Security

对象权限
- 仓库中的所有内容都是和权限关联起来的
- 包括2种类型
    - 基本的权限 -- 每个对象必须的
    - 扩展权限  --可选的




基本权限
. 基本权限赋予用户访问和操作对象内容的能力
. 基本权限级别：
   - NONE(1) ; 不能访问
   - BROWSER(2) : 查看对象属性
   - READ (3) : 查看对象内容文件
   - RELATE(4) : 添加PDF或者TIFF 文件的注释
   - VERSION(5) : 修改对象并且以新的版本提交
   - WRITE(6) : 修改对象并且以相同版本提交
   - DELETE(7) : 删除对象
. 基本权限级别是继承的， 如果用户拥有了RELATE权限，同时也拥有READ和BROWSER权限

扩展权限
. 扩展权限赋予用户在对象上执行特殊操作的能力
. 扩展权限有：
   - Change Location ; 把对象移到另外的文件夹，用户必须拥有WRITE权限
   - Change Owner : 给对象指定新的所有者，用户必须是对象所有者或者SUPERUSER，或者拥有WRITE权限
   - Change Permission : 更改对象的权限用户至少拥有BROWSER权限
   - Run Procedure : 执行docbasic 的procedure
   - Change State : 更改对象生命周期的状态
   - Extended Delete : 只拥有删除权限
. 扩展权限是可选的，各个权限之间没有继承关系， 必须显式的分配

对象所有者(Object Owner)
. 每个对象都有个所有者
   - 默认是对象的创建者
   - 所有者可以被重新指定
   - 一个对象同一时间只能有1个所有者
. 所有者可以是一个group
. 即使没有显式的指定所有者的权限，但是他至少拥有：
   - READ 权限
   - 除了Extended Delete之外的所有扩展权限

Permissioin Sets
. 一个权限集合是一个可重用的权限配置
. 权限集合为下列对象设置基本以及扩展权限级别：
   - Owner 必须
   - Users 可选
   - Groups 可选
   - World 必须 所有其他没有被权限集合显式定义的用户
. 权限集合只能分配给dm_sysobjects 及其子类型
. 每个权限集合都是一个ACL 对象( dm_acl)
   - 包含一组用户或用户组
   - 包含针对每个用户和用户组的基本权限集合
   - 包含针对每个用户和用户组的扩展权限集合
   - 通过ACL的名字或者所有者和对象关联
   - ACL(Access Control List) 对象是权限集合的具体实现



对象默认权限集合
. Content Server的Default ACL  配置决定分配什么样的权限集合给新创建的对象
. 系统管理员指定下列3个选择中的一个作为默认的ACL分配
   - User ： 把对象创建者的permission set分配给对象
   - Folder ： 把对象所在的folder的permission set分配给对象
   - Type ： 把对象类型的permission set分配给对象
. 可以通过更改dm_server_config中的default_acl属性来更改Default ACL，default_acl的有效值有 ：
   - 1 - folder
   - 2 - type
   - 3 - user
    默认值是3（User）

系统级和用户级Permission Sets
. Syetem Permission Sets
   - 由SUPERUSER 或者 SYSADMIN 创建或修改
   - 属于repository owner - dm_dbo (dm_dbo 是repository owner的一个内部别名)
   - 可以被所有的Content Server 用户使用
. User Permission Sets
   - 由某个User创建或修改
   - 属于创建者
   - 只对所有者可用

Permission Sets 和 Folder
. 所有的文件柜和文件夹都有permission set
. 文件柜/文件夹的权限不会阻止用户对其内部的文档的访问
   比如Samantha只拥有文件夹的NONE的权限，是看不见文件夹的，但是只要她拥有该文件夹内的文档的BROWSER权限，她就可以执行该文档的搜索和查看操作。

Permission 的优先级
  当用户在一个对象上拥有多个权限级别时，优先考虑最高的那个权限级别。

Custom Permission Sets
   - 自动被Content Server 创建， 当用户添加，删除，修改对象上的permission时。
   - 名称由Content Server自动生成， （dm_45...）

Folder Security
   - Folder Security 是一个额外的安全模式去控制文件柜/文件夹中的对象的create,move,link 和delete。
   - 默认folder security是启用的，可以通过修改dm_docbase_config中的 folder_security 属性来启用或者关闭。（1 是enable， 0是disable）
   - 当folder security启用的时候，用户如果需要做下列操作，必须有WRITE 权限
     - 对目标文件夹进行create,import,copy, link对象操作
     - 对原文件夹的对象进行移动和删除的操作。
   - folder security 只是和改变文件夹内容有关
     只拥有文件夹的BROWSER权限的用户仍然可以check in/check out 文件夹中的对象。