更改参与者的权限
表格的
“权限”列中列出了
权限集。默认情况下,将显示权限子集,根据您所在的上下文,您也许不能更改任何权限。
安全首选项决定在
“权限”列中显示哪些权限以及用户界面是否允许您更改显示内容。
在每个权限后,下拉列表中均提供以下选项:
• “无更改”– 指明不希望更改是否授予权限。
• “添加”– 指明希望添加授予特定参与者权限的专用访问控制规则设置。
• “移除”– 指明希望移除某个专用访问控制规则设置。对于大多数对象来说,授予了源标志而不是“访问控制”的权限 (例如策略访问控制规则、生命周期或工作流专用访问规则) 不会被移除。对从共享上下文管理的共享对象,不移除通过源指定而非共享授予的权限。也不会移除授予其他参与者 (例如选定参与者是其中成员的组或组织) 的权限。
对于具有关联的生命周期的对象,通过“访问”表格对权限进行的所有更改将应用于处于所有生命周期状态 (并非仅限于对象的当前生命周期状态) 的对象。
当在表格中所做选择反映您希望如何更改显示的参与者的权限时,单击“确定”进行更改并关闭窗口。
在处理您要为多个对象更改一组权限的请求时,Windchill 会验证您是否获得做出此项更改的授权。如果由于某种原因而不能对所有对象进行所请求的更改,则不会进行任何更改并返回一条错误消息。
Windchill 还会确定已选择的多个对象中哪些需要更新到当前设置的专用权限设置。如果有效的现有规则已涵盖目标更新,则不会对现有权限集进行更改。例如,假定已授予某用户某一对象的“完全控制”权限,且作为多个对象的访问控制更新的一部分,将会添加“读取”权限。在这种情况下,Windchill 会忽略为该对象添加的“读取”权限而保留“完全控制”权限。在另一示例中,假定选定了三个对象,且已向用户授予其中两个对象的“下载”权限。在这种情况下,从“访问”表中添加“下载”权限实际上只会为未授予用户“下载”权限的一个对象添加专用访问控制规则。而其他两个对象的规则不会发生更改。
由于存在多种设置访问控制权限的方式,因此可能无法移除用户执行某项操作 (例如修改文件) 的能力。例如,如果由于对象所处的生命周期状态而将“修改”权限授予某特定用户,则将无法移除“修改”权限设置,因为授予“修改”权利的专用规则是由生命周期界面设置的。
即使已经从通过“编辑访问控制”界面授予某些权限的专用规则中移除了权限设置,但用户仍会被授予这些权限的另一原因就是,该用户是仍被授予权限的一个或多个组的成员。例如,假定:
• ABC 项目具有一个名为 Chris Jones 的用户,该用户是该项目“顾问”角色团队的成员,同时也是 ACME 组织的成员。
• ACME 组织的所有成员均被授予 ABC 项目中所有文档的“读取”权限。“读取”权限是通过访问控制策略规则授予的。
• ABC 项目中“顾问”角色的所有成员均通过“编辑访问控制”界面被授予名为“项目需求”和“项目概述”两个文档的“读取”、“修改”、“下载”和“修改内容”权限。
稍后您决定不希望“顾问”查看、修改或下载“项目需求”和“项目概述”两个文档。为此,选择这两个文档,然后从表格“操作”列表中选择“编辑访问控制”操作。在“团队访问”视图的“顾问”行中,针对“读取”、“修改”、“下载”和“修改内容”权限选择“移除”,并单击“确定”。执行此操作后,ABC 项目中的“顾问”角色的成员将不再具有这两个文档的“读取”、“修改”、“下载”和“修改内容”权限;但由于 Chris Jones 是 ACME 组织的成员,因此 Chris 仍具有文档的“读取”权限。
使用
“编辑访问控制”界面添加或移除专用权限设置后,可通过
查看单个对象和参与者的访问详细信息来验证对象的权限是否是按预期设置的。如果启用了安全标签,则用户会受安全标签的进一步限制,从而无法查看对象和执行操作权限设置本来允许的操作。