本文档介绍权限的概念和使用方法。
用户角色权限介绍
PDS目前支持4种角色,其中3种为管理员角色,分别为超级管理员、网盘管理员和团队管理员,还有1种为普通用户角色。下面将分别介绍这几种角色的权限。
1. 超级管理员
超级管理员在网盘内拥有对所有资源(包括企业、团队、用户、空间、文件等)的全部权限,例如创建用户、修改用户角色、创建团队、创建空间、对团队空间进行授权,以及在团队空间中进行文件的上传和下载等操作。
每个网盘仅允许创建一个超级管理员,超级管理员可以在PDS控制台上进行配置。详见下图:
鉴于用户隐私问题,超级管理员默认无法访问用户个人空间中的文件。如有需要,请联系我们。
2. 网盘管理员
网盘管理员和超级管理员的权限基本一致,只有部分高危操作没有权限,比如修改其他用户角色为网盘管理员、查看用户个人空间中的文件等。
网盘管理员身份可以由超级管理员在网盘的管理控制台->团队管理中选择目标用户,点击"切换角色"进行身份授予,详见下图:
3. 团队管理员
团队管理员主要负责管理团队的各项资源,例如添加用户至团队、从团队中移除用户、设置用户的空间大小以及查看团队审计日志等。团队管理员同时具有对团队空间下所有文件的权限,包括文件夹的授权、上传、下载、预览、删除、编辑以及查看回收站等操作。团队管理员的管理范围不仅限于本团队,还包括本团队下的所有子团队。例如,A部门下有B部门和C部门,那么A部门的管理员可以管理B部门和C部门的用户以及团队空间。
团队管理员身份可以由超级管理员在网盘的管理控制台->团队管理中选择目标团队,然后在右侧的用户列表中选择目标用户,点击"切换角色"进行身份授予,详见下图:
4. 普通用户
普通用户默认只具有个人空间的操作权限,包括文件夹授权、上传、下载、预览、删除、编辑、查看回收站等功能。而团队空间只有在经过授权后,普通用户才能进行相关操作。
空间文件权限介绍
权限示意图:
概念解释:
用户树是指用户和团队之间的关系构建出来的树状结构,有上下层级的关系(一个用户可以作为多个团队的成员,一个团队只能作为一个团队的成员)。
文件树是指文件和文件夹之间的关系构建出来的树状结构,有上下层级的关系(如上图示例)。
文件授权是指将一个文件夹作为资源授权给一个用户或者团队。当前只能对文件夹授权,不支持文件授权。
所有文件授权都是通过角色的方式赋予操作权限,系统默认提供了一些常用角色(如下图)。
团队权限继承是指给团队授权的权限,子孙团队下的用户是否能继承这些权限。比如“研发部云盘”授权给“研发部”团队,如果不开启继承,则只有“用户4”作为“研发部”的直接成员可以使用这条权限,“用户2”和“用户3”就无法使用这条权限。
文件权限继承是指如果文件树上的一个文件夹被授权,文件夹下所有子孙文件或文件夹都会继承此权限。
权限覆盖是指当一个用户对一个资源有多条可用权限时,权限之间会相互覆盖。比如上图的两条授权,使“用户4”对于“项目资料”文件夹同时拥有“预览者”和“编辑者”权限。“预览者”权限来自于父团队的授权,“编辑者”权限来自于给自己的授权。当多条权限同时作用于用户时,离用户近的权限会覆盖掉离用户远的权限,所以当“用户4”访问“项目资料”文件夹时,使用“编辑者”权限。这里有一种特殊情况,由于用户可以作为多个团队的成员,当用户归属的多个团队被授予不同权限时,会将多条权限并集作为用户访问权限。
1. 企业空间
企业版购买后默认会创建一个跟企业同名的根团队,并且会给根团队创建一个空间,作为企业空间。企业内用户默认拥有企业空间内文件的预览权限。只有超级管理员和网盘管理员拥有授权、上传、下载、预览、删除、编辑、查看回收站等权限。
开发版没有默认的企业空间,可以自行创建团队和空间。
企业空间的文件默认所有用户都有预览权限,企业空间内建议仅存放一些企业内所有用户都能查看的文件,比如员工手册、公共信息等。部门内部文件(比如项目资料等)通过创建团队空间的方式存储,便于后续权限精细化管理。
2. 团队空间
团队通常按照企业的组织架构进行创建。团队空间用于存放不同部门的文件资料,并且团队管理员可以根据业务需求,将团队空间内的文件夹授权给不同的团队或用户。团队空间的创建由超级管理员和网盘管理员进行,详见下图:
进入管理控制台后点击“团队管理”,选择某个团队新建子团队,如下图:
弹出的新建子团队对话框中可以选择是否给团队分配空间大小或设置空间默认权限。
团队空间创建完成后,系统会默认分配团队空间的预览者角色给该团队,相当于团队下的所有成员默认都可以预览该团队空间下的文件。管理员可以修改或删除这条默认的权限,也可以新增其他的权限。下图展示了团队空间创建完成后系统分配的默认权限。
团队空间除了上述的系统默认权限外,管理员还可以设置其他业务需要的权限,比如希望其他团队的A用户也可以预览本团队空间的文件,可以从上图左侧选中对应用户拖到右侧,并且设置成预览者权限,给其他团队授权操作类似。除了将整个团队空间授权外还支持文件夹级别的授权,用管理员身份进入团队空间,选中某个需要授权的文件夹,按照上述操作即可。
授权规则
团队空间下的文件夹授权会保留文件路径,比如A团队空间下有“/B/C/D/1.jpg”这个文件,只把D文件夹授权给用户1(预览者),那么用户1在“团队空间”下会显示出A团队空间,进入A团队空间可以看到B文件夹,进入B文件夹可以看到C文件夹,进入C文件夹可以看到D文件夹。用户1只有D文件夹的预览者权限,B、C这两个文件夹仅有可见权限,并且B文件夹下除了C文件夹以外的文件夹用户1是不可见的,C文件夹下除了D文件夹以外的其他文件夹用户1也是不可见的,在D文件夹下的所有文件和文件夹用户1都可以预览。
如需进行“授权管理”操作,需要管理员在管理控制台>安全策略>共享/授权设置中点击开启共享/授权开关。
给团队授权时可以选择该团队的子团队是否继承该权限,如果不继承,则只有该团队的直接成员拥有此权限。
3. 个人空间
个人空间主要用于存放用户个人的文件资料。默认情况下,只有用户本人有权限访问该空间,即使超级管理员也无法查看用户的个人空间。个人空间的授权操作与团队空间基本相同,被授权者可以通过“收到的共享”功能查看其他用户从个人空间授权给自己的文件夹。详见下图:
权限名称与权限角色介绍
目前PDS提供以下11种权限(包括可见列表、预览、上传、下载、分享、移动、复制、重命名、删除、更新、新建文件),13种系统默认角色的权限列表(系统默认角色由不同权限构成)。
各个权限代表的含义如下:
可见列表:能查看授权空间/目录下有哪些文件夹/文件,但没有任何操作权限;
预览权限:能在线预览授权空间/目录的图片/文档/视频等文件(预览权限前提需拥有可见列表权限);
上传:能够上传文件到授权空间/目录(上传权限前提需拥有可见列表、新建文件权限);
下载:能够从授权空间/目录下载文件到本地(下载权限前提需拥有可见列表、预览权限);
分享:能把该授权空间/目录下的目录和文件分享给其他用户或者团队(分享权限前提需拥有可见列表、预览权限);
删除:能把该授权空间/目录下的目录和文件删除(删除权限前提需拥有可见列表权限);
移动:能把该授权目录下的目录和文件移动到其他空间/目录(移动权限前提需拥有可见列表、删除权限);
复制:能把该授权目录下的目录和文件复制到其他空间/目录(复制权限前提需拥有可见列表权限);
重命名:能把对授权空间/目录下的目录和文件重命名(重命名权限前提需拥有可见列表权限);
更新:能对授权空间/目录下的目录和文件进行编辑、多版本更新/恢复(更新权限前提需拥有可见列表、预览权限);
新建文件:能在授权空间/目录下新建文件(新建文件前提需拥有可见列表、上传权限);
下载/分享/更新权限前提需拥有预览权限(目的是使用户操作文件前可以在网盘里查看待操作文件内容)。
支持自定义权限设置
除了可使用默认的权限角色外,pds支持在授权时设置权限,用户可以自定义的选择想要授予的权限。
支持继承权限
给团队授权时可以选择该团队的子团队是否继承该权限,如果不继承,则只有该团队的直接成员拥有此权限。
当前暂不支持禁止从上层文件夹继承的权限,只能通过给子文件夹新的授权来缩小权限。
支持在权限模板中新增权限组合
除了使用默认角色、自定义权限设置外,还支持管理员预先设置权限组合。设置后,授权时可以直接在权限模板中使用该权限组合。
如果管理员删除一个正在使用的权限组合:会删除失败,提示该权限模板已被授权使用,无法删除。
预先设置权限组合存在上限限制,最多可设置50条。
新增权限组合步骤
在管理控制台-->企业设置-->权限模板中新增自定义权限组合。
自定义权限组合设置后,可在授权管理界面的权限模板中使用这些权限组合。
开启团队空间-授权管理流程
创建团队云盘
1. 企业空间说明
企业版购买后,默认会创建一个与企业同名的根团队,并会为其创建一个空间,作为企业空间。企业内用户默认拥有企业空间预览权限。只有超级管理员和网盘管理员拥有授权、上传、下载、预览、删除、编辑、查看回收站等权限。
说明开发版没有默认的企业空间,可以自行创建团队和空间。
企业空间的文件会跟其他团队空间同级展示,建议企业空间内仅存放一些企业内所有用户都能预览的文件,比如员工手册、公共信息等。部门内部文件(比如项目资料等)通过创建团队空间的方式存储,便于后续权限精细化管理。
说明团队空间需要用户自行创建。(详情可参见2. 团队空间说明)
2. 团队空间说明
团队一般按照企业的组织架构来创建,团队空间用于存放不同部门的文件资料,团队管理员可以根据业务需求,将团队空间内的文件夹授权给不同的团队或用户。团队空间可以由超级管理员和网盘管理员创建。
3. 团队空间创建步骤
进入管理控制台后点击“团队管理”,选择某个团队新建子团队。
弹出的新建子团队对话框中可以选择是否给团队分配空间,并且可以指定空间大小、设置空间默认权限。
团队空间创建完成后,系统会默认分配团队空间的预览者角色给该团队,相当于团队下的所有成员默认都可以预览该团队空间下的文件。管理员可以修改或删除这一默认权限,也可以新增其它权限。返回用户界面,点击团队空间,可以看到新创建好的团队云盘。
团队云盘授权管理
各角色初始能力说明
普通用户:没有团队空间/文件的授权管理能力,只有自己个人空间的文件共享能力。
团队管理员/网盘管理员/超级管理员:有团队空间的文件授权管理能力,以及个人空间的文件共享能力。
若您想将某团队云盘共享给企业内的其他部门或同事,您可以进行授权管理团队云盘操作,授权后的团队云盘将会依照您授权时设置的范围和权限,共享给授权对象。
目前团队空间授权管理只支持云盘、文件夹授权,不支持文件授权。
团队空间的授权是将文件夹授予对应权限并且逐级向上将所有父文件夹都设置为可见权限, 收到授权的用户看到的是有权限的空间列表,保留了每个授权文件夹的完整路径结构,更方便团队内部协作。
说明必须先由超级管理员/网盘管理员管理控制台开启共享/授权功能后才可执行授权管理操作,如何开启功能请参照共享及分享启用设置。
团队云盘授权管理步骤
点击企业>团队空间。
选择目标团队云盘,点击授权管理。
选择授权对象,设置有效期及权限。
团队云盘下文件夹授权管理
若需要对团队云盘下的某文件夹进行授权共享,您可以进入团队空间内进行相应操作。
说明目前仅支持对文件夹进行授权管理,不支持对文件进行授权管理。
文件夹授权管理步骤
点击企业>团队空间。
选中进入指定团队云盘。
单选文件夹,进行授权管理操作,选中对象后设置有效期及权限。
如何取消授予权限
在用户界面点击企业-->团队空间选择目标文件点击授权管理。
如何查看团队空间/文件夹的授予权限
在用户界面点击企业>团队空间。
选择想要查看的云盘或文件夹点击授权管理,"已选用户"下显示的即为该文件目前已被授予的权限信息。
开启个人空间共享流程
目前仅支持对文件夹进行授权管理,不支持对文件进行授权管理。
文件权限具有继承关系:是指如果文件树上的一个文件夹被授权,文件夹下所有子孙文件或文件夹都会继承此权限。
个人空间的共享是将文件夹直接作为顶层文件夹共享,不保留文件夹在空间中的路径,收到共享的用户看到的是被共享的文件夹列表。
个人空间授权管理步骤
超级管理员/网盘管理员务必先在管理控制台界面开启共享/授权功能,管理员点击进入管理控制台,安全策略-->共享/授权设置,点击开启“共享/授权开关”。
确定已分配个人空间,管理员点击进入管理控制台,点击团队管理,选择对应用户点击编辑查看用户详细信息,在“个人空间设置”下为该用户分配个人空间。
返回用户界面点击个人-->个人空间,选择单个文件夹可共享给企业内同事或部门,选择好共享对象后,您可以设置共享时间及权限,对照权限说明选择授予他人该文件夹对应的共享权限。
查看已共享的文件和接收到的共享文件
在用户界面点击个人-->个人空间,选择“我的共享”或“收到的共享”。
如何取消授予权限
在用户界面点击个人-->个人空间,选择目标文件点击共享,在"已选用户"下选择要取消用户或者团队移出。
如何查看授予权限
在用户界面点击个人-->我的共享,选择目标文件点击共享,"已选用户"下显示的即为该文件目前已被授予的权限信息。
删除授权/共享的文件
删除授权的团队空间文件
网盘管理员/团队管理员/超级管理员可以直接删除团队空间的文件,删除后的文件可以在回收站里查看,并支持从回收站恢复。
如果授权给的普通用户(授予了删除文件权限),可以直接删除对应文件或文件夹,但是删除的文件或文件夹在普通用户的回收站不会展示,只能通过网盘管理员/团队管理员/超级管理员登录后在回收站查看。
删除共享文件
如果授予用户全部权限,对于最外层目录,会过滤掉[协同管理员、收藏、删除、移动、重命名]等操作,意味着共享的最外层目录不支持直接删除。
支持删除共享文件夹内层的文件或文件夹,删除后的文件会在共享方的回收站里显示(支持从回收站恢复),不会出现在被共享用户的回收站。
查看用户当前权限
个人权限情况:展示的是直接给该用户授予的权限。
所在团队权限情况:展示的是该用户所在团队被授予的权限。
在管理控制台界面点击团队管理,选择目标用户,点击权限信息后可查看当前用户的权限情况。
个人权限和所在团队权限的优先级
如果直接授权在用户上的权限,是最高优先级。
如果团队的父子关系是a/b/c,该用户在团队c下面,默认是使用团队c下面的权限。
如果团队的父子关系是a/b,c,d(父团队a下有b,c,d三个子团队),该用户在不同的团队下面,需要根据授权团队距离所在用户的远近来判断(距离越近,权限优先级越高),如果距离相等,则取并集。
说明权限示意图可参考:权限管理
场景举例
请先确保新建的团队创建了对应的团队云盘,详情可参考团队及团队云盘创建与管理。
场景1:团队文件预览开放,下载仅管理者
用户上传的文件,团队内的成员都可以预览,但只有管理者可以下载。
实现步骤:
修改团队云盘的默认权限为上传权限(管理控制台-->团队空间-->找到对应的组)。
修改对应的权限为上传者
授予组长/高层对应的权限
方案一:可以授予组长/高层团队管理员或者网盘管理员身份。
方案二:授予组长/高层需要的权限即可:参考上述团队云盘授权管理步骤的操作。
场景2:用户限查自传文件,团队管理员允许查看所有文件
普通用户仅可在团队空间内查看自己上传的文件,但团队管理员可以查看团队空间内的所有文件。
实现步骤:
删除该团队云盘的默认权限(管理控制台-->团队空间-->找到对应的组)。
取消该团队空间的权限(意味着加入该团队的普通用户看不到该空间)。
使用网盘管理员/团队管理员身份分别创建和该普通用户对应的文件夹。
将上述文件夹分别授权给对应的用户即可:参考上述授权管理文件夹步骤。
场景3:多团队下,数据资料隔离
实现在企业网盘下建立一个部门,部门下设置了两个团队(两个子团队),这两个子团队的成员在各自的团队内上传的资料,互相看不到各自团队的资料,总经理/部门负责人可以管理所有团队的资料。
实现步骤:
请先确保新建的团队(包括子团队)创建了对应的团队云盘:团队及团队云盘创建与管理
给部门负责人授权该部门团队管理员的权限(也可以通过团队云盘授权的方式,分别授予部门负责人相关团队云盘的权限)
在不同的子团队中加入用户(也可以通过团队云盘授权的方式授予用户对应团队云盘的权限)。
场景4: 实现团队空间内某些资料只希望某些人可以看到
可以参考场景2:先取消成员所在团队对于团队空间的权限,再分别给对应成员创建一个单独文件夹并单独授予对应文件夹的权限即可实现
场景5:设置团队云盘或文件夹对用户不可见
实现步骤
在用户界面,选择目标团队云盘或文件夹,点击授权管理。
选择团队或用户进行“禁止访问”权限配置。
权限不符时的排查流程
查看用户当前权限
在管理控制台界面点击团队管理,选择目标用户,点击权限信息后可查看当前用户的权限情况。
取消或者修改对应的授权情况
修改团队云盘默认权限
在创建团队云盘时存在默认权限,该团队下的所有用户均拥有此默认权限,也可通过修改该默认权限来满足需求。
在管理控制台界面,点击云盘管理-->团队云盘,选择目标云盘点击修改云盘,即可修改该空间默认权限。
修改团队云盘对团队/用户的授权情况
在用户界面,点击企业-->团队空间,选择目标云盘后,点击”授权管理“,即对团队或用户进行权限配置。
修改团队文件夹对团队/用户的授权情况
在用户界面,点击企业-->团队空间,选择目标文件夹后,点击”授权管理“,即可对团队或用户进行权限修改。
管理控制台修改权限
管理员在管理控制台界面,点击团队管理,选择目标用户,点击”权限信息“后,点击”查看详情“直接进行权限修改。
常见问题
1. 团队空间选中后看不到“授权管理”按钮
用超级管理员账号登录,进入“管理控制台”,点击“共享/授权设置”,查看共享功能是否开启。
开启此开关后,如果还是无法看到,请尝试刷新页面。如果刷新页面后还是无法看到请联系技术支持。
2. 是否支持单文件授权?
当前暂不支持,可以看下能否使用分享链接功能代替。