IBM Enterprise Records, Version 5.1.+            

Objekt-Zugriffsberechtigungen

Jedes in einem Objektspeicher verwahrte Objekt ist mit Sicherheitseinstellungen versehen. Beim Erstellen eines IBM® Enterprise Records-Objekts werden die Zugriffsberechtigungseinstellungen durch eine Vielzahl von Methoden definiert.

Die Zugriffsberechtigungseinstellungen werden folgendermaßen definiert:

Darüber hinaus kann ein Objekt auch eine Sicherheitsmarkierung übernehmen bzw. eine solche direkt vom Benutzer zugewiesen bekommen. Weitere Informationen zum Anwenden von Objektzugriffsberechtigungen finden Sie in Festlegen oder Ändern der Objektsicherheit.

Aktensicherheit:

Das Post-Import-Script FPOS_PostImport_Datenmodell.vbs, das beim Importieren eines Datenmodells in einen Objektspeicher ausgeführt wird, stellt den Standard-Instanzeigner für die Schriftstückklasse und -unterklassen (elektronisch, E-Mail und Marker) auf NULL. Wenn ein Benutzer ein Schriftstück mit der Schriftstückklasse oder einer Unterklasse deklariert, übernimmt das Schriftstück die Eigenschaft des Standard-Instanzeigners der Klasse, die auf NULL gesetzt ist. Bei einer PRO-Installation stellt die Eignereigenschaft den Verwalter dar. Wenn der Eigner NULL ist, gewährt IBM Enterprise Records keine Zugriffsrechte für Benutzer und ein Schriftstückersteller hat keine Administratorrechte für das Schriftstück, wie beispielsweise zum Ändern der Zugriffsberechtigungen.

Mit Enterprise Manager (EM) können Sie den Eigner in einen bestimmten Benutzer oder eine Gruppe ändern. Zu diesem Zweck ändern Sie den Standard-Instanzeigner der Schriftstückklasse oder einer Unterklasse. IBM Enterprise Records übernimmt jedoch die Änderung nicht für bestehende Schriftstücke, sondern wendet sie nur auf neu erstellte an.

Wenn bei der Deklarierung ein Datensatz in einen Container abgelegt wird, übernimmt der Datensatz die Sicherheitseinstellungen des übergeordneten Containers, auch Security Parent genannt. Wenn Sie das Schriftstück mithilfe von Application Engine oder Workplace XT in mehreren Containern deklarieren, sind die übergeordneten Berechtigungseinstellungen der erste ausgewählte Schriftstückcontainer.

Während der Installation von IBM Enterprise Records erteilt die Standard-Instanzzugriffsberechtigung der Schriftstückklasse der RM-Benutzergruppe Rechte für Neben- und Hauptversionen, mit denen Benutzer neue Versionen von Dokumenten erstellen können, die als Schriftstücke deklariert sind. Wenn die Container-Sicherheit bestimmten Benutzern ausdrücklich alle Rechte verweigert, propagiert sich diese Verweigerung bis zum einzelnen Datensatz. Jedoch hat die in der Standard-Instanz-Sicherheit der Klasse eingerichtete Benutzergruppe Vorrang vor dieser propagierten Verweigerung. Der Benutzer, dem die Rechte verweigert werden, kann also die Kategorie nicht durchsuchen, kann jedoch trotzdem anhand von Such- oder Berichtfunktionen auf den Datensatz zugreifen.

Um breiten Zugriff auf Datensätze über Suchen und Berichte zu verhindern, führen Sie den Standard-Instanzenberechtigung-Installationsschritt nicht aus. Wenn Sie den Schritt nicht ausführen, steuert IBM Enterprise Records den Sicherheitszugriff auf Schriftstück- und Ordnerebene. Folgende Funktionen stehen zur Auswahl:

Übernommene Sicherheit

Wenn Sie einen Datensatz in mehr als einen Ordner ablegen, übernimmt er seine Sicherheit weiterhin vom ersten Ordner (dem Security Parent). Wenn ein Schriftstück in mehr als einem Ordner abgelegt wird und Sie das Schriftstück aus dem Ordner mit den übergeordneten Berechtigungseinstellungen in einen neuen Ordner verschieben, übernimmt das Schriftstück die Zugriffsberechtigungen des neuen Ordners. Dasselbe gilt auch, wenn der Security Parent eines Datensatzes gelöscht wird.

So zeigen Sie den Ordner mit den übergeordneten Berechtigungseinstellungen für ein Schriftstück an, das in mehreren Ordnern abgelegt ist, und ändern ihn:

  1. Navigieren Sie zu diesem Schriftstück.
  2. Klicken Sie auf Informationen abrufen.
  3. Wählen Sie unter Schriftstückinformationen die Option Abgelegt in aus.
  4. Wählen Sie einen Ordner mit übergeordneten Berechtigungseinstellungen aus.
  5. Klicken Sie auf "Akzeptieren", um Ihre Änderungen anzuwenden.

In diesem Fall verwenden die Scanvorgänge auch diese übergeordneten Berechtigungseinstellungen, zum Auswählen des aktuell aktiven Zeitplans für dieses Schriftstück.

Wichtig: Die Inaktivierung der Vererbung von Zugriffsberechtigungen wird in IBM Enterprise Records nicht unterstützt.

Dokumentsicherheit

Um ein Dokument als Datensatz zu deklarieren, muss ein Benutzer die Datensatzbenutzerrolle und Rechte zum Ändern von Eigenschaften für das Dokument haben. Als Autor eines Dokuments besitzt ein Benutzer die vollständigen Zugriffsrechte am Dokument. Doch wenn das Dokument als Schriftstück deklariert wird, dann überschreibt IBM Enterprise Records die Zugriffsberechtigungen des Dokuments durch die Zugriffsberechtigungen des Schriftstücks. Die dem Dokument zugewiesenen Zugriffsrechte werden vom Datensatz des Dokuments bestimmt und der Ersteller kann die Sicherheitseinstellungen des deklarierten Dokuments nicht mehr ändern. Wenn ein autorisierter Benutzer Zugriffsrechte für einen Datensatz aktualisiert, werden dieselben Zugriffsrechte für das Dokument aktualisiert, von dem aus der Datensatz deklariert wird.

Um Datensatzbenutzern die Möglichkeit zu geben, als Datensätze deklarierte Dokumente aus- und einzuchecken, gibt das Standardinstallationsverfahren allen Datensatzbenutzern für jeden Datensatz zusätzliche Berechtigungen. In einigen IBM Enterprise Records-Implementierungen können Benutzer mit höheren Zugriffsrechten die Zugriffsberechtigungen für Schriftstücke und Ordner ändern, sodass Dokumentersteller ihre Dokumente ein- und auschecken können. Ein Benutzer muss das Recht zum Ändern von Inhalt an einem Datensatz haben, um eine neue Version des Dokuments erstellen zu können, und muss Rechte zur Anzeige von Inhalten besitzen, um Einsicht in den Inhalt eines Dokuments zu nehmen.

Ein deklariertes Dokument kann so lange nicht gelöscht werden, bis der damit verbundene Datensatz gelöscht wird. Diese Einschränkung beim Löschen eines Dokuments wird durch eine Dokumenteneigenschaft bestimmt, die auf das Schriftstück verweist und die Aktion Löschen verhindern verwendet. Ein Benutzer mit vollständigen Zugriffsrechten kann ein deklariertes Dokument nicht löschen. Das System löscht ein Dokument automatisch, wenn der dazugehörige Datensatz gelöscht wird. Die Löschaktion erfolgt, weil die objektbezogene Eigenschaft des Schriftstücks auf das Dokument verweist und die Aktion Löschweitergabe anwendet.



Feedback

Letzte Aktualisierung: August 2011


© Copyright IBM Corp. 2011.
Dieses Information Center basiert auf Eclipse-Technologie. (http://www.eclipse.org)