Domino ACL权限设置详解

Domino中，数据库的存取控制列表是Domino安全性的重要组成部分，也是决定每个用户

能否访问数据库的主要设置。本文详述了存取控制列表的各项设置，以帮助用户更好地理解并

使用数据库的ACL。

ACL的“基本”页面

ACL的“角色”页面

ACL的“日志”页面

ACL的“高级”页面

存取控制列表(ACL) 中可接受的名称

正文在Domino中，数据库的存取控制列表是Domino安全性的重

要组成部分，也是决定每个用户能否访问数据库的主要设置。

每个数据库都有自己的存取控制列表（Access Control List,

以下简称ACL）。打开一个数据库，选择菜单“文件”-“数据

库”-“存取控制”，就可以看到该数据库的ACL。

ACL分为四个页面：基本、角色、日志和高级。以下分别说明

这四个页面中的内容。并说明了ACL中可以接受的名称格式。

ACL的“基本”页面

ACL的核心功能都包含在“基本”页面中。在“个人/服务器/工作

组”中选择“全部显示”，所有存取级别的用户都会被列出。也可

以选择仅查看“管理者”、“设计者”等某个存取级别的用户。当选

中某个用户名时，对话框中会显示他的用户类型和存取级别，

以及与此存取级别相应的一些扩展和限制选项。用户类型和存

取级别指定了用户对此数据库的最大权限。数据库的管理员可

以增加、删除或修改用户的权限。

点击看大图

七个存取级别

ACL中共有七个存取级别：管理者、设计者、编辑者、作者、读者、存放者和不能存取者。了解这些级别的含义是了解ACL 工作机制的基础。下图显示了每个存取级别的缺省权限，从不能存取者开始，每个级别都比下一级拥有更多的权限，直到拥有所有权限的管理者。（每个级别的权限都包含其下所有级别

的权限）。

不能存取者

此级别表示用户没有任何权限，不能存取数据库。管理员可以开放给不能存取者的权限只有“读取公用文档”和“写公用文档”。关于公用文档的概念，见下面的“读写公用文档”部分。

存放者和读者

存放者只能向数据库中放入文档，但不能读取这些文档。读者则只能读文档，但不能向数据库中放入文档。二者都只具有单一的功能。（读者拥有一个额外的权限，可以执行代理）。

作者

作者可以创建、修改、删除文档。但是，要想使拥有作者权限的用户能够修改、删除文档，还需要作进一步的设置：要创建文档，需要选中“创建文档”选项。要修改文档，需要设置文档中的作者域。要删除文档，需要选中“删除文档”选项，同时需要设置文档中的作者域。

在设计数据库时，有一类特殊的域称为作者域，这种域的类型是“作者”。在文档中，作者域可以包含用户、群组或角色的名称。如果一个用户在ACL中具有作者权限，同时，他的名字又包含在文档的作者域中，那么，这个用户就是该文档的所有者之一，可以修改此文档。如果用户未被包含在作者域中，则即使此文档是由他创建的，也无权修改它。

作者域只对存取级别为作者的用户起作用。其他的存取级别不受作者域的限制。例如，存取级别为读者的用户，即使名字包含在作者域中，也无权修改文档；存取级别为编辑者以上的用户，不需要包含在作者域中也可以修改数据库中所有文档。

因此，在设计数据库时，如果需要仅允许用户修改库中的一部分文档，则需要加入作者域，以细化用户的权限。

编辑者

编辑者具有更高的存取权限，可以修改数据库中的所有文档。通过各个子选项的设置，还可以赋予编辑者以下权限：删除文档，创建个人代理，创建个人文件夹/视图，创建共享文件夹/视图，创建LotusScript/Java代理。

设计者

作为设计者，用户可以修改数据库的设计，包括表单、视图等所有设计元素。通过子选项的设置，还可以赋予编辑者以下权限：删除文档和创建LotusScript/Java代理。如果不允许设计者创建LotusScript或Java代理，则他们不能对数据库中的LotusScript或Java代码进行修改。

管理者

管理者具有所有的权限，包括修改ACL本身。只有数据库的管理者才能赋予其他用户适当的权限。为了保证管理者不会误删文档，也可以将他们自己“删除文档”的权限去掉。

创建代理和文件夹的选项

与创建代理和文件夹有关的几个选项对从读者到设计者的存取级别都适用，因此有必要在此单独讨论。

个人代理，顾名思义，只有创建它的用户自己能够运行它。例如，用户可以创建一个个人代理来对数据库中的文档进行排序。如果用户在数据库ACL中有适当的权限，他所创建的代理就可

以对数据库进行操作。个人代理可以在服务器上后台运行，也可以在客户端上运行。

共享代理则是供所有用户公用的代理，读者以上权限的用户都可以运行。

每个用户都可以创建个人文件夹和视图。如果“创建个人文件夹/视图”选项被选中，用户所创建的个人文件夹和视图都将保存到服务器上的数据库中，会占用服务器的资源。如果此选项不选中，则用户所创建的个人文件夹和视图都将保存在客户端的桌面文件中。

共享文件夹和视图保存在服务器上的数据库中，可供所有用户使用。用户要具有编辑者以上权限，“创建共享文件夹/视图”选项才可用。

LotusScript和Java代理是运行LotusScript或Java语言的代理，可以创建这类代理的用户就不仅能够使用公式和简单操作，还可以使用这两种语言进行编程，完成较为复杂的功能。

读写公用文档

使用“读取公用文档”和“写公用文档”这两个选项可以让“不能存取者”或“存放者”读写特定的文档、表单、视图和文件夹，而不用给他们“读者”或“作者”的存取级别。要想使文档成为公用文档，数据库的设计者需要作两方面的设置。首先，在“表单”、“视图”和“文件夹”属性对话框的“安全性”附签中指定“对有公共存取权限的用户开放”选项。其次，希望对有公共存取权限用户开放的文档，必须包含一个名为$PublicAccess 的域。$PublicAccess 域应该是文本域并且它的值应该等于1。

五种用户类型

ACL中的用户类型有五种：个人，服务器，混合组，个人组和服务器组。ACL中的每个名字都有自己的用户类型，当用户访问数据库时，所使用的ID文件的类型应与ACL中的用户类型相一致。

个人和个人组

当用户访问服务器时，Domino会为用户生成一个名称列表，表中包括用户打开数据库时可以使用的所有名字，包括用户的公用名和所属的所有组名。当用户打开一个数据库时，服务器可以检测到所使用的是用户自己的名字还是组名。如果在ACL 中一个用户的名称被错误地指定为“个人组”类型，则该用户无法打开数据库，因为他不是用群组的身份访问数据库。

服务器和服务器组

服务器和服务器组都表示所用ID必须是服务器，不能用此身份从Notes客户端访问数据库。这就保证了用户必须使用自己的ID，在有适当权限的时候才能访问数据库，避免某些用户获取服务器ID后，在客户端切换到服务器的ID来访问数据库。例如，每个数据库的ACL中都包含的LocalDomainServers，就必须是服务器组类型，其中的每个成员都必须是一个服务器。混合组

混合组中既可以包含用户也可以包含服务器。如果为某个名称指定了混合组类型，则无论使用个人的ID还是服务器的ID，无论从后台（服务器）访问还是从客户端访问，Domino都允许。

综上所述，当用户不能访问数据库时，需检查ACL中的存取权限设置，也要检查用户类型是否正确。所指定的类型不正确时，也会影响用户的访问。

ACL的“角色”页面

角色是对存取权限进行细化的重要手段。初学者可能觉得角色很难理解，因为角色可以指定给ACL中的任一项目。从某种意义上来说，角色可以理解为仅在本数据库内部起作用的群组。当管理者希望在七级存取级别的基础上进一步细化存取权限时，可以使用角色。例如，角色可以在作者域、读者域、隐藏公式等地方使用。假设某个文档的读者域中只包含一个角色的名称，那么，不具有此角色的用户，即使拥有管理者权限也无法看到此文档。

使用角色对数据库的设计者和管理者都很方便。对设计者来说，在开发阶段完全不必考虑最终用户的具体名称，也不必把群组的名称固定地写在代码中，只要定义并使用一系列角色即可。特别是对数据库模板的设计者来说，这一点更为方便。对管理者来说，不必为某个应用去修改公用通讯录，增加或删除群组，而只要将用户或群组的名称加入ACL，赋予他们适当的存取级别和角色，就可以让他们正常地使用该应用了。

Domino自带的模板中，使用角色的例子很多。如公用通讯录中，就有[UserCreator]、[UserModifier]等8种角色，分别赋予用户不同的权限。

点击看大图

ACL的“日志”页面

日志页面显示了ACL的修改记录。其中包括每次对ACL项目进行的增加、删除和更新。不仅有用户对ACL所作的修改，也有服务器从后台修改ACL的记录。

ACL也可以被签名，签名者的信息显示在ACL对话框的底部。签名信息描述了ACL最后是什么时候用哪个验证字修改的。

点击看大图

ACL的“高级”页面

高级页面中包括几项设置，以下分别说明。

点击看大图

管理服务器

在ACL中为数据库指定管理服务器之后，该服务器上的管理进程就可以对此数据库进行自动操作。例如，当删除了用户时，管理进程可以自动从ACL中删除该用户对应的项目。设置管理服务器可以保证ACL的自动更新，如果没有指定管理服务器，用户改名或删除后管理员需要手工更新数据库的ACL。

管理员还可以指定管理服务器是否修改数据库中的读者域和作者域。如果用户在改名之后仍需保持原来的所有权限，则应使管理服务器修改数据库中的读者域和作者域；如果用户不再需要原来通过读者域和作者域所获得的权限，则应选择“不要修改读者和作者域”。

管理服务器必须是数据库（或数据库的复本之一）所在的服务器。当指定了某个服务器是管理服务器后，在ACL的基本页面中，该服务器名称前面的图标会增加一把钥匙，如图所示。

点击看大图

此数据库的所有复本使用相同的存取控制列表

当数据库在客户端本地被打开时，用户实际上获得了管理者权限，无论他在ACL中的实际权限是什么。这是由于安全性没有

被强制遵守。如果选中了“此数据库的所有复本使用相同的存取控制列表”选项，用户在本地就不能获得比ACL中规定的更高的权限。如果用户修改了本地数据库复本的ACL，则此数据库复本将无法再与服务器上的数据库进行复制。

此选项对服务器和客户端同样有效。如果一个服务器原来不是数据库的管理者，而此服务器上的复本的ACL被修改了，则此服务器上的复本将不能与其他服务器进行复制。

注意，选中此选项并未减低服务器的存取权限，也不会为用户或服务器增加权限。这个选项只是保证复制时使用的是原来指定的权限。

Internet用户的最大权限

无论在ACL中用户是什么存取级别（即使用户是数据库的管理者），当用户从Web浏览器登录时，最多只能获得此选项指定的权限，缺省是编辑者。这样设置的原因是，基本Web身份验证（用户名和口令）并不是绝对安全，而且大部分设计和管理的工作从浏览器端也无法完成，那么，就没有必要对Internet 用户开放这些权限了。例如，用户在ACL中是管理者权限，但Internet用户的最大权限是读者，当用户从浏览器访问数据库时，用户只能是读者权限；要想对数据库进行管理，该用户必须使用Notes客户端。

查找类型为<未确定>的用户

Lotus建议用户在ACL中使用用户类型，但用户类型并不是强制要选的。当向ACL中添加项目时，用户类型可以是“未确定”。为了减轻管理者的工作，Domino提供了“查找类型为<未确定>的用户”按钮。点击此按钮，Notes会自动查询类型为“未确定”的项目，自动为这些项目添加类型。

例如，当ACL中有一个未确定类型的项目时，Notes会搜索公用通讯录，以确定此项目是用户还是群组。如果是群组，Notes 会将此项目的类型设为混合组。出于性能方面的考虑，Notes 不会逐一搜索群组中的每个成员，以确定其中是否只包含服务器。

存取控制列表(ACL) 中可接受的名称

存取控制列表中可接受的项目包括用户、服务器和群组名称、数据库复本标识符、用于Internet 用户存取和匿名Notes

用户存取的“匿名”名称、Internet 客户机的用户和群组名称以及等价名。每个名称最多包含255 个字符。

通配符项目

要允许对数据库的一般存取，可以在存取控制列表中输入带有通配符(*) 的层次名称。可以在公共名称和组织单元部分使用通配符。层次名的相应成分中含有通配符的所有用户和/或服务器将获得对数据库指定的存取权限。

例如，通配符格式的存取控制列表项目为：

*/Illustration/Production/Acme/US

则Mary Tsen/Illustration/Production/Acme/US就拥有选定的存取级别，而Alan Nelson/Acme/US则没有此存取级别的权限。

在存取控制列表项目的最左边只能使用一个通配符。例如：不能使用项目：

*/Illustration/*/Acme/US

当使用带通配符的存取控制列表项目时，用户类型需设置为“未指定”、“混合组”或“个人组”。

用户名称

对于具有经过验证的Notes 用户标识符的个人名称，或使用名称和口令或SSL 客户机验证进行验证的Internet 用户的名称，可以将其添加到存取控制列表中。

?如果正在添加的Notes 用户名称与存储数据库的服务器的名称位于不同的层次组织，那么必须为此用户输

入完整的层次名称，例如：John Smith/Sales/Acme。

?如果正在添加的Notes 用户名称与存储数据库的服务器位于同一个层次组织，只需要输入其层次名的公共

名称部分，例如：John Smith。为了确保更严密的名

称安全性，最好使用完整的层次名。

?对于Internet 客户，必须输入将要显示在“个人”文档的“用户名”域中的名字。存取控制列表中的

“-Default-”存取项目和“Anonymous”项目必须设置

为“不能存取者”；否则，Notes 将赋予Internet 用

户“-Default-”或“Anonymous”所具有的存取级别，而

不是为用户指定的存取级别。

服务器名称

可以向存取控制列表中添加服务器的名称以控制数据库从数据库复本中接收的更改。

?如果正在添加的服务器名称与存储数据库的服务器位于不同的层次组织，那么必须为该服务器输入完整的层

次名称，例如：Server1/Sales/Acme。

?如果正在添加的名称与存储数据库的服务器位于相同的层次组织，只需要输入层次名称的公共名称部分，例

如：Server1。为了确保名称更严密的安全性，可以使

用完整的层次名称。

群组名称

群组是对一个数据库需要相同存取权限的用户或服务器的列表。可以向存取控制列表中添加群组名（例如：Training）以表示需要相同存取权限的多个用户或服务器。存取控制列表中列出的任何群组，在添加到数据库存取控制列表之前必须已经存在于“Domino 目录”中，或者存在于“LDAP 目录”（在Directory Assistance 数据库中已经为群组扩展配置了该目录）。

群组提供了管理数据库存取控制列表的便利方法。Domino 管理员能够向存取控制列表中添加一个群组，而不是添加一长串单独的名称。如果对数据库的存取权限改变了，管理员只需改变群组名的存取权限，而不必对列表中的每一个单独名称进行改变。要新建包含在存取控制列表中的群组，必须对数据库有“管理者”存取级别。

对于数据库的管理者，要使用单独的名称而不是群组名。于是，当用户选择“创建”“其他”“特殊便笺/给数据库管理员的便笺”时，他们可以知道自己在向谁寄信。

在存取控制列表中使用群组有如下优点：

?如果需要改变几个用户或服务器的存取级别，可以只对整个群组进行一次改变。如果群组列在多个存取控制列

表中，可以在中心位置（即“Domino 目录”或“LDAP

目录”）修改成员列表，而不是在多个数据库中添加和

删除名称。

?可以使用群组来使某些用户能够控制数据库的存取但不能改变设计。例如：可以在“Domino 目录”中为每个

所需的数据库存取级别创建群组，将此群组添加到存取

控制列表中，并允许特定的用户拥有该群组。如果这些

用户在存取控制列表中没有“管理者”或“设计者”的存

取级别，他们就不能修改数据库的设计。

群组名称可以反映群组成员的职责或部门和公司的组织结构。

终止群组

当雇员离开组织时，Domino 管理员应当从“Domino 目录”的所有群组中删除其名称，并将其添加到用于终止的群组中，该群组不能访问服务器。作为数据库管理者，您应当从您管理的所有数据库存取控制列表中删除终止的雇员名称。确保向存取控制列表中添加了终止群组并为此群组指定存取级别为“不能存取者”。

等价名

等价名是为已注册的Notes 用户指定的可选别名。如果一个Notes 用户有等价名，可以将其添加到存取控制列表中。等价名提供的安全性级别与主要的层次名称相同。用户必须列在群组中并有一个主要层次名或等价名。以等价名格式显示的用户名样例为：Sandy Smith/ANWest/ANSales/ANAcme，其中AN 为等价名。

LDAP 用户

可以使用一个外部“LDAP 目录”验证Web 用户。然后将这些Web 用户的名称添加到数据库的存取控制列表以控制这些用户对数据库的访问。

也可以在包含这些Web 用户名的外部LDAP 目录中创建群组，然后将这些组做为整体添加到Notes 数据库的存取控制列表中。例如：Web 用户可能试图使用Domino Web 服务器来访问某个数据库。如果该Web 用户成功通过了验证，且在数据库的存取控制列表中有一个名为“Web”的群组，那么服务器除了在主“Domino 目录”中搜索Web 用户名外，还可以在位于外部LDAP 目录中的群组“Web”中查找项目。注意，要使这种情况有用，Web 服务器上的“目录服务”数据库必须为启用了“群组扩展”选项的LDAP 目录包含一个“LDAP 目录服务”文档。还可以使用此功能来查询存储在外部LDAP 目录群组中的Notes 用户以进行数据库存取控制列表检查。

向数据库的存取控制列表中添加LDAP 目录用户或群组的名称时，请对名称使用LDAP 格式，但使用斜杠(/) 而不是逗号(,) 作为分隔符。例如：如果LDAP 目录中的用户名为：uid=Sandra Smith,o=Acme,c=US

在数据库的存取控制列表中输入：

uid=Sandra Smith/o=Acme/c=US

如果在存取控制列表中输入了非层次结构的LDAP 目录群组名称，则在项目中不要包含属性名，而只包含属性值。例如：如果LDAP 群组名为：

cn=managers

在存取控制列表中只输入：

managers

不过，如果群组名为：

cn=managers,o=acme

则在存取控制列表输入：

cn=managers/o=acme

除了非层次结构群组名的情况下，在存取控制列表项目中要包含LDAP 属性名。不过请注意，如果指定的属性名正好与Notes 中使用的那些属性名(cn, ou, o, c ) 一致，存取控制列表将不显示该属性。例如：如果在存取控制列表中输入下面的名称：

cn=Sandra Smith/ou=West/o=Acme/c=US

由于这些属性与Notes 所使用的那些属性相对应，所以名称在存取控制列表中显示为：

Sandra Smith/West/Acme/US

匿名用户

任何匿名访问远程服务器的用户或服务器都被该远程服务器认作“Anonymous”。匿名访问被提供给未与服务器进行验证的Internet 用户和Notes 用户。

匿名访问通常提供给允许公共访问的服务器。通过在存取控制列表中输入名称“Anonymous”，可以控制授予匿名用户或服务器的数据库存取级别。典型地，可以给“Anonymous”用户指定对数据库具有“读者”存取级别。如果没有“Anonymous”项，则匿名用户将被赋予“-Default-”项的存取级别。

Domino 服务器使用单独的群组名称“Anonymous”以进行存取控制检查。例如：如果“Anonymous”在数据库存取控制列表中有“作者”存取级别，则用户的真名会出现在那些文档的“作者”域中。在文档的“作者”域中，Domino 服务器只能显示匿名

Notes 用户的真实名称，而不能显示匿名Web 用户的真实名称。不管是否使用了匿名存取，“作者”域都不是安全功能；如果安全性需要作者名的有效性，那么文档应该签名。

复本标识符

通过将其它数据库的复本标识符包括在您所管理的数据库中，可以让位于相同服务器上的其它数据库的代理使用

@DbColumn 或@DbLookup 从您管理的数据库提取数据。数据库存取控制列表中的复本标识符的样例为

85255B42:005A8fA4。

要确定数据库的复本标识符，选择“文件”“数据库”“属性”，并单击“信息”附签；或者选择“文件”“数据库”“设计摘要”，并选择“复制”。

提取数据库对数据库至少要有“读者”存取级别。通过向数据库存取控制列表中添加其它数据库的复本标识符并且指定它有“读者”或更高的存取级别，可以提供此存取级别。向存取控制列表中添加复本标识符可以直接键入，或者从“设计摘要”中拷贝并粘贴到存取控制列表中。能够以大写或小写键入复本标识符，但是不要将其用引号引起来。如果没有向存取控制列表中添加复本标识符，但数据库“-Default-”项的存取级别是“读者”或更高时，其它数据库仍然可以提取数据。

系统初始设置(系统管理员使用)

OA系统使用过程中，系统管理员使用管理员账号与密码登陆系统，然后根据需要查看如下对应的帮助项。用管理员账户与密码登陆系统后，可进行系统设定，如果使用普通员工账户是无法进行系统设定的。管理员账户与密码请从软件提供商处获得。系统管理菜单在左侧菜单部分的最后一个模块菜单，点开后展出所有管理菜单。单位信息管理逐项进行实际情况填写，填写完成后点击界面右上方的“提交”按钮进行保存。部门信息管理

右上角的工具条介绍如下：输入关键字，可以直接模糊查询数据。添加按钮，是指添加一条新数据，在此代表添加一个新的部门。修改按钮，是指修改一条制定的记录，如修改一个错误的部门名称，点此按钮前，必须选定一个需要修改的数据项。删除按钮，是指删除选定的部门信息。导出按钮，是指将当前的信息导出到Excel文件中。返回按钮，是指返回到刚才显示的页面，前一个显示的页面。添加时逐项填写，填写完毕后，点击右上角的“提交”进行数据保存。角色信息管理在添加用户之前，需要预先定义好角色信息，如：普通员工、部门领导、单位领导、系统管理员、超级管理员等等角色。所有用户的权限都是根据用户所属的角色确定的。这个角色拥有哪些权限，那么用户就拥有什么样的权限。

添加角色时，勾选对应模块的查看、添加、修改、删除、导出等权限。勾选上代表，这个角色拥有此项权限。用户信息管理系统内所有用户都在此模块下添加、修改、删除、停用等。

添加时，请务必选择用户所属部门、所属角色。用户名：系统内使用的用户名，如：张三、李四，请直接使用中文用户密码：用户登录系统时所用密码。登录账号：用户登录系统时所使用的账户名称，如admin,test，以英文或者数字等易于填写的为主，也可使用中文名称。所属部门：直接点击后方的放大镜图标进行选择部门。所属角色：直接点击后方的放大镜图标进行选择角色，这个角色作为登录系统时的权限设定。是否允许登录：是指是否允许这个用户登录系统，默认为允许状态。系统参数设置设置允许上传的文件格式，采用, 分隔，请务必使用半角符号。

信息系统用户和权限管理制度

物流信息系统用户和权限管理制度第一章总则第一条为加强物流信息系统用户账号和权限的规范化管理,确保物流信息系统安全、有序、稳定运行，防范应用风险，杜绝公司商业数据外泄，特制定本制度。第二条物流信息系统用户、角色、权限的划分和制定，以人力资源部对部门职能定位和各业务部门内部分工为依据。第三条物流信息系统须指定系统管理员负责用户和权限管理的具体操作。第四条物流信息系统用户和权限管理的基本原则是：（一）账号申请或权限修改，由使用人报本部门分管副总和总经理审核。（二）用户、权限和口令设置、U盾由系统管理员全面负责。（三）用户、权限和口令管理、U盾必须作为物流信息系统登陆的强制性技术标准或要求。（四）用户采用实名制管理模式。（五）用户必须使用自己的U盾和密码登陆系统，严禁挪用、转借他人。第二章管理职责第五条超级系统管理员职责负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。第八条业务管理员职责负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员，为本业务系统用户提供操作培训和技术指导，使其有

权限实施相应业务信息管理活动。第九条用户职责用户须严格管理自己用户名和口令以及U盾，遵守保密性原则，除获得授权或另有规定外，不能将收集的数据信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息，即实名制登记。第三章用户管理第十条用户申请和创建（一）申请人在《用户账号申请和变更表》上填写基本情况，提交所在部门分管副总；（二）所在部门分管副总确认申请业务的用户身份权限，并在《用户账号申请和变更表》上签字确认，提交总经理审核。（三）总经理审核并在《用户账号申请和变更表》上签字确认。（四）申请人持签字确认的《用户账号申请和变更表》到行政后勤部领取U盾（修改权限不需领取U盾）。（五）申请人持签字确认的《用户账号申请和变更表》和U盾到信息中心,创建用户或者变更权限。（六）系统管理员和业务管理员将创建的用户名、口令告知申请人本人，并要求申请人及时变更口令；（七）系统管理员和业务管理员将《用户账号申请和变更表》存档管理。第十一条用户变更和停用（一）用户因工作岗位变动，调动、离职等原因导致使用权限发生变化或需要注销其账号时，应填写《用户账号申请和变更表》，按照用户账号停用的相关流程办理，由系统管理员和业务管理员对其权限进行修改或注销。（二）行政后勤部主管确认此业务用户功能权限改变原因或离职，并在《用户账号申请和变更表》上签字确认；（三）用户归属部门主管确认此业务用户功能权限改变原因或离职，并

系统权限管理设计方案(优选.)

OA系统权限管理设计方案 l 不同职责的人员，对于系统操作的权限应该是不同的。优秀的业务系统，这是最基本的功能。 l 可以对“组”进行权限分配。对于一个大企业的业务系统来说，如果要求管理员为其下员工逐一分配系统操作权限的话，是件耗时且不够方便的事情。所以，系统中就提出了对“组”进行操作的概念，将权限一致的人员编入同一组，然后对该组进行权限分配。 l 权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。就像是组件一样的可以被不断的重用，而不是每开发一套管理系统，就要针对权限管理部分进行重新开发。 l 满足业务系统中的功能权限。传统业务系统中，存在着两种权限管理，其一是功能权限的管理，而另外一种则是资源权限的管理，在不同系统之间，功能权限是可以重用的，而资源权限则不能。针对OA系统的特点，权限说明：权限在系统中，权限通过模块+动作来产生，模块就是整个系统中的一个子模块，可能对应一个菜单，动作也就是整个模块中（在B/S系统中也就是一个页面的所有操作，比如“浏览、添加、修改、删除”等）。将模块与之组合可以产生此模块下的所有权限。权限组为了更方便的权限的管理，另将一个模块下的所有权限组合一起，组成一个“权限组”，也就是一个模块管理权限，包括所有基本权限操作。比如一个权限组（用户管理），包括用户的浏览、添加、删除、修改、审核等操作权限，一个权限组也是一个权限。

角色权限的集合，角色与角色之间属于平级关系，可以将基本权限或权限组添加到一个角色中，用于方便权限的分配。用户组将某一类型的人、具有相同特征人组合一起的集合体。通过对组授予权限（角色），快速使一类人具有相同的权限，来简化对用户授予权限的繁琐性、耗时性。用户组的划分，可以按职位、项目或其它来实现。用户可以属于某一个组或多个组。通过给某个人赋予权限，有4种方式(参考飞思办公系统) A. 通过职位 a) 在职位中，职位成员的权限继承当前所在职位的权限，对于下级职位拥有的权限不可继承。 b) 实例中：如前台这个职位，对于考勤查询有权限，则可以通过对前台这个职位设置考勤查询的浏览权，使他们有使用这个对象的权限，然后再设置个，考勤查询权（当然也可以不设置，默认能进此模块的就能查询），则所有前台人员都拥有考勤查询的权利。 B. 通过项目 a) 在项目中，项目成员的权限来自于所在项目的权限，他们同样不能继承下级项目的权限，而对于项目组长，他对项目有全权，对下级项目也一样。 b) 实例中：在项目中，项目成员可以对项目中上传文档，查看本项目的文档,可以通过对项目设置一个对于本项目的浏览权来实现进口，这样每个成员能访问这个项目了，再加上项目文档的上传权和查看文档权即可。

信息系统用户帐号和角色权限管理流程

信息系统用户帐号与角色权限管理流程一、目的碧桂园的信息系统已经在集团下下各公司推广应用，为了确保公司各应用信息系统安全、有序、稳定运行，我们需要对应用信息系统用户帐号和用户权限申请与审批进行规范化管理,特制定本管理规定。二、适用范围适用于公司应用信息系统和信息服务，包括ERP系统、协同办公系统、各类业务应用系统、电子邮箱及互联网服务、数据管理平台等。三、术语和定义用户：被授权使用或负责维护应用信息系统的人员。用户帐号：在应用信息系统中设置与保存、用于授予用户合法登陆和使用应用信息系统等权限的用户信息，包括用户名、密码以及用户真实姓名、单位、联系方式等基本信息内容。权限：允许用户操作应用信息系统中某功能点或功能点集合的权力范围。角色：应用信息系统中用于描述用户权限特征的权限类别名称。四、用户管理（一）用户分类 1.系统管理员：系统管理员主要负责应用信息系统中的系统参数配置，用户帐号开通与维护管理、设定角色与权限关系，维护公司组织机构代码和物品编码等基础资料。 2.普通用户：指由系统管理员在应用信息系统中创建并授权的非系统管理员类用户，拥有在被授权范围内登陆和使用应用信息系统的权限。（二）用户角色与权限关系 1.应用信息系统中对用户操作权限的控制是通过建立一套角色与权限对应关系，对用户帐号授予某个角色或多个角色的组合来实现的，一个角色对应一定的权限（即应用信息系统中允许操作某功能点或功能点集合的权力），一个用户帐号可通过被授予多个角色而获得多种操作权限。 2.由于不同的应用信息系统在具体的功能点设计和搭配使用上各不相同，因此对角色的设置以及同样的角色在不同应用信息系统中所匹配的具体权限范围可能存在差异，所以每个应用信息系统都需要在遵循《应用信息系统角色与权限设置规范》基础上，分别制定适用于本系统的《碧桂园应用信息系统角色与权限

企业级应用系统权限管理办法

企业级应用系统权限管理办法（暂行）一、目的为加强企业级应用系统权限管理，保证公司应用系统所涉及各类信息安全，不因系统权限设置发生信息泄密事故，特制定本管理办法。二、适用范围本办法适用于公司上线的企业级应用系统。三、权限设置原则（一）公司各应用系统权限设置分为“功能权限”和“数据权限”。功能权限指应用系统中为完成某项业务所开发的系统功能，“数据权限”指使用某项功能时可获取的数据范围。（二）功能权限原则上授予各工作岗位，按照岗位从事的业务范围和职责授予该岗位相应的功能权限，处于该工作岗位的员工自动获得该岗位的功能权限；公司总经理、信息化领导小组组长的功能权限为系统中所有查询、统计类权限；各业务主分管领导功能权限为所主分管各业务部门所拥有的查询、统计类权限合集。（三）数据权限设置分主分管领导、系统管理员、总部部门、项目经理部分别设置。一般情况下，总经理、信息化领导小组组长、系统管理员数据权限为系统所有数据；主分管领导数据权限为所主分管各业务部门数据权限合集；总部部门数据权限为相应系统功能中所有数据；项目数据权限为本项目数据。（四）企业级应用系统上线时，应同时完成系统权限分配表的签发工作，系统权限设置以权限分配表为依据。四、岗位人员设置（一）应用系统中各岗位人员设置，公司有明确规定的，按照公司规定设置。（二）应用系统中各岗位人员设置，公司无明确规定的，由各单位申报名单，按申报名单设置。五、权限管理职责（一）信息化领导小组组长是信息化系统权限管理最高领导，全面负责信息化系统权限管理工作，负责信息化系统权限分配表的批准、签发。（二）信息管理室作为企业级信息化系统权限管理的牵头部门，负责指定各应用系统系统管理员；负责制定权限分配表，并根据公司管理需要、系统功能调整、扩充对权限分配表进行变更维护；依据权限分配表对系统中各种权限进行检查，保证系统中权限设定符合权限分配表的要求。

中国免疫规划信息管理系统用户与权限管理规范

中国免疫规划信息管理系统用户与权限管理规范一、总则（一）目的加强中国免疫规划信息管理系统管理，规范系统用户与权限，保障免疫规划信息管理系统的安全运行，特制定本规范。（二）依据《计算机信息系统安全保护条例》《疫苗流通和预防接种管理条例》《卫生系统电子认证服务管理办法（试行）》《预防接种工作规范》《儿童预防接种信息报告管理工作规范（试行）》《全国疑似预防接种异常反应监测方案》《中国疾病预防控制中心计算机网络安全管理办法（试行）》（三）适用范围 “中国免疫规划信息管理系统”包括预防接种、疫苗管理、疑似预防接种异常反应、冷链设备4个业务管理子系统和综合管理系统。本规范适用于使用“中国免疫规划信息管理系统”的所有机构和用户，包括各级卫生计生行政部门、疾病预防控制机构、乡级防保组织和预防接种单位、药品不良反应监测机构及其它有关机构和用户。二、用户管理（一）用户类型

1、系统管理员国家、省、市、县级疾病预防控制机构设立系统管理员，授权管理“中国免疫规划信息管理系统”用户，是履行用户管理与服务职能的唯一责任人。 2、审计管理员国家、省、市、县级疾病预防控制机构设立审计管理员，授权“中国免疫规划信息管理系统”安全审计，是履行系统安全审计的责任人。 3、业务管理员国家、省、市、县级疾病预防控制机构设立业务管理员，授权分配业务子系统用户权限，是履行所管业务子系统的权限分配、建立角色等职能的责任人。 4、普通用户各级根据业务需求，由系统管理员建立普通用户，由业务管理员授权，是执行相应业务工作的责任人。（二）用户职责 1、系统管理员负责本级的业务管理员、普通用户以及下一级系统管理员的用户账号管理，县级系统管理员还需负责辖区内乡级普通用户的账号管理。包括各类用户的创建、有效性及密码等维护管理，分配业务子系统，为所管用户提供账号使用的操作培训和技术指导等。 2、审计管理员负责本级及下一级操作安全审计，县级审计管理员还需负责辖区

系统用户及权限管理制度

航开发系统用户账号及权限管理制度第一章总则第一条航开发系统用户的管理包括系统用户ID的命名；用户ID的主数据的建立；用户ID的增加、修改；用户ID的终止；用户密码的修改；用户ID的锁定和解锁；临时用户的管理；应急用户的管理；用户ID的安全管理等。第二章管理要求第二条航开发系统管理员（以下简称系统管理员）在系统中不得任意增加、修改、删除用户ID，必须根据《系统用户账号申请及权限审批表》和相关领导签字审批才能进行相应操作，并将相关文档存档。第三条用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全，不得对外泄漏，防止非此用户ID的所有者登录系统。

第四条用户管理员要定期检查系统内用户使用情况，防止非法授权用户恶意登录系统，保证系统的安全。第五条用户ID持有人要对其在系统内的行为负责，各部门领导要对本部门用户的行为负责。第六条用户ID的命名由系统管理员执行，用户ID 命名应遵循用户ID的命名规则，不得随意命名。第七条用户ID主数据库的建立应保证准确、完整和统一，在用户ID发生改变时，用户管理员应及时保证主数据库的更新，并做好用户ID变更的归档工作。第八条对用户申请表等相关文档各申请部门的用户管理员必须存档，不得遗失。第九条

公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。第三章增加、修改用户ID的管理第十条公司NC-ERP系统中增加、修改用户ID应符合下列情况之一： 1、因工作需要新增或修改用户ID； 2、用户ID持有人改变； 3、用户ID封存、冻结、解冻； 4、单位或部门合并、分离、撤消； 5、岗位重新设置； 6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。第十一条用户ID的增加、修改，须由申请人填写《NC-ERP用户账号申请表》，所在部门主管签字审批后，系统管理员审查并报主管领导审批后执行相应的操作。第四章用户ID终止的管理

文件夹无法访问拒绝访问：您无权查看或编辑目前 (该文件夹名) 的权限设置。

问题描述：原来安装了win7和xp双系统（前几天瞎折腾的），后来重新换为XP（折腾），然后原来设置为win7桌面的一个D盘里的文件夹就无法访问了。具体现象如下所述。双击文件夹，提示：无法访问d:/用户拒绝访问去掉简单文件夹共享复选框后，然后右键-属性，点击“安全”选项卡时，提示：您无权查看或编辑目前（该文件夹名）的权限设置;但是,您可以取得所有权或更改审核设置可能的原因： NTFS格式分区下，重新装系统前win7系统对该文件夹设置了访问权限，在重新装为xp 系统之后找不到win7下的那个用户了，所以需要重新设置用户及其权限. 参考解决方案: 用管理员账号登陆,在文件夹的属性里,找安全-高级-所有者，然后指定一个管理员账号,同时选择“ 替换子容器及对象的所有者”点应用，然后再给这个文件夹添加管理员权限即可。详细的步骤参考如下： 1、在工具-文件夹选项中取消“使用简单共享”。见图一所示：

图一 2、右键单击您希望获得其所有权的文件夹，然后单击“属性”，选择“安全”标签，此时出现一个提示，说你现在不能编辑权限，但是可以取得所有权或者更改权限设置。见图二所示：图二

3、点击确定，单击下面的“高级”，然后单击“所有者”选项卡。如图三所示：图三 4、在“名称”列表中，单击您的用户名，如果您是作为管理员登录的，请单击“Administrator”，或者单击“Administrators”组。如果您希望获得该文件夹内容的所有权，请单击以选中“替换子容器及对象的所有者”复选框。如图四所示：

图四 5、点击确定，可以看到“安全”下的组或“用户名称”列表下已经加入了管理员用户。确定后该文件夹即可正常打开了。如图五所示：

管理信息系统权限管理制度(定稿)

XXXXXX有限公司管理信息系统权限管理制度 XXX-XX-XX 第一章总则第一条目的为规范公司管理信息系统的权限管理工作，明确不同权限系统用户的管理职责，结合公司实际情况，特制定本管理制度。第二条定义（一）管理信息系统：包含已经上线的财务会计、管理会计、供应链、生产制造、CRM（客户关系管理）、决策管理和后续上线的所有管理信息系统模块。（二）权限：在管理信息系统中用户所能够执行的操作及访问数据的范围和程度。（三）操作员：上述软件系统使用人员。第三条适用范围本制度适用于XXXXXX有限公司（以下简称XXXX、公司）、XXXXXXX有限公司、XXXXXX有限公司、XXXXXXXX有限公司。 XXXX股份有限公司控、参股的其他公司，应结合本公司实际情况，参照本制度制定相应管理制度，报XXXX质量信息部备案。第二章职责划分第四条管理信息系统管理部门公司的管理信息系统由质量信息部负责管理和维护，同时也是管理信息系统用户权限的归口管理部门，主要负责各系统内用户权限的审批、开通、监控、删除及通知等管理工作。第五条管理信息系统操作部门除管理信息系统管理部门外，其他使用管理信息系统的部门，均为管理信息系统的操作部门，使用人员为各岗位操作员。

具体岗位职责如下：（一）负责岗位信息系统权限的申请及使用，并对权限申请后形成的业务结果负责。（二）负责所使用模块的数据安全。第六条管理信息系统系统管理员管理信息系统的系统管理员由质量信息部指派，并报公司管理层领导备案。系统管理员负责用户帐号管理、用户角色权限分配和维护、各模块运行的安全监管及数据备份，并定期进行管理信息系统安全审计。第三章用户权限管理第七条用户权限申请各部门依据实际工作情况，当需要新增/变更/注销管理信息系统的用户权限时，可由操作员本人或所在部门领导指派的专人，填写《ERP权限新增/变更/注销申请表》（参附件1）。第八条用户权限审批《ERP权限新增/变更/注销申请表》由申请人提交，经所在部门领导、分管领导及质量信息部部门领导审批同意后，报送系统管理员。系统管理员根据申请人填写内容并与申请人以及部门领导沟通后，填写申请表中系统管理员之相应内容并存档。第九条用户权限配置用户权限审批通过后，系统管理员将在两个工作日内完成权限新增/变更/注销工作，并以电子邮件通知申请人以及部门领导。第十条用户权限测试申请人在接到权限开通通知后，须在三个工作日之内完成系统权限测试，如有问题可通过电子邮件（包含问题的文字说明及截图）反馈到系统管理员。系统管理员应及时给予解决，并将处理结果通过电子邮件及时反馈给申请人。在三个工作日之内无问题反馈的，系统管理员将视此权限设置正确，后续如有问题将按照用户权限申请流程处理。

系统权限管理设计方案.doc

OA系统权限管理设计方案7 OA系统权限管理设计方案数据库2010-02-2310:09:25阅读13评论0字号：大中小 OA系统权限管理设计方案 l不同职责的人员，对于系统操作的权限应该是不同的。优秀的业务系统，这是最基本的功能。 l可以对“组”进行权限分配。对于一个大企业的业务系统来说，如果要求管理员为其下员工逐一分配系统操作权限的话，是件耗时且不够方便的事情。所以，系统中就提出了对“组”进行操作的概念，将权限一致的人员编入同一组，然后对该组进行权限分配。 l权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。就像是组件一样的可以被不断的重用，而不是每开发一套管理系统，就要针对权限管理部分进行重新开发。 l满足业务系统中的功能权限。传统业务系统中，存在着两种权限管理，其一是功能权限的管理，而另外一种则是资源权限的管理，在不同系统之间，功能权限是可以重用的，而资源权限则不能。针对OA系统的特点，权限说明：权限

在系统中，权限通过模块+动作来产生，模块就是整个系统中的一个子模块，可能对应一个菜单，动作也就是整个模块中（在B/S系统中也就是一个页面的所有操作，比如“浏览、添加、修改、删除”等）。将模块与之组合可以产生此模块下的所有权限。权限组为了更方便的权限的管理，另将一个模块下的所有权限组合一起，组成一个“权限组”，也就是一个模块管理权限，包括所有基本权限操作。比如一个权限组（用户管理），包括用户的浏览、添加、删除、修改、审核等操作权限，一个权限组也是一个权限。角色权限的集合，角色与角色之间属于平级关系，可以将基本权限或权限组添加到一个角色中，用于方便权限的分配。用户组将某一类型的人、具有相同特征人组合一起的集合体。通过对组授予权限（角色），快速使一类人具有相同的权限，来简化对用户授予权限的繁琐性、耗时性。用户组的划分，可以按职位、项目或其它来实现。用户可以属于某一个组或多个组。通过给某个人赋予权限，有4种方式(参考飞思办公系统) A.通过职位 a)在职位中，职位成员的权限继承当前所在职位的权限，对

最全系统账户权限的管理规范完整版.doc

系统账户权限管理规范 1.目的为规范产业公司系统账户、权限管理，确保各使用单位与权限操作间的有效衔接，防止账户与权限管理失控给公司带来利益损失、经营风险。信息系统帐号的合理配置、有效使用、及时变更、安全保密，特制订本规范。 2.适用范围本规范适用于多公司本部各单位、营销机构。 3.定义 3.1公司：指多媒体产业公司 3.2单位：指公司下属各单位，包含HR中体现为不同人事范围的直属部门、驻外机构。 3.3人事管理：指负责本单位人事信息人员，包括行政机构、驻外分公司人事经理、事业部、生产厂等部门级人事管理岗。 3.4权限管理员：负责本单位信息系统用户集中申请、变更，管理本单位信息系统用户对口的管理人员。包含单位自行开发和管理的信息系统（自行开发系统由所在部门指定系统管理员负责），如营销中心的“ DDS”，研究“ PDM”也是流程申请的维一发起人。 3.5系统管理员：指系统开发、系统配置管理的IT 人员，部分虹信IT 顾问为主。也可根据组织架构授权给某业务单位的相关人员，其负责某系统用户和权限的配置管理者。 3.6 系统流：指每个系统固定的申请、审批流，原则上由系统管理员或权限管理员配置。 4.部门职责 4.1产业公司负责人： 4.1.1.公司信息系统立项、验收等审批工作。 4.1.2.公司信息系统，信息安全的第一责任人。 4.1.3.公司信息系统组织第一责任人 4.2人事部门：

4.2.1负责在人力资源管理系统（以下简称HR 系统）处理人事档案，各单位权限管理员提交的信息系统需求协助。 4.2.2提供各单位的入职、调动、离职信息给信息系统管理部门。 4.2.3协助信息系统部门与人事相关的其它需求。 4.3控制中心： 4.3.1负责发布和制定信息建设规范，并组织通过技术手段或辅助工具管理。 4.3.2负责组织周期性清理各信息系统账户。 4.3.3负责信息系统档案的建立。 4.3.4负责信息系统维护、权限配置、权限审核等相关事宜。 4.3.5 4.4 用户申请部门和使用单位: 4.4.1各单位第一负责人管理本单位员工，各信息系统账户、权限申请、审核并对信息系统安全负责。定期组织相关人员对部门的信息系统帐号、权限进行清理和检查，申请职责可指定单位专人负责。4.4.2权限管理员作为各单位信息系统申请的唯一发起人。 4.4.3权限管理员协助单位人事向公司人事部提交本单位入职、调动、离职信息。 4.4.4权限管理员负责本单位员工，各信息系统账户的新增、变更、冻结以及对应系统权限的申请工作。 4.4.5权限管理员负责定期核查本单位员工，对应系统账户的权限，若有偏差及时发起变更申请流程。 4.4.6帐号使用者不得将自己权限交由它人使用，部分岗位因工作需要交由同部门使用时，必须保证其安全和保密工作。 4.5 系统操作部门： 4.5.1系统管理员负责对权限管理员提交的申请进行权限操作、审核。 4.5.2系统管理员定期在系统或SSU 上获取信息系统的账号、权限分布表，并进行检查，对发现问题和风险的帐号及时告知相关部门并发起相应流程。

如何设置系统中的权限

如何设置系统中的权限 1、实现步骤第一步：模块定义。定义系统中使用的功能模块名称和该功能菜单的具体信息，包括：模块的编码、名称、所在路径、显示在菜单中的图片、在菜单中的显示顺序号。第二步：功能定义。定义功能模块下各个子功能的详细信息，包括：所属的功能模块、页面的功能名称、权限编码、页面的地址等等。第三步：角色定义。根据实际业务流程中的角色，定义各内部部门的内部角色，为后续针对角色分配系统权限做准备。第四步：角色授权。根据第三步设置好的部门角色，把系统中各功能页面的权限指定给对应的角色，将现实业务中的角色职责与系统中的角色权限对应起来。第五步：用户管理。针对各个部门，管理项目部各部门的系统用户信息。系统用户在设置了具体的角色权限后，就具有对应角色的系统权限。第六步：用户授权。将设置好权限的角色（第四步），指定给对应的用户（第五步），完成系统用户权限设置的过程。第七步：签字权限设置。设置包含数据权限功能，将相应的业务单据的编辑、审核功能设置给指定的用户。签字权限是在系统功能权限基础上，对特定人员权限的扩展。第八步：签字权限代办。当签字权限中设置的系统用户由于其他原因，不能使用系统行使相应的签字职权时，例如：出差、请假等，可以事先使用签字代办，将设置本部门的接替人员，由相应的人员代为执行签字的权限，保证业务的顺利执行。 2、系统权限维护流程图

（图 11-4） 3、名词说明 ?模块定义：设置系统功能模块和系统运行后左侧功能菜单的次序等属性。 ?功能定义：设置各个功能模块有哪些具体子功能及子功能的属性。 ?角色：系统中各个部门中不同职权的名称，对应实际中的各个部门不不同职责，如：部门管理员角色可能对应某部门的部长、系统管理员角色可能对应的是项目部的IT部主管等。 ?用户：系统中包含的，拥有使用系统权限的人员，简单的说就是可以登录系统的人。 ?权限：设置用户拥有的，在系统内部行使与现实对应业务职责的能力，也就是哪些人，可以作哪些事。

电脑共享文件夹权限设置

共享文件夹权限设置问题 WINDOWS-2003-SERVER共享设置很罗唆，罗索的代价是换来点点安全，个人认为WINDOWS、NETWARE、UNIX、LINUX这些服务器操作系统里还是UNIX、LINUX最好，安全简单易于操作。WIN2003SERVER用在普通服务器和简单管理上还是不错的，毕竟是窗口界面，易于操作。写这些很麻烦，光截图就够我受的，希望能给与你一些帮助，共同交流学习！以下灌水贴多，不要怪罪！（图片截取、软件环境来自Windows 2003 Server企业正版用户，XP来自正版专业版） W2003设置共享文件有4种方式，你可以看系统帮助文件有介绍的，在索引里键入“共享”查看相关主题，里面介绍了3种方法，文件夹直接设置，计算机管理共享设置，命令行设置。我贴些图是介绍文件夹共享设置和计算机管理设置。首先你要开启部分网络共享服务，在管理工具的服务项目里找。安全设置服务里可以设置网络登陆用户帐号保留的时间长短，先开始设置文件共享。假设你的公司有老板，部门经理，普通人员访问共享，老板可以查看所有共享并修改，部门经理查看所有共享但不能修改，普通人员只能查看部门制定的文件，怎样让他们有不同权限和级别，关键看你对他们用户权限的定义。假设老板取用户名为ADMIN，部门经理取名为：EASY，普通人员取名为：TEMP，那么首先打开【开始】【管理工具】【计算机管理】中的【本地用户和组】，一一将这些用户添加进去，记住这三个用户均要设置密码，并且密码均不一样。当ADMIN EASY TEMP 帐号都添加进去后，记住把用户列表里的Guest Everyone用户停用了，就是右键点击属性，把账户已禁用这个复选框打上勾。当所有用户都已添加完成时，然后就是给这些用户赋予权限了，赋予权限的不同，所操作共享的级别也不同。点击计算机管理左边目录树的组文件夹，在右边窗口空白处点击右键，选择添加新组。设定一个组名成为KAKA，然后再点击界面上的【添加】按钮，弹出对话框，点击【高级】，弹出对话框，点击【立即查找】,这是现面就显示出刚才你添加的哪几个用户了，双击admin，返回了上一个对话框，这是你看到ADMIN用户已添加到白色的添加框里了，再点击【高级】【立即查找】，双击easy,返回上一个对话框，再点击【高级】【立即查找】，双击temp,返回上一个对话框，如图所示，这时候这三个用户就都添加进去了，点击【确定】按钮,点击下个对话框里的【创建】按钮！点击【关闭】OK！然后你在点击目录树用户文件夹，接着返回用户对话框里，右键点击TEMP用户属性，点【隶属于】标签，发现temp用户隶属于两个组，删处Users这个隶属组，让TEMP用户直隶属于KAKA这个组，依次改了ADMIN,EASY两个用户的隶属，让这三个用户只属于KAKA组，为什么这样做，是因为如果他们属于两个组，当你设置某些文件夹共享属性时，当他们无法以KAKA组用户成员查看时，却可以换身份以其他组成员身份进入，这样你设置的共享权限密码也就失去作用了。至此，这三个用户身份的界定以完成。开始设置他们在共享文件夹中担当的角色和级别了假设我们在C盘有一个wmpub文件夹要设置在网络中共享，让大家都可以看到，该文件夹里面又有三个文件夹，一个caiwu一个tools一个wmiislog，3文件夹让经理和老板看到，并且老板可以修改任何一个文件

连锁药店计算机系统各岗位操作权限设置

1.目的：为确保系统使用人员权限分配合理，并经过审批。 2.依据：根据GSP的规定制定本规程。 3.适用范围：公司内部对泽成软件的使用。 4.责任人：所有使用泽成软件客户端的人员。 5.操作规程： 5.1根据公司的组织结构和各岗位的职责,对所使用的泽成软件操作系统的客户端位置、数量、客户权限进行明确规划，以保证各岗位正确使用该操作系统，并在授权范围内合理使用。 5.2 各系统客户端的位置、权限确定情况： 5.2.1质量管理科科长:负责提供各岗位操作权限给计算机管理员，并审核各岗位人员的基础信息、操作权限。负责首营企业、首营品种质管科科长审核。各门店处方审核。配送退货不合格复检。报损药品质管科科长审核。不合格药品确认。职员操作岗位、岗位功能审批、不合格药品确认记录、验收记录的数据查询。质量副总：负责首营企业、首营品种质量副总审核。各门店处方审核。配送退货不合格复检。报损药品质管科审核。不合格药品确认。重点养护品种确认。不合格药品确认记录、验收记录的数据查询。质量管理员：负责录入首营企业、首营品种信息。验收员：负责验收收货。配送退货验收。来货拒收单。收货、验收记录查询。计算机管理员：负责根据质管科提供的各岗位人员基础信息分配岗位权限。负责后台监督各运行情况。 5.2.2业务科科长：负责审核首营企业，首营品种。审核采购订单，采购订单作废。报损审核。盘点审核。采购退货审核。采购数据查询。采购员：负责收集首营企业、首营品种资料。制定采购订单。采购退货单。采购数据查询。库管员：负责采购收货。配送出库。配送退货收货。填写报损单。准备盘点表。填写移库单。采购、配送、移库、报损、盘点、在库商品的记录查询。库管主任养护员：负责采购收货作废。采购退货执行。配送出库复核。审核报损商品。填写移库单。采购、配送、移库、报损、盘点、在库商品的记录查询。负责药品养护计划，药品养护情况登记。质量疑问药品登记。养护记录查询。 5.3 权限审批按照以下流程进行。 5.3.1根据各科室工作实际需要，由各科长提出本部门的各使用客户端所需要的权限，报质量管理部审核。

巧用cacls命令来设置文件及其文件夹权限

例一：让所有用户禁止访问D盘test文件夹。命令：命令行界面的打开就不多说了哦。看上面。 cacls d:\test /t /p everyone:n 表示把D盘test文件夹设置成对所有用户的[无权限]，n表示no，无权限的意思。其他常用权限：r 表示只读；f表示完全控制。/t表示对文件夹里面的子文件夹也同样设置权限。/p你不用管。但是要写上。不然运行不好地。接过是：打开D盘test就提示禁止访问。因为上面写的是everyone所有用户。所有你自己也不能访问。自己要访问时只需要运行命令： cacls d:\test /t /p everyone:f 就可以了如果你的电脑有几个账户，你是想不让其他账户访问这个文件夹，那么你可以在写命令的时候把everyone改成相应的账户名字，比如edwin等等〔看你实际的账户名啦〕。直接用everyone所有用户设置权限。要打开时再运行命令取消限制，也不是太麻烦。至少可以提供个机会多练习练习命令行，和记住这条命令。否则时间长了忘记了又得查资料。例二：让用户edwin不能打开e:\test\apian.rmvb 这部电影。当然也可以限制图片,程序，word文档的打开哦。命令： cacls e:\test\apian.rmvb /p edwin:n 取消限制： cacls e:\test\apian.rmvb /p edwin:f 例三：把D盘绿色软件文件夹里面的exe文件设置成只读[包括子文件夹里面的]。这样可以防止病毒感染exe 文件。命令： d: cd d:\绿色软件 cacls *.exe /t /p everyone:r w注意上面的 “d: cd d:\绿色软件” 这两行命令表示把当前目录切换到d:\绿色软件。不可省略不写哦。例四：把E盘根目录下设置成只读，防止病毒感染E盘根目录。因为很多U盘病毒会感染根目录，在根目录下新生成一个文件夹及文件比如 autorun.inf、setup.exe、a2de3d3.exe、autorun.exe。有些恶性病毒很厉害。弄得你重装系统都无法解决病毒问题。因为这些在非系统目录根目录的病毒存在当你单纯格式化C盘重装系统之后，第一次启动时打开D盘等非系统盘的时候病毒在次感染C盘。如果把非系统盘根目录设置成只读的话就可以防止病毒生成这些文件。当然不影响根目录下文件的删除哦。但是会影响你自己建立文件夹或在根目录下复制进文件。所有建议开始把根目录下的文件夹建立好。文件放到子文件夹里面。或者在你想在比如D盘根目录下建立一个文件夹时，先用命令行取消根目录只读。虽然有点麻烦，但是好处多余坏处哦。命令: cacls e:\ /p everyone:r

电脑系统如何设置管理员权限

电脑系统如何设置管理员权限在Windows XP下实现系统多用户设置一、认识用户帐户 1、计算机管理员帐户计算机管理员帐户是专门为可以对计算机进行全系统更改、安装程序和访问计算机上所有文件的人而设置的。只有拥有计算机管理员帐户的人才拥有对计算机上其他用户的完全访问权。该帐户具有的特点： ①可以创建和删除计算机上的用户。 ②可以为计算机上其他用户帐户创建帐户密码。可以更改其他人的帐户名、图片、密码和帐户类型。 2、受限制帐户当多人共用一台计算机时，你的计算机中的内容有可能被其他人意外更改，而使用受限制帐户，可以防止别人对你的计算机中的内容进行更改。受限制帐户具有： ①无法安装软件或硬件，但可以访问已经安装在计算机上的程序。 ②可以更改其帐户图片，还可以创建、更改或删除其密码。 ③无法更改其帐户名或者帐户类型。 3、来宾帐户来宾帐户是共那些在计算机上没有用户帐户的人使用的。来宾帐户没有密码，所以可以快速登陆，以检查电子邮件或者浏览Internet。该帐户的特点： ①无法安装软件，但可以访问已经安装在计算机上的程序。 ②无法更改来宾帐户类型。 ③无法更改来宾帐户图片。二、建立用户帐户 1、计算机管理员帐户的首次建立在Windows XP安装期间，系统将自动创建名为Administrator的帐户。该帐户具有计算机管理员的权限，并使用在安装期间输入的管理员密码。 2、其他用户帐户的建立 ①进入Windows XP后，选择“开始-控制面板”，双击“用户帐户”，打开“用户帐户”对话框。 ②选择“创建一个新用户”，为新帐户取一个名称（如AAA）后，单击“下一步”，为新用户挑选帐户类型。提示：帐户类型有计算机管理员和受限两种，可以根据需要确定新用户的帐户类型。 ③选择“计算机管理员”，并选择“创建帐户”选项，即完成了帐户的添加。如果还需要对新帐户进行修改，可选择“上一步”返回进行修改。 3、用户帐户的删除

企业级应用系统权限管理规定

企业级应用系统权限管理规定 Document serial number【LGGKGB-LGG98YT-LGGT8CB-LGUT-

统一身份管理系统单点登录和身份同步接入规范

国网统一身份管理系统单点登录和身份同步接入规范项目名称<国网统一身份管理系统> 文档类别<接口规范> 文档编号<> 版本<> 密级<> 二〇二〇年八月十七日

目录一、国网统一身份管理系统介绍 (3) 1.1 系统概述 (3) 1.2 单点登录流程 (4) 1.3 单点登录接入方式 (5) 二、国网应用系统单点登录集成 (6) 2.1国网应用系统集成分类 (6) 2.2应用系统权限管理模式 (7) 2.3单点登录集成要求 (9) 2.4 单点登录集成流程 (12) 三、身份同步规范 (15) 3.1用户身份数据流 (15) 3.2帐号管理流程 (16) 3.2.1帐号创建流程 (16) 3.2.2帐号更新流程 (16) 3.2.3帐号删除/禁用流程 (16) 3.3帐号的身份同步 (17) 3.4数据库改造 (17)

一、国网统一身份管理系统介绍 1.1 系统概述单点登录目录系统管理模块应用系统认应用系统由上图可见国家电网统一身份管理系统由单点登录和目录管理两部分构成。其中单点登录采用的是Novell的单点登录产品Access Manager，其单点登录通过Access Manager访问网关、单点登录认证管理模块、认证目录三部分协作实现。统一身份管理系统中的目录包含三类：认证目录、资源目录和身份目录。认证目录是专用于Novell Access Manager做用户认证使用的目录，目录中包含所有登录总部门户的用户。用户核心属性是用户名、密码以及单点登录到应用系统的帐号和密码。资源目录是国网总部部门数据以及应用权限数据的权威数据源。在该目录下管理用户所属的组织机构信息、各应用系统的信息、各应用系统的分组角色信息等。组织机构信息、应用系统信息、分组角色信息等可供各应用系统认证管理模块做权限管理。资源目录中的用户核心属性是用户名、OU。身份目录是国网用户的权威数据源。所有国网总部的用户都从身份目录中开始创建、修改、删除。该目录下的用户具有最全面的用户信息，它实时向认证目录和资源目录中同步用户信息。

Domino ACL权限设置详解

系统初始设置(系统管理员使用)

信息系统用户和权限管理制度

系统权限管理设计方案(优选.)

信息系统用户帐号和角色权限管理流程

最新整理如何按部门不同用户和组设置共享文件访问权限

企业级应用系统权限管理办法

中国免疫规划信息管理系统用户与权限管理规范

系统用户及权限管理制度

文件夹无法访问拒绝访问：您无权查看或编辑目前 (该文件夹名) 的权限设置。

管理信息系统权限管理制度(定稿)

系统权限管理设计方案.doc

最全系统账户权限的管理规范完整版.doc

如何设置系统中的权限

电脑共享文件夹权限设置

连锁药店计算机系统各岗位操作权限设置

巧用cacls命令来设置文件及其文件夹权限

电脑系统如何设置管理员权限

企业级应用系统权限管理规定

统一身份管理系统单点登录和身份同步接入规范