Vorheriges Thema: Für bestimmte Aktionen erforderliche Kombinationen aus KlassenberechtigungenNächstes Thema: Sicherheitsebenen

Client Automation-SicherheitsfunktionenAutorisierungÜbersicht über BerechtigungenObjektberechtigungen

Objektberechtigungen

Das Einstellen der Objektberechtigungen ist hilfreich, wenn Sie den Zugriff auf ein bestimmtes Objekt einschränken möchten. Standardmäßig übernehmen alle Objekte die Berechtigungen, die für die Objektklasse eingestellt sind.

Objektberechtigungen haben Vorrang vor Klassen- und Gruppenberechtigungen.

Objektberechtigungen sind immer vorhanden. Sie werden vom Sicherheitsuntersystem verwaltet und können nicht deaktiviert werden. Wenn Sie die Objektberechtigungen nicht verwalten möchten, können Sie die Berechtigungen auf Klassenebene für alle Sicherheitsebenen auf "Vollzugriff" setzen.

Die Autorisierung basiert auf dem Konzept "Zugriffssteuerungseintrag" ("Access Control Entry" ACE). Ein ACE besteht aus einer beliebigen Kombination der Codebuchstaben, die in der folgenden Tabelle aufgeführt werden, beispielsweise "VR". Dieser ACE ermöglicht das Anzeigen und Lesen von Objekten. Andere Zugriffsarten werden verweigert.

Ein leerer ACE (kein Codebuchstabe) bedeutet, dass keine Zugriffsrechte zugewiesen wurden.

In der folgenden Tabelle sind Objektberechtigungen definiert:

Kennbuchstabe
in ACE

Bedeutung

Gewährte Rechte

V

Ansicht

Damit können Sie Objekte anzeigen.

C

Erstellen

Damit können Sie Objekte erstellen.

R

Gelesen

Damit können Sie die Unterobjekte eines Objekts lesen.

W

Schreiben

Damit können Sie ein Objekt ändern.

X

Ausführen

Damit können Sie abhängig vom Objekt ausführen.

D

Löschen

Damit können Sie Objekte löschen.

P

Berechtigung

Damit können Sie den ACE selbst ändern.

O

Ownership

Damit können Sie ein Objekt als Eigentum übernehmen.

Ein Benutzer kann einem oder mehreren Sicherheitsprofilen zugewiesen sein. Ein Benutzer kann auch Eigentümer eines Objektes sein. Jedem Sicherheitsprofil ist eine Gruppe von Sicherheitsklassen zugewiesen. Über die Sicherheitsklassenberechtigung wird die Standardberechtigung definiert, die einem Objekt zugewiesen wird, wenn eine Instanz der Klasse erstellt wird.

Die folgende Abbildung zeigt, wie Sicherheitsprofile, Sicherheitsklassen und Objektberechtigungen zusammenhängen und dass die Berechtigungen eines Objekts von der Sicherheitsklasse übernommen werden, deren Instanz es ist.

Abbildung zu Beziehungen zwischen Sicherheitsprofilen, Sicherheitsklassen und Objektberechtigungen

In der Abbildung gehört Benutzer 1 zum Sicherheitsprofil A. Benutzer 2 gehört zum Sicherheitsprofil A und ist Eigentümer der Objekte, dargestellt durch einen ACE. Benutzer 1 und Benutzer 2 haben bestimmte ACEs, z. B. VR, durch das Sicherheitsprofil A. Benutzer 2 hat einen zusätzlichen ACE, z. B. VCRWD, als Eigentümer eines Objekts.

Um die Zugriffsrechte von Benutzer 1 und Benutzer 2 zu prüfen, vereinigt das Sicherheitssystem den benutzerspezifischen ACE und den mit dem bestimmten gesicherten Objekt verknüpften ACE (logisch). In diesem Beispiel haben Benutzer 1 und 2 Anzeige- und Leserechte für das Objekt. Jedoch verfügt nur Benutzer 2 über Schreib- und Löschzugriff.