自动设置为“允许”。
  • 当您将“修改内容”设置为“拒绝”时,“所有者控制”和“升级版本”均将设置为“拒绝”。

使用适当的设计器工具时,拥有“修改内容”访问权的用户将无法修改搜索模板、存储的搜索、发布模板或工作流程。通过搜索或流程设计器应用检出需要“升级版本”访问权。

修改属性 “修改属性”允许用户更改对象的属性。
  • 当您将“修改属性”设置成“允许”时,文档的“查看内容”和“查看属性”将自动设置为“允许”。
  • 将文件夹“修改属性”设置为“允许”也将自动设置“查看属性”。
  • 当您将“修改属性”设置为“拒绝”时,“所有者控制”、“升级版本”(仅限于文档)、“修改内容”(仅限于文档)和“发布”(仅限于文档)也均将设置为“拒绝”。
查看内容
(仅限于文档)
“查看内容”允许用户查看文档对象的内容(包括存储的搜索、搜索模板、工作流程以及条目模板)。例如,如果对象是电子表格文档,则用户可以打开并查看电子表格。
  • 当您将“查看内容”设置为“允许”时,“查看属性”将自动设置为“允许”。
  • 当您将“查看内容”设置为“拒绝”时,“所有者控制”、“升级版本”、“修改内容”、“修改属性”和“发布”也将设置为“拒绝”。
查看属性 “查看属性”允许用户查看文件夹或对象的属性。
  • 将“查看属性”设置为“允许”不会更改其他任何设置。
  • 缺省情况下,将“查看属性”设置为“拒绝”会将其他许可权也设置为“拒绝”。
发布
(仅限于文档)
“发布”许可权允许用户发布现有文档。
  • 当您将“发布”设置为“允许”时,“查看内容”、“查看属性”和“修改属性”均将自动设置为“允许”。
  • 将“发布”设置为“拒绝”也会将“所有者控制”设置为“拒绝”。

注意:发布操作必须通过 Workplace 执行。

创建子文件夹
(仅限于文件夹)
“创建子文件夹”允许用户将子文件夹添加至现有文件夹。
  • 将“创建子文件夹”设置为“允许”时会将“查看属性”自动设置为“允许”。
  • 将“创建子文件夹”设置为“拒绝”也会将“所有者控制”设置为“拒绝”。
在文件夹中归档
(仅限于文件夹)
“在文件夹中归档”允许用户将文档添加至文件夹。
  • 将“在文件夹中归档”设置为“允许”时会将“查看属性”自动设置为“允许”。
  • 将“在文件夹中归档”设置为“拒绝”会将“所有者控制”自动设置为“拒绝”。

注意: 

  • “在文件夹中归档”不会授予将子文件夹添加到文件夹的许可权。要添加子文件夹,用户必须有“创建子文件夹”的许可权。
  • 在文档上设置的安全性许可权不能控制您使用哪个文件夹存储文档。但是,文件夹安全性可控制这些许可权。如果您拥有文档的“查看属性”许可权,则仅当您拥有文件夹的“在文件夹中归档”访问权时,可以归档、移动或取消归档文档。

可用许可权级别

使用下表确定对象的可用许可权级别。Workplace XT 中不支持定制对象和发布模板。

文档 注释
(图像查看器)
文件夹 定制对象和安全策略 存储的搜索和发布模板
所有者控制
升级版本
修改内容
修改属性
查看内容
查看属性
发布
所有者控制
修改内容
查看内容
所有者控制
修改属性
创建子文件夹
在文件夹中归档
查看属性
所有者控制
修改属性
查看属性
所有者控制
升级版本
修改内容
修改属性
查看内容
查看属性

注意:在 Workplace XT 中,条目模板定义、搜索模板和工作流程定义是具有特殊类的文档。存储的搜索许可权适用于这些特殊类型的文档。工作流程定义可显示“发布”许可权,但是您无法发布工作流程。

注释和文档许可权交互

图像查看器的注释功能允许用户将注释添加到现有文档中。除可以定义文档的安全性之外,还可定义每个注释项的安全性。管理员将确定注释的缺省安全性是来源于文档对象缺省安全性设置,还是来源于注释类缺省安全性设置。管理员定义类及它们的缺省安全性设置。

添加、编辑或删除注释的能力由文档和注释的安全性确定,如下表所述。

注释操作 所需文档许可权 所需注释许可权 产生的注释许可权
查看注释 查看内容 查看内容 相同
添加注释 修改内容 不适用 所有者控制,以及从文档继承的安全性
编辑注释 修改内容 修改内容 相同
删除注释 修改内容 所有者控制 不适用
更改注释安全性设置 修改内容 所有者控制 设置安全性设置

注意:注释安全性可以防止用户删除对其具有删除权限的文档。用户必须拥有删除所有注释的权限以及删除文档的权限,才能删除该文档。

系统说明

“系统说明”显示在许可权设置页面上。这些说明为您提供信息,以帮助您了解每个设置的源。下表显示了这些说明并说明其源。

系统说明 描述
高级系统定义设置 这些设置表示一个或多个源。
因安全策略而拒绝 根据安全策略设置“拒绝”许可权。
因安全策略而允许 根据安全策略设置“允许”许可权。
因高级系统定义设置而拒绝 通过安全性模板许可权和从父文件夹继承的许可权的累积权限设置“拒绝”许可权。
因高级系统定义设置而允许 通过安全性模板许可权和从父文件夹继承的许可权的累积权限设置“允许”许可权。
因继承的安全性而拒绝 通过从父文件夹继承的许可权设置“拒绝”许可权。
因继承的安全性而允许 通过从父文件夹继承的许可权设置“允许”许可权。
隐式拒绝 未设置显式或继承的系统许可权。可以通过其他访问控制条目授予或拒绝对帐户的访问权。除非将许可权明确设置为“允许”,否则安全性模式将拒绝访问对象。