本文檔介紹權限的概念和使用方法。
用戶角色權限介紹
PDS目前支持4種角色,其中3種為管理員角色,分別為超級管理員、網盤管理員和團隊管理員,還有1種為普通用戶角色。下面將分別介紹這幾種角色的權限。
1. 超級管理員
超級管理員在網盤內擁有對所有資源(包括企業、團隊、用戶、空間、文件等)的全部權限,例如創建用戶、修改用戶角色、創建團隊、創建空間、對團隊空間進行授權,以及在團隊空間中進行文件的上傳和下載等操作。
每個網盤僅允許創建一個超級管理員,超級管理員可以在PDS控制臺上進行配置。詳見下圖:
鑒于用戶隱私問題,超級管理員默認無法訪問用戶個人空間中的文件。如有需要,請聯系我們。
2. 網盤管理員
網盤管理員和超級管理員的權限基本一致,只有部分高危操作沒有權限,比如修改其他用戶角色為網盤管理員、查看用戶個人空間中的文件等。
網盤管理員身份可以由超級管理員在網盤的管理控制臺->團隊管理中選擇目標用戶,點擊"切換角色"進行身份授予,詳見下圖:
3. 團隊管理員
團隊管理員主要負責管理團隊的各項資源,例如添加用戶至團隊、從團隊中移除用戶、設置用戶的空間大小以及查看團隊審計日志等。團隊管理員同時具有對團隊空間下所有文件的權限,包括文件夾的授權、上傳、下載、預覽、刪除、編輯以及查看回收站等操作。團隊管理員的管理范圍不僅限于本團隊,還包括本團隊下的所有子團隊。例如,A部門下有B部門和C部門,那么A部門的管理員可以管理B部門和C部門的用戶以及團隊空間。
團隊管理員身份可以由超級管理員在網盤的管理控制臺->團隊管理中選擇目標團隊,然后在右側的用戶列表中選擇目標用戶,點擊"切換角色"進行身份授予,詳見下圖:
4. 普通用戶
普通用戶默認只具有個人空間的操作權限,包括文件夾授權、上傳、下載、預覽、刪除、編輯、查看回收站等功能。而團隊空間只有在經過授權后,普通用戶才能進行相關操作。
空間文件權限介紹
權限示意圖:
概念解釋:
用戶樹是指用戶和團隊之間的關系構建出來的樹狀結構,有上下層級的關系(一個用戶可以作為多個團隊的成員,一個團隊只能作為一個團隊的成員)。
文件樹是指文件和文件夾之間的關系構建出來的樹狀結構,有上下層級的關系(如上圖示例)。
文件授權是指將一個文件夾作為資源授權給一個用戶或者團隊。當前只能對文件夾授權,不支持文件授權。
所有文件授權都是通過角色的方式賦予操作權限,系統默認提供了一些常用角色(如下圖)。
團隊權限繼承是指給團隊授權的權限,子孫團隊下的用戶是否能繼承這些權限。比如“研發部云盤”授權給“研發部”團隊,如果不開啟繼承,則只有“用戶4”作為“研發部”的直接成員可以使用這條權限,“用戶2”和“用戶3”就無法使用這條權限。
文件權限繼承是指如果文件樹上的一個文件夾被授權,文件夾下所有子孫文件或文件夾都會繼承此權限。
權限覆蓋是指當一個用戶對一個資源有多條可用權限時,權限之間會相互覆蓋。比如上圖的兩條授權,使“用戶4”對于“項目資料”文件夾同時擁有“預覽者”和“編輯者”權限。“預覽者”權限來自于父團隊的授權,“編輯者”權限來自于給自己的授權。當多條權限同時作用于用戶時,離用戶近的權限會覆蓋掉離用戶遠的權限,所以當“用戶4”訪問“項目資料”文件夾時,使用“編輯者”權限。這里有一種特殊情況,由于用戶可以作為多個團隊的成員,當用戶歸屬的多個團隊被授予不同權限時,會將多條權限并集作為用戶訪問權限。
1. 企業空間
企業版購買后默認會創建一個跟企業同名的根團隊,并且會給根團隊創建一個空間,作為企業空間。企業內用戶默認擁有企業空間內文件的預覽權限。只有超級管理員和網盤管理員擁有授權、上傳、下載、預覽、刪除、編輯、查看回收站等權限。
開發版沒有默認的企業空間,可以自行創建團隊和空間。
企業空間的文件默認所有用戶都有預覽權限,企業空間內建議僅存放一些企業內所有用戶都能查看的文件,比如員工手冊、公共信息等。部門內部文件(比如項目資料等)通過創建團隊空間的方式存儲,便于后續權限精細化管理。
2. 團隊空間
團隊通常按照企業的組織架構進行創建。團隊空間用于存放不同部門的文件資料,并且團隊管理員可以根據業務需求,將團隊空間內的文件夾授權給不同的團隊或用戶。團隊空間的創建由超級管理員和網盤管理員進行,詳見下圖:
進入管理控制臺后點擊“團隊管理”,選擇某個團隊新建子團隊,如下圖:
彈出的新建子團隊對話框中可以選擇是否給團隊分配空間大小或設置空間默認權限。
團隊空間創建完成后,系統會默認分配團隊空間的預覽者角色給該團隊,相當于團隊下的所有成員默認都可以預覽該團隊空間下的文件。管理員可以修改或刪除這條默認的權限,也可以新增其他的權限。下圖展示了團隊空間創建完成后系統分配的默認權限。
團隊空間除了上述的系統默認權限外,管理員還可以設置其他業務需要的權限,比如希望其他團隊的A用戶也可以預覽本團隊空間的文件,可以從上圖左側選中對應用戶拖到右側,并且設置成預覽者權限,給其他團隊授權操作類似。除了將整個團隊空間授權外還支持文件夾級別的授權,用管理員身份進入團隊空間,選中某個需要授權的文件夾,按照上述操作即可。
授權規則
團隊空間下的文件夾授權會保留文件路徑,比如A團隊空間下有“/B/C/D/1.jpg”這個文件,只把D文件夾授權給用戶1(預覽者),那么用戶1在“團隊空間”下會顯示出A團隊空間,進入A團隊空間可以看到B文件夾,進入B文件夾可以看到C文件夾,進入C文件夾可以看到D文件夾。用戶1只有D文件夾的預覽者權限,B、C這兩個文件夾僅有可見權限,并且B文件夾下除了C文件夾以外的文件夾用戶1是不可見的,C文件夾下除了D文件夾以外的其他文件夾用戶1也是不可見的,在D文件夾下的所有文件和文件夾用戶1都可以預覽。
如需進行“授權管理”操作,需要管理員在管理控制臺>安全策略>共享/授權設置中點擊開啟共享/授權開關。
給團隊授權時可以選擇該團隊的子團隊是否繼承該權限,如果不繼承,則只有該團隊的直接成員擁有此權限。
3. 個人空間
個人空間主要用于存放用戶個人的文件資料。默認情況下,只有用戶本人有權限訪問該空間,即使超級管理員也無法查看用戶的個人空間。個人空間的授權操作與團隊空間基本相同,被授權者可以通過“收到的共享”功能查看其他用戶從個人空間授權給自己的文件夾。詳見下圖:
權限名稱與權限角色介紹
目前PDS提供以下11種權限(包括可見列表、預覽、上傳、下載、分享、移動、復制、重命名、刪除、更新、新建文件),13種系統默認角色的權限列表(系統默認角色由不同權限構成)。
各個權限代表的含義如下:
可見列表:能查看授權空間/目錄下有哪些文件夾/文件,但沒有任何操作權限;
預覽權限:能在線預覽授權空間/目錄的圖片/文檔/視頻等文件(預覽權限前提需擁有可見列表權限);
上傳:能夠上傳文件到授權空間/目錄(上傳權限前提需擁有可見列表、新建文件權限);
下載:能夠從授權空間/目錄下載文件到本地(下載權限前提需擁有可見列表、預覽權限);
分享:能把該授權空間/目錄下的目錄和文件分享給其他用戶或者團隊(分享權限前提需擁有可見列表、預覽權限);
刪除:能把該授權空間/目錄下的目錄和文件刪除(刪除權限前提需擁有可見列表權限);
移動:能把該授權目錄下的目錄和文件移動到其他空間/目錄(移動權限前提需擁有可見列表、刪除權限);
復制:能把該授權目錄下的目錄和文件復制到其他空間/目錄(復制權限前提需擁有可見列表權限);
重命名:能把對授權空間/目錄下的目錄和文件重命名(重命名權限前提需擁有可見列表權限);
更新:能對授權空間/目錄下的目錄和文件進行編輯、多版本更新/恢復(更新權限前提需擁有可見列表、預覽權限);
新建文件:能在授權空間/目錄下新建文件(新建文件前提需擁有可見列表、上傳權限);
下載/分享/更新權限前提需擁有預覽權限(目的是使用戶操作文件前可以在網盤里查看待操作文件內容)。
支持自定義權限設置
除了可使用默認的權限角色外,pds支持在授權時設置權限,用戶可以自定義的選擇想要授予的權限。
支持繼承權限
給團隊授權時可以選擇該團隊的子團隊是否繼承該權限,如果不繼承,則只有該團隊的直接成員擁有此權限。
當前暫不支持禁止從上層文件夾繼承的權限,只能通過給子文件夾新的授權來縮小權限。
支持在權限模板中新增權限組合
除了使用默認角色、自定義權限設置外,還支持管理員預先設置權限組合。設置后,授權時可以直接在權限模板中使用該權限組合。
如果管理員刪除一個正在使用的權限組合:會刪除失敗,提示該權限模板已被授權使用,無法刪除。
預先設置權限組合存在上限限制,最多可設置50條。
新增權限組合步驟
在管理控制臺-->企業設置-->權限模板中新增自定義權限組合。
自定義權限組合設置后,可在授權管理界面的權限模板中使用這些權限組合。
開啟團隊空間-授權管理流程
創建團隊云盤
1. 企業空間說明
企業版購買后,默認會創建一個與企業同名的根團隊,并會為其創建一個空間,作為企業空間。企業內用戶默認擁有企業空間預覽權限。只有超級管理員和網盤管理員擁有授權、上傳、下載、預覽、刪除、編輯、查看回收站等權限。
說明開發版沒有默認的企業空間,可以自行創建團隊和空間。
企業空間的文件會跟其他團隊空間同級展示,建議企業空間內僅存放一些企業內所有用戶都能預覽的文件,比如員工手冊、公共信息等。部門內部文件(比如項目資料等)通過創建團隊空間的方式存儲,便于后續權限精細化管理。
說明團隊空間需要用戶自行創建。(詳情可參見2. 團隊空間說明)
2. 團隊空間說明
團隊一般按照企業的組織架構來創建,團隊空間用于存放不同部門的文件資料,團隊管理員可以根據業務需求,將團隊空間內的文件夾授權給不同的團隊或用戶。團隊空間可以由超級管理員和網盤管理員創建。
3. 團隊空間創建步驟
進入管理控制臺后點擊“團隊管理”,選擇某個團隊新建子團隊。
彈出的新建子團隊對話框中可以選擇是否給團隊分配空間,并且可以指定空間大小、設置空間默認權限。
團隊空間創建完成后,系統會默認分配團隊空間的預覽者角色給該團隊,相當于團隊下的所有成員默認都可以預覽該團隊空間下的文件。管理員可以修改或刪除這一默認權限,也可以新增其它權限。返回用戶界面,點擊團隊空間,可以看到新創建好的團隊云盤。
團隊云盤授權管理
各角色初始能力說明
普通用戶:沒有團隊空間/文件的授權管理能力,只有自己個人空間的文件共享能力。
團隊管理員/網盤管理員/超級管理員:有團隊空間的文件授權管理能力,以及個人空間的文件共享能力。
若您想將某團隊云盤共享給企業內的其他部門或同事,您可以進行授權管理團隊云盤操作,授權后的團隊云盤將會依照您授權時設置的范圍和權限,共享給授權對象。
目前團隊空間授權管理只支持云盤、文件夾授權,不支持文件授權。
團隊空間的授權是將文件夾授予對應權限并且逐級向上將所有父文件夾都設置為可見權限, 收到授權的用戶看到的是有權限的空間列表,保留了每個授權文件夾的完整路徑結構,更方便團隊內部協作。
說明必須先由超級管理員/網盤管理員管理控制臺開啟共享/授權功能后才可執行授權管理操作,如何開啟功能請參照共享及分享啟用設置。
團隊云盤授權管理步驟
點擊企業>團隊空間。
選擇目標團隊云盤,點擊授權管理。
選擇授權對象,設置有效期及權限。
團隊云盤下文件夾授權管理
若需要對團隊云盤下的某文件夾進行授權共享,您可以進入團隊空間內進行相應操作。
說明目前僅支持對文件夾進行授權管理,不支持對文件進行授權管理。
文件夾授權管理步驟
點擊企業>團隊空間。
選中進入指定團隊云盤。
單選文件夾,進行授權管理操作,選中對象后設置有效期及權限。
如何取消授予權限
在用戶界面點擊企業-->團隊空間選擇目標文件點擊授權管理。
如何查看團隊空間/文件夾的授予權限
在用戶界面點擊企業>團隊空間。
選擇想要查看的云盤或文件夾點擊授權管理,"已選用戶"下顯示的即為該文件目前已被授予的權限信息。
開啟個人空間共享流程
目前僅支持對文件夾進行授權管理,不支持對文件進行授權管理。
文件權限具有繼承關系:是指如果文件樹上的一個文件夾被授權,文件夾下所有子孫文件或文件夾都會繼承此權限。
個人空間的共享是將文件夾直接作為頂層文件夾共享,不保留文件夾在空間中的路徑,收到共享的用戶看到的是被共享的文件夾列表。
個人空間授權管理步驟
超級管理員/網盤管理員務必先在管理控制臺界面開啟共享/授權功能,管理員點擊進入管理控制臺,安全策略-->共享/授權設置,點擊開啟“共享/授權開關”。
確定已分配個人空間,管理員點擊進入管理控制臺,點擊團隊管理,選擇對應用戶點擊編輯查看用戶詳細信息,在“個人空間設置”下為該用戶分配個人空間。
返回用戶界面點擊個人-->個人空間,選擇單個文件夾可共享給企業內同事或部門,選擇好共享對象后,您可以設置共享時間及權限,對照權限說明選擇授予他人該文件夾對應的共享權限。
查看已共享的文件和接收到的共享文件
在用戶界面點擊個人-->個人空間,選擇“我的共享”或“收到的共享”。
如何取消授予權限
在用戶界面點擊個人-->個人空間,選擇目標文件點擊共享,在"已選用戶"下選擇要取消用戶或者團隊移出。
如何查看授予權限
在用戶界面點擊個人-->我的共享,選擇目標文件點擊共享,"已選用戶"下顯示的即為該文件目前已被授予的權限信息。
刪除授權/共享的文件
刪除授權的團隊空間文件
網盤管理員/團隊管理員/超級管理員可以直接刪除團隊空間的文件,刪除后的文件可以在回收站里查看,并支持從回收站恢復。
如果授權給的普通用戶(授予了刪除文件權限),可以直接刪除對應文件或文件夾,但是刪除的文件或文件夾在普通用戶的回收站不會展示,只能通過網盤管理員/團隊管理員/超級管理員登錄后在回收站查看。
刪除共享文件
如果授予用戶全部權限,對于最外層目錄,會過濾掉[協同管理員、收藏、刪除、移動、重命名]等操作,意味著共享的最外層目錄不支持直接刪除。
支持刪除共享文件夾內層的文件或文件夾,刪除后的文件會在共享方的回收站里顯示(支持從回收站恢復),不會出現在被共享用戶的回收站。
查看用戶當前權限
個人權限情況:展示的是直接給該用戶授予的權限。
所在團隊權限情況:展示的是該用戶所在團隊被授予的權限。
在管理控制臺界面點擊團隊管理,選擇目標用戶,點擊權限信息后可查看當前用戶的權限情況。
個人權限和所在團隊權限的優先級
如果直接授權在用戶上的權限,是最高優先級。
如果團隊的父子關系是a/b/c,該用戶在團隊c下面,默認是使用團隊c下面的權限。
如果團隊的父子關系是a/b,c,d(父團隊a下有b,c,d三個子團隊),該用戶在不同的團隊下面,需要根據授權團隊距離所在用戶的遠近來判斷(距離越近,權限優先級越高),如果距離相等,則取并集。
說明權限示意圖可參考:權限管理
場景舉例
請先確保新建的團隊創建了對應的團隊云盤,詳情可參考團隊及團隊云盤創建與管理。
場景1:團隊文件預覽開放,下載僅管理者
用戶上傳的文件,團隊內的成員都可以預覽,但只有管理者可以下載。
實現步驟:
修改團隊云盤的默認權限為上傳權限(管理控制臺-->團隊空間-->找到對應的組)。
修改對應的權限為上傳者
授予組長/高層對應的權限
方案一:可以授予組長/高層團隊管理員或者網盤管理員身份。
方案二:授予組長/高層需要的權限即可:參考上述團隊云盤授權管理步驟的操作。
場景2:用戶限查自傳文件,團隊管理員允許查看所有文件
普通用戶僅可在團隊空間內查看自己上傳的文件,但團隊管理員可以查看團隊空間內的所有文件。
實現步驟:
刪除該團隊云盤的默認權限(管理控制臺-->團隊空間-->找到對應的組)。
取消該團隊空間的權限(意味著加入該團隊的普通用戶看不到該空間)。
使用網盤管理員/團隊管理員身份分別創建和該普通用戶對應的文件夾。
將上述文件夾分別授權給對應的用戶即可:參考上述授權管理文件夾步驟。
場景3:多團隊下,數據資料隔離
實現在企業網盤下建立一個部門,部門下設置了兩個團隊(兩個子團隊),這兩個子團隊的成員在各自的團隊內上傳的資料,互相看不到各自團隊的資料,總經理/部門負責人可以管理所有團隊的資料。
實現步驟:
請先確保新建的團隊(包括子團隊)創建了對應的團隊云盤:團隊及團隊云盤創建與管理
給部門負責人授權該部門團隊管理員的權限(也可以通過團隊云盤授權的方式,分別授予部門負責人相關團隊云盤的權限)
在不同的子團隊中加入用戶(也可以通過團隊云盤授權的方式授予用戶對應團隊云盤的權限)。
場景4: 實現團隊空間內某些資料只希望某些人可以看到
可以參考場景2:先取消成員所在團隊對于團隊空間的權限,再分別給對應成員創建一個單獨文件夾并單獨授予對應文件夾的權限即可實現
場景5:設置團隊云盤或文件夾對用戶不可見
實現步驟
在用戶界面,選擇目標團隊云盤或文件夾,點擊授權管理。
選擇團隊或用戶進行“禁止訪問”權限配置。
權限不符時的排查流程
查看用戶當前權限
在管理控制臺界面點擊團隊管理,選擇目標用戶,點擊權限信息后可查看當前用戶的權限情況。
取消或者修改對應的授權情況
修改團隊云盤默認權限
在創建團隊云盤時存在默認權限,該團隊下的所有用戶均擁有此默認權限,也可通過修改該默認權限來滿足需求。
在管理控制臺界面,點擊云盤管理-->團隊云盤,選擇目標云盤點擊修改云盤,即可修改該空間默認權限。
修改團隊云盤對團隊/用戶的授權情況
在用戶界面,點擊企業-->團隊空間,選擇目標云盤后,點擊”授權管理“,即對團隊或用戶進行權限配置。
修改團隊文件夾對團隊/用戶的授權情況
在用戶界面,點擊企業-->團隊空間,選擇目標文件夾后,點擊”授權管理“,即可對團隊或用戶進行權限修改。
管理控制臺修改權限
管理員在管理控制臺界面,點擊團隊管理,選擇目標用戶,點擊”權限信息“后,點擊”查看詳情“直接進行權限修改。
常見問題
1. 團隊空間選中后看不到“授權管理”按鈕
用超級管理員賬號登錄,進入“管理控制臺”,點擊“共享/授權設置”,查看共享功能是否開啟。
開啟此開關后,如果還是無法看到,請嘗試刷新頁面。如果刷新頁面后還是無法看到請聯系技術支持。
2. 是否支持單文件授權?
當前暫不支持,可以看下能否使用分享鏈接功能代替。