基本概念
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/8
返回
用户
➢用户是权限系统的核心，是权限的载体
➢一个用户实名允许对应多个用户
➢用户一旦使用不允许修改用户实名 ➢系统类用户不需要授权
职员类
系统用户类
用户账号
客商类
业务管理员类
其他类
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/22 返回
数据权限是什么
➢数据权限是通过定义授权规则等限制用户拥有操作哪些数据的权限， 是一种纵向的数据控制
➢数据权限不是必须的，拥有功能权限的用户默认拥有其数据权限
➢授权意味着缩小权限
➢通过enableDataPermission系统参数控制数据权限是否启用
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/40 返回
普通数据权限与特殊数据权限关系
➢场景:设置了授权规则（普通数据权限）如：单据状态 等于 审核，同时设 置了拥有 者权限。目的是想只看到自己创建的且目前是审核状态的单据
➢问题:不但看到了自己创建的所有状态的单据，同时还看到了其他人创 建的状态为审核的单据
➢原因:系统中对普通数据权限和特殊数据权限取的or关系 ✓普通数据权限与特殊数据权限关系是通过LogicOfCommonAndSpecialRule 参数来设置 ✓可设置该参数的值为and来解决该场景问题
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/35 返回
字段权限
➢启用字段权限
在用户分配权限界面点 字段权限，即可设置
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/36 返回
字段权限效果
➢编辑界面无权查看字段，会用“无权限”遮盖 ➢编辑界面无权修改的字段会灰掉 ➢序时簿界面，将无权查看的字段用*替代 ➢序时 簿界面不处理修改权
选择组织
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/17 返回
角色的分配用户界面
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/18 返回
用户的分配角色界面
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/19 返回
禁止权
➢禁止某个或者某些操作的权限，是个负权限 ➢禁止权优先于任何权限 ➢多数用来控制业务互斥的操作授权 ➢也用来调整用户的权限
P/23 返回
பைடு நூலகம்
数据权限分类
➢一般数据权限
➢特殊数据权限 ✓主管权限 ✓创建者权限 ✓离散数据权限
➢字段权限
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/24 返回
一般数据权限
➢通过数据规则（过滤条件授权） ➢将数据规则绑定在功能权限上 ➢控制力度到了操作级别
角色/用户
功能权限
组织
版权所有 ©1993-2009 金蝶软件(中国)有限公司
用户实名
P/9
返回
组织单元、权限项、角色
➢组织单元 ✓系统权限控制隔离的单位
➢权限项 ✓系统分配权限粗细粒度中最小的单位 ✓例如：折旧方法查看权限
➢角色 ✓角色是一批权限项的集合 ✓主要目的是为了方便批量分配权限
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/10 返回
组织范围
➢用户组织范围是什么？ ✓用户权限控制中按功效进行的组织分类
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/20 返回
可转授
➢适用于业务管理员 ➢界定其管理权限范围和组织范围 ➢可转授权和操作权分离
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/21 返回
目录
1 权限模型
2 基本概念 3 功能权限 4 5 常见问题
数据权限
版权所有 ©1993-2009 金蝶软件(中国)有限公司
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/30 返回
拥有者例外
➢拥有者例外 ✓指定部分用户不受拥有者权限的限制
➢应用场景： ✓费用报销时，报销人只能看到自己的报销单，主管可以看到自己管辖范围内用 户的单据，而出纳、会计等人则属于例外情况，他们可以不受拥有者权限控制， 能够看到不是自己的且也不是其下属的报销单
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/37 返回
目录
1 权限模型
2 基本概念 3 功能权限 4 常见问题 5
数据权限
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/38 返回
权限日志
➢6.0 sp1环境及更高版本中有关于权限日志文件 ✓路径:eas\server\profiles\server*\logs\PermissionTrace.log ✓该日志文件中会记录所有与权限相关的操作的日志
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/42 返回
可授权处某些权限看不到
➢问题:在给用户直接分配权限时左边可授权列表中某些权限看不到
➢原因:可授权列表是通过选定的组织来进行过滤。 ✓在分配权限时会选定一个组织，如图中组织2是有扩展属性的。它的扩展 属性包括：财务组织、库存组织和销售组织 ✓定义权限项时会定义它的主业务组织属性orgRelation。如采购订单查看 权限的主业务为采购组织 ✓组织2的扩展属性中不包括采购订单查看权限的主业务组织：采购组织。因此 在可授权列表中就不会出现采购订单查看权限项。
➢可转授：如果被分配权限的用户是业务管理员，则可以分配可转授权限，即该用 户可以给其他用户分配的权限
➢已禁止：禁止权限优先于其他任何权限，即如果某权限被禁止了，那么该用户就 没有该权限
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/16 返回
角色授权
角色
给角色授权
分配用户
➢角色是一批权限项的集合 ➢角色权限与组织无关 ➢角色权限在分配用户之前并未生效 ➢角色也能分配数据权限
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/43 返回
权限异动表
➢问题：升级后一些已分配的权限项丢失
➢如何分析:同步权限项时某情况下会将已分配的权限取消，相关 记录可在在权限异动表中 ✓“用户列表界””查看””查看权限项异动报告” ✓该报表中会记录详细的原因
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/29 返回
拥有者权限
➢对业务对象的拥有者赋予的特殊权限。 例如：谁建的单据或者物料等，只能由来修改、删除、作废； 自己不能审核自己做的单据和物料等记录；
➢拥有者允许增加
➢拥有者权限可以有例外
分管理单元启用拥 有者权限和主管权 限。
启用拥有者权限 之后，才允许对 相关权限进行设 置。
➢server*代表实例名，如果是多实例情况，在每个实例都需要进行操作
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/39 返回
数据权限不生效
➢问题:设置了数据权限并不生效 ✓是否支持数据权限是通过集团参数 enableDataPermission来控制
版权所有 ©1993-2009 金蝶软件(中国)有限公司
➢分类 ✓业务组织范围 ✓行政组织范围 ✓管辖组织范围
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/11 返回
组织范围使用
➢切换组织 ➢按组织授权 ➢构建HR的组织树 ➢构建业务组织的F7 ➢确定缺省组织
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/12 返回
目录
1 权限模型
➢问题：低版本没有该日志文件，有时高版本也无该日志文件 ✓在eas\server\profiles\server*\config\log4j.properties中进行 配置后才会输出 ✓处理方式：用有权限日志的701环境中的log4j.properties文件 替换掉自己环境中的log4j.properties文件。重启EAS服务
2 基本概念 3 4 数据权限 5 常见问题
功能权限
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/13 返回
功能权限是什么
➢用户的功能权限＝在系统中有权进行的操作 ➢功能权限控制用户能做什么操作，权限和组织相关
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/14 返回
用户授权
数据权限
P/25 返回
授权规则
版权所有 ©1993-2009 金蝶软件(中国)有限公司
选中这个节点，可 以给所有的下级权 限项授数据规则
增加行和删除行 按钮可以增加和 删除规则。通过 上移下移按钮调 整规则排列的顺 序
P/26 返回
概述
➢特殊数据权限按CU隔离 ➢只能由管理员启用 ➢可减少规则定义和数据授权工作量
用户
业务组织
➢选择用户－确定用户的组织范围 ➢选择组织－确定可授权权限项 ➢选择权限项授予用户后保存
功能权限
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/15 返回
用户授权
➢组织：授权组织限制在被分配用户的业务组织范围内
➢可授权：可授权权限树会根据选择的组织的组织类型进行过滤，只有权限项的组 织类型(orgRelation)是在选择的组织的类型中才会显示
➢ 在EAS系统中它们分别对应的是什么？
版权所有 ©1993-2009 金蝶软件(中国)有限公司
P/5
返回
权限模型
角色分配权限
权限
功能
数据
权限
权限
分配权限
角色
分 配 用 户