IBM Enterprise Records Version 5.1.2    

Objekt-Zugriffsberechtigungen

Jedes in einem Objektspeicher verwahrte Objekt ist mit Zugriffsberechtigungseinstellungen versehen. Beim Erstellen eines IBM® Enterprise Records-Objekts werden die Zugriffsberechtigungseinstellungen durch verschiedene Methoden definiert.

Die Zugriffsberechtigungseinstellungen werden folgendermaßen definiert:

Darüber hinaus kann ein Objekt auch eine Sicherheitsmarkierung übernehmen bzw. eine solche direkt vom Benutzer zugewiesen bekommen. Weitere Informationen zum Anwenden von Objekt-Zugriffsberechtigungen finden Sie im Thema über das Festlegen oder Ändern von Objekt-Zugriffsberechtigungen.

Aktensicherheit:

Das Post-Import-Script FPOS_PostImport_Datenmodell.vbs setzt den Standardinstanzeigner für die Schriftstückklasse und -unterklassen (elektronisch, E-Mail und Marker) auf NULL. Dieses Script wird beim Importieren eines Datenmodells in einen Objektspeicher ausgeführt. Wenn Sie ein Schriftstück mit der Schriftstückklasse oder einer Unterklasse deklarieren, übernimmt das Schriftstück die Eigenschaft des Standardinstanzeigners der Klasse. Diese Eigenschaft ist auf NULL gesetzt. Bei einer PRO-Installation stellt die Eignereigenschaft den Verwalter dar. Wenn der Eigner NULL ist, gewährt IBM Enterprise Records keine Zugriffsrechte für Benutzer. Ein Schriftstückersteller hat keine Administratorrechte für das Schriftstück, wie beispielsweise zum Ändern der Zugriffsberechtigungen.

Mit IBM Administration Console for Content Platform Engine können Sie den Eigner in einen bestimmten Benutzer oder eine Gruppe ändern. Zu diesem Zweck ändern Sie den Standardinstanzeigner der Schriftstückklasse oder einer Unterklasse. IBM Enterprise Records übernimmt jedoch die Änderung nicht für bestehende Schriftstücke, sondern wendet sie nur auf neu erstellte an.

Wenn bei der Deklarierung ein Datensatz in einen Container abgelegt wird, übernimmt der Datensatz die Sicherheitseinstellungen des übergeordneten Containers, auch Security Parent genannt. Wenn Sie das Schriftstück mithilfe von Application Engine oder Workplace XT in mehreren Containern deklarieren, sind die übergeordneten Berechtigungseinstellungen der erste ausgewählte Schriftstückcontainer.

Während der Installation von IBM Enterprise Records erteilt die Standardinstanzsicherheit in der Schriftstückklasse der Records Manager-Benutzergruppe Rechte für Neben- und Hauptversionen. Mit diesen Rechten können Benutzer neue Versionen von Dokumenten erstellen, die als Schriftstücke deklariert sind. Wenn die Container-Sicherheit bestimmten Benutzern ausdrücklich alle Rechte verweigert, propagiert sich diese Verweigerung bis zum einzelnen Datensatz. Jedoch hat die in der Standardinstanzsicherheit der Klasse eingerichtete Benutzergruppe Vorrang vor dieser weitergegebenen Verweigerung. Der Benutzer, dem die Rechte verweigert werden, kann also die Kategorie nicht durchsuchen, kann jedoch trotzdem anhand von Such- oder Berichtfunktionen auf den Datensatz zugreifen.

Um breiten Zugriff auf Datensätze über Suchen und Berichte zu verhindern, führen Sie den Standard-Instanzenberechtigung-Installationsschritt nicht aus. Wenn Sie den Schritt nicht ausführen, steuert IBM Enterprise Records den Sicherheitszugriff auf Schriftstück- und Ordnerebene. Folgende Funktionen stehen zur Auswahl:

Übernommene Sicherheit

Wenn Sie ein Schriftstück in mehreren Ordnern ablegen, übernimmt es seine Zugriffsberechtigungen weiterhin vom ersten Ordner. Der erste Ordner ist der Ordner mit Berechtigungsweitergabe. Wenn ein Schriftstück in mehr als einem Ordner abgelegt wird und Sie das Schriftstück aus dem Ordner mit den übergeordneten Berechtigungseinstellungen in einen neuen Ordner verschieben, übernimmt das Schriftstück die Zugriffsberechtigungen des neuen Ordners. Dasselbe gilt auch, wenn ein Ordner mit Berechtigungsweitergabe des Schriftstücks gelöscht wird.

So zeigen Sie den Ordner mit den übergeordneten Berechtigungseinstellungen für ein Schriftstück an, das in mehreren Ordnern abgelegt ist, und ändern ihn:

  1. Navigieren Sie zu diesem Schriftstück.
  2. Klicken Sie auf Informationen abrufen.
  3. Wählen Sie unter Schriftstückinformationen die Option Abgelegt in aus.
  4. Wählen Sie einen Ordner mit übergeordneten Berechtigungseinstellungen aus.
  5. Klicken Sie auf "Akzeptieren", um Ihre Änderungen anzuwenden.

In diesem Fall verwenden die Scanvorgänge auch diese übergeordneten Berechtigungseinstellungen, zum Auswählen des aktuell aktiven Zeitplans für dieses Schriftstück.

Wichtig: Die Inaktivierung der Vererbung von Zugriffsberechtigungen wird in IBM Enterprise Records nicht unterstützt.

Dokumentsicherheit

Um ein Dokument als Datensatz zu deklarieren, muss ein Benutzer die Datensatzbenutzerrolle und Rechte zum Ändern von Eigenschaften für das Dokument haben. Als Autor eines Dokuments besitzt ein Benutzer die vollständigen Zugriffsrechte am Dokument. Nachdem das Dokument als Schriftstück deklariert wurde, überschreibt IBM Enterprise Records die Zugriffsberechtigungen des Dokuments durch die Zugriffsberechtigungen des Schriftstücks. Die dem Dokument zugewiesenen Zugriffsrechte werden von dem Schriftstück bestimmt, das dem Dokument zugeordnet ist. Der Ersteller kann die deklarierten Zugriffsberechtigungen des deklarierten Dokuments nicht mehr ändern. Wenn ein berechtigter Benutzer Zugriffsrechte für ein Schriftstück aktualisiert, werden dieselben Zugriffsrechte für das Dokument aktualisiert, von dem aus das Schriftstück deklariert wird.

Das Standardinstallationsverfahren erteilt allen Benutzern für jedes Schriftstück zusätzliche Berechtigungen, um Schriftgutnutzern die Möglichkeit zu geben, als Schriftstücke deklarierte Dokumente aus- und einzuchecken. In einigen IBM Enterprise Records-Implementierungen können Benutzer mit höheren Zugriffsrechten die Zugriffsberechtigungen für Schriftstücke und Ordner ändern, sodass Dokumentersteller ihre Dokumente ein- und auschecken können. Ein Benutzer muss das Recht zum Ändern von Inhalt eines Schriftstücks haben, um eine neue Version des Dokuments erstellen zu können. Er muss auch Rechte zur Anzeige von Inhalten besitzen, um Einsicht in den Inhalt eines Dokuments zu nehmen.

Ein deklariertes Dokument kann so lange nicht gelöscht werden, bis der damit verbundene Datensatz gelöscht wird. Diese Einschränkung beim Löschen eines Dokuments wird durch eine Dokumenteneigenschaft bestimmt, die auf das Schriftstück verweist und die Aktion Löschen verhindern verwendet. Ein Benutzer mit vollständigen Zugriffsrechten kann ein deklariertes Dokument nicht löschen. Das System löscht ein Dokument automatisch, wenn das zugehörige Schriftstück gelöscht wird. Die Löschaktion erfolgt, weil die objektbezogene Eigenschaft des Schriftstücks auf das Dokument verweist und die Aktion Löschweitergabe anwendet.



Feedback

Letzte Aktualisierung: November 2013
object_security.htm

© Copyright IBM Corp. 2013