Cada objeto em um armazenamento de objeto tem configurações de segurança. Quando você cria um objeto do IBM® Enterprise Records, as configurações de segurança são definidas por vários métodos.
As configurações de segurança são definidas por:
Além disso, um objeto pode herdar uma marcação de segurança ou um usuário pode atribuir diretamente uma marcação ao objeto. Para obter mais informações sobre como aplicar segurança de objeto, consulte o tópico sobre configurar ou modificar a segurança de objeto.
O script de pós-importação FPOS_PostImport_datamodel.vbs configura o Proprietário da Instância Padrão para a classe e as subclasses Registro, Eletrônico, Email e Marcador, como NULL. Esse script é executado quando você está importando um modelo de dados em um armazenamento de objeto. Quando você declara um registro com a classe Registro ou uma subclasse, o registro herda a propriedade Proprietário da Instância Padrão da classe. Essa propriedade é configurada como NULL. Para uma instalação PRO, a propriedade Proprietário representa o Administrador. Quando o proprietário é NULL, o IBM Enterprise Records não concede nenhum direito de acesso especial a nenhum usuário. Um criador de registro não tem direitos administrativos ao registro, como modificar a segurança de um registro.
É possível usar o IBM Administration Console for Content Platform Engine para alterar o proprietário para um usuário ou grupo específico. Você altera essa propriedade modificando o Proprietário da Instância Padrão na classe Registro ou em uma subclasse. Entretanto, o IBM Enterprise Records não aplica a mudança a nenhum registro existente, mas apenas a registros criados após a mudança.
Quando o processo de declaração arquiva um registro em um contêiner, o registro herda a segurança do contêiner pai, conhecido como o pai da segurança. Se você usar o Application Engine ou Workplace XT para declarar o registro em diversos contêineres, o ascendente de segurança é o primeiro contêiner de registro selecionado.
Durante a instalação do IBM Enterprise Records, a Segurança da Instância Padrão na classe Registro fornece ao grupo Usuário Gerenciador de Registros direitos para Versão Secundária e Versão Principal. Esses direitos permitem criar novas versões de documentos declaradas como registros. Se a segurança do contêiner especificamente negar todos os direitos a alguns usuários, essa negação irá ser propagada para o registro. No entanto, o grupo de usuários configurado na Segurança da Instância Padrão da classe tem precedência sobre essa negação propagada. O usuário negado não pode navegar para a categoria, mas ainda pode ter acesso ao registro através de pesquisa ou relatórios.
Para impedir amplo acesso a registros através de pesquisa e relatórios, não conclua a etapa de instalação da Segurança da instância padrão. Se você não concluir a etapa de Instalação de Segurança da Instância Padrão, o IBM Enterprise Records controlará o acesso de segurança no nível do registro e da pasta. Por exemplo, você pode:
Se você arquivar um registro em mais de uma pasta, o registro continuará herdando sua segurança da primeira pasta. A primeira pasta é a pasta ascendente de segurança. Se um registro for arquivado em mais de uma pasta e você mover o registro da pasta da segurança pai para uma nova pasta, o registro herdará a segurança da nova pasta. A herança de segurança também muda se uma pasta ascendente de segurança do registro for excluída.
Para visualizar e modificar a pasta do ascendente de segurança para um registro que está arquivado em diversas pastas:
Nesse caso, as varreduras também usam esse ascendente de segurança para selecionar o planejamento de execução atual para este registro.
Para declarar um documento como um registro, um usuário deve estar atribuído à função Usuário de registros e deve ter direitos de Modificar propriedades no documento. Como autor do documento, um usuário tem direitos de acesso total ao documento. Após esse documento ser declarado como um registro, o IBM Enterprise Records sobrescreve a segurança do documento com a segurança do registro. Os direitos de acesso designados ao documento são controlados pelo registro associado ao documento. O autor não pode mais modificar a segurança declarada do documento declarado. Se um usuário autorizado atualizar os direitos de acesso para um registro, os mesmos direitos de acesso serão atualizados para o documento a partir do qual o registro é declarado.
Para permitir que usuários de registros efetuem check-out e check-in dos documentos declarados como registros, o procedimento de instalação padrão dá a todos os usuários permissões adicionais em cada registro. Em algumas implementações do IBM Enterprise Records, os usuários com níveis de acesso mais altos podem modificar a segurança para registros e pastas de forma que os autores do documento possam efetuar os registros de saída e de entrada em seus documentos. Um usuário deve ter direitos de Modificar Conteúdo em um registro para criar uma versão do documento. Um usuário também deve ter direitos de Visualizar Conteúdo para visualizar o conteúdo do documento.
Um documento declarado não pode ser excluído até que seu registro associado seja excluído. A restrição da exclusão de um documento é imposta por uma propriedade no documento que aponta para o registro e usa a ação Evitar Exclusão. Um usuário com direitos completos de acesso não pode excluir um documento declarado. O sistema exclui automaticamente um documento quando o registro associado ao documento é excluído. A ação de exclusão ocorre porque a propriedade com valor de objeto no registro aponta para o documento e usa a ação Excluir em Cascata.