对象库中的每个对象都有安全性设置。创建 IBM® Enterprise Records 对象时,安全性设置由多种方法定义。
安全性设置由以下各项定义:
此外,对象可以继承安全性标记,用户也可以直接将标记分配给对象。有关应用对象安全性的更多信息,请参阅关于设置或修改对象安全性的主题。
后导入脚本 FPOS_PostImport_datamodel.vbs 可将“记录”类和子类(电子、电子邮件和标记)的缺省实例所有者设置为 NULL。此脚本在将数据模型导入对象库时运行。使用“记录”类或子类来申报记录时,该记录将继承该类的“缺省实例所有者”属性。此属性已设置为 NULL。对于 PRO 安装,所有者属性表示管理人。所有者为 NULL 时,IBM Enterprise Records 不会将任何特殊访问权授予任何用户。记录创建者不具有记录的管理权(例如修改记录的安全性)。
您可以使用 IBM Administration Console for Content Platform Engine 将所有者更改为特定用户或组。你可以通过修改“记录”类或子类上的“缺省实例所有者”来更改此所有权。 但是,IBM Enterprise Records 不会将此更改应用于任何现有记录,而只将其应用于在更改后创建的记录。
当申报流程将记录归档至容器中时,记录将继承父容器(称为安全性父项)的安全性。如果您使用 Application Engine 或 Workplace XT 将记录申报至多个容器中,那么安全性父项为您选定的第一个记录容器。
在 IBM Enterprise Records 安装过程中,“记录”类的“缺省实例安全性”会将次版本化/主版本化权限授予“记录主管用户”组。这些权限允许您创建已申报为记录的文档的新版本。如果容器安全性明确地拒绝了某些用户的所有权限,那么此拒绝将传播到记录。但是,类的缺省实例安全性中设置的用户组优先于此传播的拒绝。被拒绝的用户无法浏览至类别,但仍可以通过搜索或报告访问记录。
要避免通过搜索和报告对记录进行广泛访问,请不要进行缺省实例安全性安装步骤。如果您未完成“缺省实例安全性安装”步骤,那么 IBM Enterprise Records 将控制记录和文件夹级别的安全性访问。例如,您可以:
如果您将记录归档到多个文件夹中,那么记录将继续继承第一个文件夹的安全性。第一个文件夹是安全性父文件夹。如果某个记录已归档到多个文件夹中,并且您将该记录从安全性父文件夹移至新文件夹,那么该记录会继承新文件夹的安全性。如果已删除记录的安全性父文件夹,那么安全性继承也会更改。
如何查看和修改归档至多个文件夹的记录的安全性父文件夹:
在该情况下,扫描还使用该安全性父代来选择此记录的当前运行调度。
要将文档申报为记录,必须向用户分配“记录用户”角色,且用户必须具有文档的修改属性权限。作为文档作者,用户对文档具有完全访问权。将该文档申报为记录之后,IBM Enterprise Records 将使用记录的安全性来覆盖文档的安全性。分配至文档的访问权由与文档相关联的记录控制。作者再也无法修改已申报文档的已申报安全性。如果授权用户更新记录的访问权,那么会将从中申报记录的文档更新为具有相同的访问权。
为了使记录用户可以检出、检入已申报为记录的文档,缺省安装步骤会向所有用户授予每个记录的其他许可权。在某些 IBM Enterprise Records 实现中,访问级别较高的用户可以修改记录和文件夹的安全性,以使文档作者可以检出和检入他们的文档。用户必须具有记录的修改内容权限才能创建文档版本。用户必须有记录的查看内容权限才能查看文档的内容。
已申报的文档无法删除,除非其关联的记录被删除。删除文档的约束是由指向记录且使用禁止删除操作的文档属性施加的。 具有完全控制访问权的用户无法删除已申报的文档。删除与文档相关联的记录时,系统会自动删除该文档。 删除操作出现的原因是记录的对象值属性指向文档并使用级联删除操作。