IBM Enterprise Records, 版本 5.1.+            

对象安全性

对象库中的每个对象都有关联的安全性设置。创建 IBM® Enterprise Records 对象时,安全性设置由多种方法定义。

安全性设置由以下各项定义:

此外,对象可以继承安全性标记,用户也可以直接将标记分配给对象。有关应用对象安全性的更多信息,请参阅设置或修改对象安全性

记录安全性

后导入脚本 FPOS_PostImport_FPOS_PostImport_datamodel.vbs.vbs(在将数据模型导入对象库时运行)可将记录类和子类(电子、电子邮件和标记)的缺省实例所有者设置为 NULL。当用户使用“记录”类或子类来申报记录时,该记录将继承该类的“缺省实例所有者”属性(此属性设置为 NULL)。对于 PRO 安装,所有者属性表示管理人。所有者为 NULL 时,IBM Enterprise Records 不会将任何特殊访问权授予任何用户,并且记录创建者不具有记录的管理权(例如修改记录的安全性)。

您可以通过使用 Enterprise Manager (EM) 修改记录类或子类上的缺省实例所有者,来将所有者更改为特定用户或组。但是,IBM Enterprise Records 不会将此更改应用于任何现有记录,而只将其应用于在更改后创建的记录。

当申报流程将记录归档至容器中时,记录将继承父容器(称为安全性父项)的安全性。如果您使用 Application EngineWorkplace XT 将记录申报至多个容器中,那么安全性父项为您选定的第一个记录容器。

IBM Enterprise Records 安装过程中,“记录”类的“缺省实例安全性”会将次版本化/主版本化权限授予“RM 用户”组,这将允许用户创建已申报为记录的文档的新版本。如果容器安全性明确地拒绝了某些用户的所有权限,那么此拒绝将传播到记录。但是,类的缺省实例安全性中设置的用户组优先于此传播的拒绝。被拒绝的用户无法浏览至类别,但仍可以通过搜索或报告访问记录。

要避免通过搜索和报告对记录进行广泛访问,请不要进行缺省实例安全性安装步骤。如果您未完成“缺省实例安全性安装”步骤,那么 IBM Enterprise Records 将控制记录和文件夹级别的安全性访问。例如,您可以:

继承的安全性

如果您将记录归档到多个文件夹中,那么记录将继续继承第一个文件夹(安全性父文件夹)的安全性。如果某个记录已归档到多个文件夹中,并且您将该记录从安全性父文件夹移至新文件夹,那么该记录会继承新文件夹的安全性。如果记录的安全性父文件夹已删除,安全性继承也会更改。

如何查看和修改归档至多个文件夹的记录的安全性父文件夹:

  1. 浏览至该记录。
  2. 单击获取信息
  3. 在“记录信息”下面,选择归档于
  4. 选择安全性父文件夹。
  5. 单击接受来应用更改。

在该情况下,扫描还使用该安全性父代来选择此记录的当前运行调度。

要点:IBM Enterprise Records 中,不支持禁用安全性继承。

文档安全性

要将文档申报为记录,必须向用户分配“记录用户”角色,且用户必须具有文档的修改属性权限。作为文档作者,用户对文档具有完全访问权,但该文档申报为记录后,IBM Enterprise Records 将使用记录的安全性来覆盖文档的安全性。分配至文档的访问权由文档的记录控制,作者将再也无法修改已申报文档的安全性。如果授权用户更新记录的访问权,也会将从中申报记录的文档更新为具有相同的访问权。

为了使记录用户可以检出、检入已申报为记录的文档,缺省安装步骤会向所有记录用户授予每个记录的其他许可权。在某些 IBM Enterprise Records 实现中,访问级别较高的用户可以修改记录和文件夹的安全性,以使文档作者可以检出和检入他们的文档。用户必须具有记录的修改内容权限才能创建新版本的文档,且必须有记录的查看内容权限才能查看文档的内容。

已申报的文档无法删除,除非其关联的记录被删除。删除文档的约束是由指向记录且使用禁止删除操作的文档属性施加的。 具有完全控制访问权的用户无法删除已申报的文档。删除文档的关联记录后,系统将自动删除文档。删除操作出现的原因是记录的对象值属性指向文档并使用级联删除操作。



反馈

最近一次更新时间: 2011 年 8 月


© Copyright IBM Corporation 2011.
本信息中心基于 Eclipse 技术。(http://www.eclipse.org)