用户在Onchain系统中对数据所执行的任何操作都要受到该用户所拥有权限 (Privilege) 的控制，例如创建、发送，或取消等等。在Onchain中，权限被定义为执行某项操作的能力。权限能与可重用的条件 (Criteria，定义了满足特定条件的数据对象) 组合在一起以创建权限屏蔽 (Privilege Mask)，而权限屏蔽则充当过滤器以将用户执行某项操作的能力限制在某类特定的数据。也就是说，条件限制了用户能访问的数据对象，而权限则限制了用户对所能访问数据对象所执行的操作。权限屏蔽被分组为不同的角色 (Roles)，以提供一种便捷的方式，方便为一组在流程中执行相同职能的用户分配相同的权限集。Onchain提供了一套完整的预先定义的角色、权限屏蔽和可重用的条件。如果有需要，用户可以修改这些预配置的角色和权限屏蔽，或创建适合特定需求的新角色和权限屏蔽。

  受Onchain权限控制的操作包括：增加审批人员/观察人员，系统管理，批准/拒绝，红线标记自己创建变更的附件，红线标记他人创建变更的附件，取消签出，改变状态，签入，签出，备注，创建，删除，发现，强制字段级别读取，项目全局结构锁定，导出，全报表搜索结果显示，使用项目甘特图，获取文件备份，全局搜索，授权，附件合并，管理报表，修订，覆盖，打印文件，打印数据对象页面，读取，移除审批人员/观察人员，重置文件校核，运行报表，另存为，发送，订阅，自己的授权转移，他人的授权转移，取消删除，取消合并，浏览文件等。通过这些权限，系统可以非常精确地控制用户对企业数据的访问和使用。在这些权限当中，发现权限可以控制用户能否查询到特定的数据，而读取权限将限制用户能否打开其查询到的数据以查看详细的信息，强制字段级别读取的权限则控制了用户对数据某些特定属性的访问。

  除了对用户能够访问的数据对象的条件和操作进行控制外，Onchain还提供其他多种手段保证企业文档数据的安全，包括记录用户对数据对象的所有操作，以及提供打印标题和水印的功能。用户可以设置要打印的标题及水印的属性，包括要打印的文档的有效日期、报废日期、页码、页数、打印日期、打印者、最新发行版、水印文本等等，并能设置打印标题和水印的格式。