Cada objeto de un almacén de objetos tiene asociadas opciones de seguridad. Al crear un objeto de IBM® Enterprise Records, las opciones de seguridad se definen mediante distintos métodos.
Las opciones de seguridad se definen mediante:
Además, un objeto puede heredar una marca de seguridad o bien un usuario puede asignar directamente una marca al objeto. Para obtener más información acerca de la aplicación de la seguridad de objetos, consulte Definir o modificar la seguridad de un objeto.
La secuencia de comandos de postimportación FPOS_PostImport_modelo de datos.vbs, que se ejecuta al importar un modelo de datos a un almacén de objetos, establece en NULL la propiedad Propietario de la instancia predeterminada para la clase Registro y las subclases Electrónico, Correo electrónico y Marcado. Si un usuario declara un registro con la clase Registro o una subclase, el registro hereda la propiedad Propietario de la instancia predeterminada de la clase establecida en NULL. En una instalación PRO, la propiedad Propietario representa el Custodio. Cuando el propietario es NULL, IBM Enterprise Records no concede derechos de acceso especiales a ningún usuario. Un creador de registros no tiene derechos administrativos sobre el registro, como la modificación de la seguridad del registro.
Puede utilizar Enterprise Manager (EM) para cambiar la propiedad Propietario a un usuario o grupo. Para ello, modifique Propietario de instancia predeterminada en la clase Registro o en una subclase. Sin embargo, IBM Enterprise Records o aplica el cambio a ningún registro existente, sino solo a registros creados después del cambio.
Si el proceso de declaración archiva un registro en un contenedor, el registro hereda la seguridad del contenedor principal, denominado superior de seguridad. Si utiliza Application Engine o Workplace XT para declarar el registro en varios contenedores, el superior de seguridad es el primer contenedor de registros que haya seleccionado.
Durante la instalación de IBM Enterprise Records, la seguridad de instancia predeterminada de la clase Registro concede al grupo usuarios de RM derechos en versiones mayores y menores, lo cual permite a los usuarios crear versiones de documentos declarados como registros. Si la seguridad del contenedor deniega todos los derechos a determinados usuarios, la denegación se propaga al registro. No obstante, el grupo de usuarios configurado en la seguridad de instancia predeterminada tiene prioridad sobre esta denegación propagada. El usuario denegado no puede acceder a la categoría pero sigue disponiendo de acceso al registro mediante la búsqueda o informes.
Para impedir el acceso masivo a registros a través de la búsqueda y los informes, no complete el paso de instalación Seguridad de instancia predeterminada. Si no completa el paso de instalación Seguridad de instancia predeterminada, IBM Enterprise Records controla el acceso de seguridad en el nivel de la carpeta y el registro. Por ejemplo, puede:
Si un registro se archiva en más de una carpeta, dicho registro sigue heredando la seguridad de la primera carpeta, la carpeta del superior de seguridad. Si un registro se archiva en más de una carpeta y el registro se traslada de la carpeta de superior de seguridad a una nueva carpeta, el registro hereda la seguridad de la nueva carpeta. La herencia de seguridad también cambia, si se elimina la carpeta del superior de seguridad de un registro.
Para ver y modificar la carpeta del superior de seguridad de un registro que se archiva en varias carpetas:
En este caso, los barridos utilizan también ese padre de seguridad para seleccionar el programa de ejecución actual para este registro.
Para declarar como registro un documento, se debe asignar a un usuario el rol Usuario de registros, y debe disponer de derechos para modificar las propiedades en el documento. Al igual que el autor del documento, un usuario tiene derechos completos de acceso al documento, pero cuando el documento se declara como registro, IBM Enterprise Records sobrescribe la seguridad del documento con la del registro. El registro del documento controla los derechos de acceso asignados al documento. El autor no puede modificar más la seguridad del documento declarado. Si un usuario autorizado actualiza los derechos de acceso de un registro, los mismos derechos se actualizan también en el documento a partir del cual se declara el registro.
Para que los usuarios de registros puedan registrar y extraer documentos declarados como registros, el procedimiento de instalación predeterminada concede a todos los usuarios de registros permisos adicionales en cada registro. En algunas implementaciones de IBM Enterprise Records, los usuarios con niveles superiores de acceso pueden modificar la seguridad en registros y carpetas, a fin de que los autores de documentos puedan extraer y registrar en sus documentos. Para crear otra versión del documento, los usuarios deben tener el derecho Modificar contenido; para poder ver el contenido del documento, deben tener el derecho Ver contenido.
Un documento declarado no se puede eliminar hasta que no se elimine su registro asociado. La limitación de eliminar un documento está impuesta por una propiedad del documento que hace referencia al registro y utiliza la acción Evitar eliminación. Ni siquiera un usuario con derechos de acceso Control completo puede eliminar un documento declarado. El sistema elimina automáticamente un documento cuando se elimine su registro asociado. La acción de eliminar sucede porque una propiedad con valor de objeto del registro hace referencia al documento y aplica la acción Eliminar en cascada.