BWAuthorization再说如何分配权限
最近发觉权限是个好东西,运维的项目怎么少得了他,好好温习下,记录下。
首先呢,举例子,好比我想让华东区的用户只看到VHD(公司代码,华东)的数据,怎么办呢:
Tcode:RSECADMIN
然后呢,建立个权限对象。
点Create,进去以后呢,插入一行,敲进去0COMP_CODE。
下面那几个是干嘛的?
看后面的Description,
0tcaactvt ----设为03(Display)Activity in Analysis Authorizations .
0tcaiprov ----设为*
Authorizations for InfoProvider .
0tcakyfnm ----设为*
Key Figure in Analysis Authorizations . 0tcavalid ----设为*
Validity of an Authorization
然后呢,设置0COMP_CODE EQ VHD
最后,添加到用户,方式为RSECADMIN
insert进去就哦了,保存,到报表里看看?
在过滤器里只能看到VHB这一条
好吧,另外这个可以结合权限变量,一般都是勾选成不提供屏幕输入,这样用户就可以直接进去,而不必因为说输成了别的,导致没有可用数据。
在SQLServer 中如何创建用户,分配权限
s q l s e r v e r2000如何创建用户 use你的库名 go--新增用户 exec sp_addlogin 'test'--添加登录 exec sp_grantdbaccess N'test'--使其成为当前数据库的合法用户 exec sp_addrolemember N'db_owner', N'test'--授予对自己数据库的所有权限 --这样创 建的用户就只能访问自己的数据库,及数据库中包含了guest用户的公共表 go--删除测试用户 exec sp_revokedbaccess N'test'--移除对数据库的访问权限 exec sp_droplogin N'test'--删除登录 如果在企业管理器中创建的话,就用: 企业管理器--安全性--右键登录--新建登录 常规项--名称中输入用户名--身份验证方式根据你的需要选择(如果是使用windows身份验证,则要先在操作系统的用户中新建用户)--默认设置中,选择你新建的用户要访问的数据库 名服务器角色项这个里面不要选择任何东西 数据库访问项勾选你创建的用户需要访问的数据库名 数据库角色中允许,勾选"public","db_ownew" 确定,这样建好的用户与上面语句建立的用户 一样--------------------------------------------------------------------------- 最后一步,为具体的用户设置具体的访问权限,这个可以参考下面的最简示例: --添加只允许访问指定表的用户: exec sp_addlogin '用户名','密码','默认数据库名' --添加到数据库exec sp_grantdbaccess '用户名' --分配整表权限GRANT SELECT , INSERT , UPDATE , DELETE ON table1 TO[用户名] --分配权限到具体的列GRANT SELECT , UPDATE ON table1(id,AA) TO[用户名] -------------------------------------------------------------------------------- --------------------- 建角色,用户,权限/*--示例说明示例在数据库pubs中创建一个拥有表jobs的所有权限、拥有表titles的SELECT权限的角色r_test 随后创建了一个登录l_test,然后在数据库pubs 中为登录l_test创建了用户账户u_test 同时将用户账户u_test添加到角色r_test中,使 其通过权限继承获取了与角色r_test一样的权限最后使用DENY语句拒绝了用户账户u_test 对表titles的SELECT权限。经过这样的处理,使用l_test登录SQL Server实例后,它只 具有表jobs的所有权限。 --*/USE pubs --创建角色 r_test EXEC sp_addrole 'r_test' --授予 r_test 对 jobs 表的所有权限GRANT ALL ON jobs TO r_test --授予角色 r_test 对 titles 表的 SELECT 权限GRANT SELECT ON titles TO r_test --添加登录 l_test,设置密码为pwd,默认数据库为pubs EXEC sp_addlogin 'l_test','pwd','pubs' --为登录 l_test 在数据库 pubs 中添加安全账户 u_test EXEC sp_grantdbaccess 'l_test','u_test'--添加 u_test 为角色 r_test 的成员EXEC sp_addrolemember 'r_test','u_test' --拒绝安全账户 u_test 对 titles 表的 SELECT 权限DENY SELECT ON titles TO u_test /*--完成上述步骤后,用 l_test 登录,可以对jobs表进行所有操作,但无法对titles表查询,虽然角色 r_test 有titles表的select权限,但已经在安全账户中明确拒绝了对titles 的select权限,所以l_test无titles表的select权限--*/ --从数据库 pubs 中删除安全账户EXEC sp_revokedbaccess 'u_test'
用户权限管理流程与数据表
用户管理权限流程图 同步部门信息部门信息 部门信息 同步用户 系统中生成对应用户 用户权限分配 用户和部门信息 用户权限 系统后台管理 员 角色组权限设置角色组 用户权限 角色组 角色组权限 角色权限 EKP 系统用户信 息 EKP 系统部门 信息 部门信息同步 部门信息 系统预设权限 系统权限 业务数据表 表名: Role_table 表名含义: 角色信息表 表说明: 设置用户角色 字段名称 字段类型(长度) 字段含义 备注 ID int 主键 自动增长 RoleName Varchar(20) 角色名称 RoleType Varchar(20) 角色类型 表名: User_table 表名含义: 用户信息表 表说明: 设置用户信息及关联的角色隶属 字段名称 字段类型(长度) 字段含义 备注 UserID int 主键 自动增长 UserName Varchar(20) 用户名(关联EKP ) RoleID Varchar(20) 隶属角色(关联角色表ID ) 外键 表名: Menu_table 表名含义: 菜单权限设置表 表说明: 设置菜单权限 字段名称 字段类型(长 字段含义 备注
度) Competence_ID int 菜单权限ID Competence_Name Varchar(20) 菜单权限名称 UserID int 用户关联权限ID 外键 表名:Department_table 表名含义:部门权限设置表 表说明:设置部门权限,根据设置的部门权限,控制权限范围。 字段名称字段类型(长度)字段含义备注ID int 主键 Is_Browse int 是否可以浏览全院固资记录(0是1否) Is_Update int 是否可以编辑全院固资记录(0是1否) Is_Reduce int 是否可以减少全院固资记录(0是1否) Is_Delete Int 是否可以删除全院固资记录(0是1否) Is_BrowseDept Int 是否可以浏览科室固资记录(0是1否) Is_UpdateDept Int 是否可以编辑科室固资记录(0是1否) Is_ReduceDept Int 是否可以减少科室固资记录(0是1否) Is_DeleteDept Int 是否可以删除全院固资记录(0是1否)UserID int 关联用户表ID 外键
应用系统的角色、权限分配管理制度
应用系统的角色、权限分配管理制度 第一条、用户权限管理 一、用户类型 1.系统管理员: 为应用系统建立账号及分配权限的用户 2.高级用户: 具有对应用系统内的数据进行查询和修改的用户 3.普通用户: 只对系统内数据有查询功能的用户 二、用户建立 1.建立的原则 (1)不同类型用户的建立应遵循满足其工作需要的原则,而用户的权限分配则应以保障数据直报的高效、准确、安全为原则。 (2)用户的权限分配应尽量使用系统提供的角色划分。如需特殊的操作权限,应在准确理解其各项操作内容的基础上,尽量避免和减少权限相互抵触、交叉及嵌套情况的发生,经调试成功后,再创建相应的角色赋予本级用户或直报用户。 (3)通过对用户进行角色划分,分配报告用户权限,合理限制对个案数据的修改权限,将数据报告与数据利用剥离,即原始数据报告与统计加工后信息利用分开。 (4)系统内所有涉及报告数据的帐户信息均必须采用真实信息,即
实名制登记。 2.建立的程序 (1)用户申请 可由使用部门使用人填写应用系统用户申请表,经单位领导签字批准后,向本单位负责应用的相关部门提出申请。 (2)用户创建 负责应用系统的相关部门在收到用户申请表后,系统管理员根据用户申请的内容和实际的工作范围,为其建立用户帐号并授予相应的角色,再填写用户申请回执表,经部门主管领导签字批准后,反馈给申请单位。 创建用户的步骤:①建立用户帐号;②创建角色;③为角色配置权限; ④将角色授予用户。 第二条、用户安全 一、系统安全 1.用户必须遵守国家法律、单位规章制度,不得参加任何非法组织和发布任何反动言论;严守单位机密,不得对外散布、传播本系统内部信息;不得有诋毁、诽谤、破坏本系统声誉的行为。 2.用户必须按“传染病监测信息应用工作与技术指南”对系统进行操作,尽量做到专人、专机运行使用本系统,并避免使用公共场所(如网吧)的计算机使用应用系统。 3.用户应在运行本系统的计算机上安装杀毒软件、防火墙,定期杀毒;禁止在运行本系统的计算机上安装、运行含有病毒、恶意代码、木马
系统用户角色权限分配需求调研
系统用户权限分配体系 需求调研
目录 一.项目信息 (3) 二.需求调研根据 (3) 三.需求类型 (3) 四.调研用户范围 (3) 五.调研目标 (3) 六.调研内容 (4) 6.1 系统角色权限调研 (4) 6.1.1 系统中可分配哪些角色/哪些用户有权限分配角色 (4) 6.1.2 系统中分配的角色权限是否有一般继承和受限继承关系 (4) 6.1.3是否可对角色授权 (4) 6.2 系统用户权限调研 (4) 6.2.1 系统用户数 (4) 6.2.2 系统中用户与角色对应信息 (4) 6.2.3 是否可对用户授权 (4) 6.2.3 用户与系统用户 (5) 6.3 系统用户组权限调研 (5) 6.4 系统用户角色授权方式调研 (5)
系统用户权限分配体系需求调研模板 为了便于收集和整理客户单位中关于系统用户权限分配体系的需求信息,现试行此模板。 一.项目信息 二.需求调研根据 三.需求类型 四.调研用户范围 五.调研目标 明确系统用户权限分配策略
六.调研内容 6.1 系统角色权限调研 6.1.1 系统中可分配哪些角色/哪些用户有权限分配角色 6.1.2 系统中分配的角色权限是否有一般继承和受限继承关系 角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关系仅要求角色继承关系是一个绝对偏序关系,允许角色间的多继承。而受限继承关系则进一步要求角色继承关系是一个树结构。 6.1.3是否可对角色授权 6.2 系统用户权限调研 6.2.1 系统用户数 6.2.2 系统中用户与角色对应信息 6.2.3 是否可对用户授权
6.2.3 用户与系统用户 系统中添加的用户信息是否即为可登陆系统的系统用户,还是需要将用户信息注册为系统用户。 6.2.4 用户信息导入导出 用户信息按照以下三种方式导入导出,根据调研勾选。 6.3 系统用户组权限调研 用户组是将某一类型的人、具有相同特征人组合一起的集合体。通过对组授予权限(角色),快速使一类人具有相同的权限,来简化对用户授予权限的繁琐性、耗时性。用户组的划分,可以按职位、项目或其它来实现。用户可以属于某一个组或多个组。 用户组权限分配可按如下类别: 6.4 系统用户角色授权方式调研 询问客户用户角色的授权流程,引导用户快速准确的找寻合适自身单位的授权方式。
最经典用户权限管理模块设计
实现业务系统中的用户权限管理--设计篇 B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权功能,而对那些未经授权的“非法用户”将会将他们彻底的“拒之门外”。下面就让我们一起了解一下如何设计可以满足大部分B/S系统中对用户功能权限控制的权限系统。 需求陈述 ?不同职责的人员,对于系统操作的权限应该是不同的。优秀的业务系统,这是最基本的功能。 ?可以对“组”进行权限分配。对于一个大企业的业务系统来说,如果要求管理员为其下员工逐一分配系统操作权限的话,是件耗时且不够方便 的事情。所以,系统中就提出了对“组”进行操作的概念,将权限一致 的人员编入同一组,然后对该组进行权限分配。 ?权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。就像是组件一样的可以被不断的重用,而不是每开发一套 管理系统,就要针对权限管理部分进行重新开发。 ?满足业务系统中的功能权限。传统业务系统中,存在着两种权限管理,其一是功能权限的管理,而另外一种则是资源权限的管理,在不同系统 之间,功能权限是可以重用的,而资源权限则不能。 关于设计 借助NoahWeb的动作编程理念,在设计阶段,系统设计人员无须考虑程序结构的设计,而是从程序流程以及数据库结构开始入手。为了实现需求,数据库的设计可谓及其重要,无论是“组”操作的概念,还是整套权限管理系统的重用性,都在于数据库的设计。 我们先来分析一下数据库结构: 首先,action表(以下简称为“权限表”),gorupmanager表(以下简称为“管理组表”),以及master表(以下简称为“人员表”),是三张实体表,它们依次记录着“权限”的信息,“管理组”的信息和“人员”的信息。如下图:
(完整版)集团公司与子公司运营管理权限分配表
天津市滨丽广厦装饰工程有限公司 集团公司与子公司运行与经营管理权限的管理规定 第一章总则 第一条为规范天津市滨丽建设开发投资有限公司(以下简称“集团公司”)与各子公司的关系,明确双方的主要职权,通过合理的集权与分权,实现公司整体利益的最大化,特制定本管理规定。 第二条本规定适用于集团公司及下属全资、控股子公司。本规定适用对象为各子公司总经理、集团公司总经理、副总经理及分权部门经理。 第三条本管理规定作为规范集团公司对子公司管理的通则和纲领性文件,是集团公司与子公司集权与分权的基本文件,其具体的表现形式有三种: 一、依据本制度而制定的《管理职能权限分配表》; 二、集团公司制定的各种专项管理制度中(如《成本管理规定》、《预算管理规定》等专 项制度)的权限分配; 三、根据工作需要,由集团公司所属最高权限负责人的书面授权书确立的权限分配; 第二章相互关系 第四条集团公司与各子公司之间的相互关系表现在以下两个方面: 一、集团公司的投资控股权利: 集团公司根据持有的股权比例对各子公司行使出资人权利,并依所持股份承担有限责任,其投资控股权利主要表现在: 1、集团公司对子公司行使资产收益权,依法取得资产收益和转让其股权而取得的收益。 2、集团公司对各子公司行使重大决策权,对子公司的融资、信贷、资金使用、对外担保、 资产抵押、资产质押、资产转让、资产处置、对外投资等行使决策权;子公司在获得集团公司的授权下,可行使授权范畴内的职责权限。 3、集团公司享有选择子公司经营管理者的权利。 4、集团公司对各子公司享有指导、监督、审计、考核权。 5、各子公司必须切实维护集团公司的权益,为实现集团公司整体持续价值最大化作出应有 的贡献 二平等的法律及经营关系 集团公司与子公司均是独立法人单位,双方均享有独立法人财产权,独立行使民事权利,承担民事责任。 集团公司与各子公司的运行机制和管理权限的经营关系为:集团公司为各子公司的“决
信息管理员权限分配表
系统管理:用户组管理 用户管理 用户分组 用户组权限管理 用户开票部门设置 更改密码 部门管理 仓库管理 部门仓库设置 仓库货位管理 货架管理 公司名称设置 系统参数设置 部门价格参数设定 地域管理 地区管理 退货原因管理 药品剂型管理 药品储存条件管理 药品药效管理 商品类别管理 商品子类别管理 客户类别管理 客户级别管理 供货商级别管理 经营品种档案管理 供货单位档案管理 购货单位档案管理 员工档案管理 合格供货商档案 查询经营品种档案 查询供货单位档案 查询购货单位档案 查询基础档案更新记录 服务器管理 服务器数据传输设置 远程数据传输 数据库备份 优化数据索引 功能重命名 系统管理员删除未流转完销售单 采购管理:首营企业审批表查询 销售管理:客户资质查询打印 客户资质审批表流转状况查询 仓储管理:配送运输单 库存药品报损单 批号乘差单 库存商品拆零 库存商品合并 打印不合格(有问题)报告单 流程管理:单据流转顺序设置 进货单据流转情况 打印购进验收入库通知单 业务数据修改审批 销售退回仓库收货 删除进货单据 删除销售单据 删除报损报溢单据 删除库存调整单据 查询管理:查询进货数据 查询进货单据 查询首营企业商品供销数据 查询品种满足率 查询进货删除记录 查询进货月报 购进经营图形分析 购进(按品种)图形分析 查询打印拒收报告单 查询销售数据 查询最佳销售商品排行榜 查询最佳业务员排行榜 查询销售单据 查询首营药品销售数据 查询销售删除记录 按供货商查询销售数据 销售图形分析 销售(按品种)图形分析 查询销售配送记录 (药品运输记录) 查询直调药品销售单据 目标市场销售分析 销售报表综合查询 查询药品库存 查询库存明细账 库区查询 缺货登记表查询 查询存货周转速度 查询往来单位数量 查询利润贡献率 查询购销比 资金占用率 购销存分析表 缺货商品统计 商品流向分析 仓库业务量统计 动态盘点表 查询报损报溢数据 查询库存调整单据 查询库存调整单据删除记录 查询报损报溢删除记录 查询配送数据 查询配送单据 1页
文件审批权限分配表
文件审批权限分配表 1目的 通过对测量管理体系有关文件的控制管理,确保与体系活动有关场所使用的文件都是有效版本。 2适用范围 适用于与公司测量管理体系有关的各种文件和资料的控制。 3 职责分配 3.1 企业管理办公室负责对全公司使用的测量管理体系文件进行监督管理和控制。 3.2 各试(实)验室、各相关科室、各专业工程处等相关部门负责领用或在公司网上下载测量管理体系程序文件和测量管理手册,并对文件进行控制管理。 3.5 项目总工办负责本项目部测量管理体系文件的监督管理。 4术语 程序:为进行某项活动或过程所规定的途径。 程序文件:凡是规定活动和过程途径的文件统称为程序文件。 5要求和过程实施 5.1 文件控制过程识别 输入是测量管理体系文件、计量法律法规、计量行业标准;输出是对准确、充分、适宜的文件进行唯一性标识和记录;活动是内部文件的编制、审批、发布、改版、修订,文件分发控制,文件使用、保管、归档及销毁等;资源是完成活动所需的人员、设备、资料和保存地点等。 文件的形式可以是纸张、照片、标准样品、磁盘、光盘或其它电子媒体,或是它们的组合,记录是一种特殊类型的文件。 5.2 文件控制过程实施 5.2.1 文件管理控制过程要求 5.2.1.1 测量管理体系必须建立测量管理手册、程序文件和第三层次文件等管理性文件。 5.2.1.2 管理性文件应尽量详细。 5.2.1.3 新制定的程序文件或更改的程序文件应经过授权批准并受控。 5.2.2 受控文件和资料 公司测量管理体系有关的文件按出处分为两类。 5.2.2.1 内部文件 a)测量管理体系文件:测量管理手册、程序文件、作业指导书、记录表格等;
用户权限设定
用户权限设定 对使用本软件的操作用户进行管理,包括用户的增减,权限分配等。可建立多个不同权限的用户帐号,实现人事管理及软件操作使用的权限细化,用于满足大型企业的分级分工管理的管理模式;用于在保证数据安全性的同时,部分信息对不同职务软件操作员选择性公开。 操作步骤:进入公用系统→系统维护→用户权限设定,在用户权限定义界面里面可以添加、修改、删除用户权限; 如上图点击右上角添加或修改会弹出‘用户权限设置界面’,如下图:
1、权限组的建立:在这里直接添加权限组名称,点击确定,系统会自动保存建 立的权限组; 2、用户锁定:“用户锁定”的用户将无法登陆,会提示用户以停用。 退出软件时提示备份数据库:勾选此项后,每次此用户在推出公用系统时,软件会提示备份数据库;
3、在权限设定界面,只有勾选的功能,用户登录后才能够操作,没有勾选的功能用户在使用中会提示‘系统管理员没有分配拟操作权限’,如下图。 其它权限设置 ●注意事项 ●用户名不存在大小写区分 ●用户密码在登陆后“公共系统”的“系统维护”中“更改密码”进行更改
●部门权限和设备权限可配合“系统设置”中的“部门察看权限”“设备控制操作权限”进行设置,一旦启用,则可在此为用户选取指定可操作部门,使用无查看权限的部门的用户登录,在人事资料库中则无法获取该类部门的人事资料,同样,无“设备控制操作权限”的用户在启用“设备控制操作权限”后,无法查看操作未勾选设备。默认的管理员用户 ADMIN 也没有该权限。如果未启用,则权限中的部门及设备勾选无效。 具体如下图:系统参数中的部门操作权限和设备查看权限设置界面:
(完整版)统一用户及权限管理
文件编号: 统一用户及权限管理平台 解决方案及设计报告 版本号0.9
拟制人王应喜日期2006年6月审核人__________ 日期___________ 批准人__________ 日期___________
目录 第一章引言 (1) 1.1编写目的 (1) 1.2背景 (1) 1.3定义 (1) 1.4参考资料 (1) 第二章统一权限管理解决方案 (2) 2.1需求分析 (2) 2.2系统架构 (3) 2.3系统技术路线 (7) 第三章统一用户及授权管理系统设计 (7) 3.1组织机构管理 (8) 3.2用户管理............................................................................................................. 错误!未定义书签。 3.3应用系统管理、应用系统权限配置管理 (9) 3.4角色管理 (8) 3.5角色权限分配 (9) 3.6用户权限(角色)分配 (9) 3.7用户登录日志管理功 (9) 第四章对外接口设计 (10) 4.1概述 (10) 4.2接口详细描述 (10) 4.2.1获取用户完整信息 (14) 4.2.2获取用户拥有的功能模块的完整信息 (15) 4.2.3获取用户拥有的一级功能模块 (16) 4.2.4获取用户拥有的某一一级功能模块下的所有子功能模块 (17) 4.2.5获取用户拥有的某一末级功能模块的操作列表 (19) 4.2.6判断用户是否拥有的某一末级功能模块的某一操作权限 (20) 4.2.7获取某一功能模块的ACL—尚需进一步研究 (21)
OA权限的表结构设计
任何系统都离不开权限的管理,有一个好的权限管理模块,不仅使我们的系 统操作自如,管理方便,也为系统添加亮点。 ●不同职责的人员,对于系统操作的权限应该是不同的。优秀的业务系统, 这是最基本的功能。 ●可以对“组”进行权限分配。对于一个大企业的业务系统来说,如果要求 管理员为其下员工逐一分配系统操作权限的话,是件耗时且不够方便的事情。所以,系统中就提出了对“组”进行操作的概念,将权限一致的人员编入同一组,然后对该组进行权限分配。 ●权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能 的系统中。就像是组件一样的可以被不断的重用,而不是每开发一套管理系统,就要针对权限管理部分进行重新开发。 ●满足业务系统中的功能权限。传统业务系统中,存在着两种权限管理,其 一是功能权限的管理,而另外一种则是资源权限的管理,在不同系统之间,功能权限是可以重用的,而资源权限则不能。 针对OA系统的特点,权限说明: 权限 在系统中,权限通过模块+动作来产生,模块就是整个系统中的一个子模块,可能对应一个菜单,动作也就是整个模块中(在B/S系统中也就是一个页面的所有操作,比如“浏览、添加、修改、删除”等)。将模块与之组合可以产生此模块下的所有权限。 权限组 为了更方便的权限的管理,另将一个模块下的所有权限组合一起,组成一个“权限组”,也就是一个模块管理权限,包括所有基本权限操作。比如一个权限组(用户管理),包括用户的浏览、添加、删除、修改、审核等操作权限,一个权限组也是一个权限。 角色 权限的集合,角色与角色之间属于平级关系,可以将基本权限或权限组添加到一个角色中,用于方便权限的分配。 用户组 将某一类型的人、具有相同特征人组合一起的集合体。通过对组授予权限(角色),快速使一类人具有相同的权限,来简化对用户授予权限的繁琐性、耗时性。用户组的划分,可以按职位、项目或其它来实现。用户可以属于某一个组或多个组。 通过给某个人赋予权限,有4种方式(参考飞思办公系统) A.通过职位 a)在职位中,职位成员的权限继承当前所在职位的权限,对于下级职位 拥有的权限不可继承。 b)实例中:如前台这个职位,对于考勤查询有权限,则可以通过对前台这 个职位设置考勤查询的浏览权,使他们有使用这个对象的权限,然后再
企业级应用系统权限管理规定
企业级应用系统权限管 理规定 Document serial number【LGGKGB-LGG98YT-LGGT8CB-LGUT-
企业级应用系统权限管理办法(暂行) 一、目的 为加强企业级应用系统权限管理,保证公司应用系统所涉及各类信息安全,不因系统权限设置发生信息泄密事故,特制定本管理办法。 二、适用范围 本办法适用于公司上线的企业级应用系统。 三、权限设置原则 (一)公司各应用系统权限设置分为“功能权限”和“数据权限”。功能权限指应用系统中为完成某项业务所开发的系统功能,“数据权限”指使用某项功能时可获取的数据范围。 (二)功能权限原则上授予各工作岗位,按照岗位从事的业务范围和职责授予该岗位相应的功能权限,处于该工作岗位的员工自动获得该岗位的功能权限;公司总经理、信息化领导小组组长的功能权限为系统中所有查询、统计类权限;各业务主分管领导功能权限为所主分管各业务部门所拥有的查询、统计类权限合集。 (三)数据权限设置分主分管领导、系统管理员、总部部门、项目经理部分别设置。一般情况下,总经理、信息化领导小组组长、系统管理员数据权限为系统所有数据;主分管领导数据权限为所主分管各业务部门数据权限合集;总部部门数据权限为相应系统功能中所有数据;项目数据权限为本项目数据。 (四)企业级应用系统上线时,应同时完成系统权限分配表的签发工作,系统权限设置以权限分配表为依据。 四、岗位人员设置 (一)应用系统中各岗位人员设置,公司有明确规定的,按照公司规定设置。 (二)应用系统中各岗位人员设置,公司无明确规定的,由各单位申报名单,按申报名单设置。 五、权限管理职责 (一)信息化领导小组组长是信息化系统权限管理最高领导,全面负责信息化系统权限管理工作,负责信息化系统权限分配表的批准、签发。 (二)信息管理室作为企业级信息化系统权限管理的牵头部门,负责指定各应用系统系统管理员;负责制定权限分配表,并根据公司管理需要、系统功能调整、扩充对权限分配表进行变更维护;依据权限分配表对系统中各种权限进行检查,保证系统中权限设定符合权限分配表的要求。
用户权限管理设计方案
用户权限管理设计方案 用户认证管理设计方案 1 设计思路 为了设计一套具有较强可扩展性的用户认证管理,需要建立用户、角色和权限等数据库表,并且建立之间的关系,具体实现如下。 1.1 用户 用户仅仅是纯粹的用户,用来记录用户相关信息,如用户名、密码等,权限是被分离出去了的。用户(User)要拥有对某种资源的权限,必须通过角色(Role)去关联。 用户通常具有以下属性: 编号,在系统中唯一。 名称,在系统中唯一。 用户口令。 注释,描述用户或角色的信息。 1.2 角色 角色是使用权限的基本单位,拥有一定数量的权限,通过角色赋予用户权限,通常具有以下属性: 编号,在系统中唯一。 名称,在系统中唯一。 注释,描述角色信息
1.3 权限 权限指用户根据角色获得对程序某些功能的操作,例如对文件的读、写、修改和删除功能,通常具有以下属性: 编号,在系统中唯一。 名称,在系统中唯一。 注释,描述权限信息 1.4 用户与角色的关系 一个用户(User)可以隶属于多个角色(Role),一个角色组也可拥有多个用户,用户角色就是用来描述他们之间隶属关系的对象。用户(User)通过角色(Role)关联所拥有对某种资源的权限,例如 用户(User): UserID UserName UserPwd 1 张三xxxxxx 2 李四xxxxxx …… 角色(Role): RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员 03 调度人员调度工作人员 04 一般工作人员工作人员
…… 用户角色(User_Role): UserRoleID UserID RoleID UserRoleNote 1 1 01 用户“张三”被分配到角色 “系统管理员” 2 2 02 用户“李四”被分配到角 色“监控人员” 3 2 03 用户“李四”被分配到角色 “调度人员” …… 从该关系表可以看出,用户所拥有的特定资源可以通过用户角色来关联。 1.5 权限与角色的关系 一个角色(Role)可以拥有多个权限(Permission),同样一个权限可分配给多个角色。例如: 角色(Role): RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员 03 调度人员调度工作人员 04 一般工作人员工作人员 ……
OA系统权限管理设计方案
OA系统权限管理设计方案 不同职责的人员,对于系统操作的权限应该是不同的。优秀的业务系统,这是最基本的 功能。 可以对“组”进行权限分配。对于一个大企业的业务系统来说,如果要求管理员为其下员工逐一分配系统操作权限的话,是件耗时且不够方便的事情。所以,系统中就提出了对“组” 进行操作的概念,将权限一致的人员编入同一组,然后对该组进行权限分配。 权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。就像是组件一样的可以被不断的重用,而不是每开发一套管理系统,就要针对权限管理部分进 行重新开发。 满足业务系统中的功能权限。传统业务系统中,存在着两种权限管理,其一是功能权限的管理,而另外一种则是资源权限的管理,在不同系统之间,功能权限是可以重用的,而资源 权限则不能。 针对OA系统的特点,权限说明: 权限 在系统中,权限通过模块+动作来产生,模块就是整个系统中的一个子模块,可能对应一个菜单,动作也就是整个模块中(在B/S系统中也就是一个页面的所有操作,比如“浏览、添加、修改、删除”等)。将模块与之组合可以产生此模块下的所有权限。 权限组 为了更方便的权限的管理,另将一个模块下的所有权限组合一起,组成一个“权限组”,也就是一个模块管理权限,包括所有基本权限操作。比如一个权限组(用户管理),包括用户的浏览、添加、删除、修改、审核等操作权限,一个权限组也是一个权限。 角色 权限的集合,角色与角色之间属于平级关系,可以将基本权限或权限组添加到一个角色中, 用于方便权限的分配。 用户组 将某一类型的人、具有相同特征人组合一起的集合体。通过对组授予权限(角色),快速使一类人具有相同的权限,来简化对用户授予权限的繁琐性、耗时性。用户组的划分,可以按职位、项目或其它来实现。用户可以属于某一个组或多个组。
用户权限分配详解
当共享和访问出现问题时请考虑以下的步骤: 1.检查guest账户是否开启 XP默认情况下不开启guest账户,因此些为了其他人能浏览你的计算机,请启用guest账户。同时,为了安全请为guest设置密码或相应的权限。当然,也可以为每一台机器设置一个用户名和密码以便计算机之间的互相访问。 2.检查是否拒绝Guest用户从网络访问本机 当你开启了guest账户却还是根本不能访问时,请检查设置是否为拒绝guest从网络访问计算机,因为XP 默认是不允许guest从网络登录的,所以即使开了guest也一样不能访问。在开启了系统Guest用户的情况下解除对Guest账号的限制,点击“开始→运行”,在“运行”对话框中输入“GPEDIT.MSC”,打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”,双击“拒绝从网络访问这台计算机”策略,删除里面的“GUEST”账号。这样其他用户就能够用Guest账号通过网络访问使用Windows XP系统的计算机了。 3.改网络访问模式 XP默认是把从网络登录的所有用户都按来宾账户处理的,因此即使管理员从网络登录也只具有来宾的权限,若遇到不能访问的情况,请尝试更改网络的访问模式。打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,双击“网络访问:本地账号的共享和安全模式”策略,将默认设置“仅来宾—本地用户以来宾身份验证”,更改为“经典:本地用户以自己的身份验证”。 这样即使不开启guest,你也可以通过输入本地的账户和密码来登录你要访问的计算机,本地的账户和密码为你要访问的计算机内已经的账户和密码。若访问网络时需要账户和密码,可以通过输入你要访问的计算机内已经的账户和密码来登录。 若不对访问模式进行更改,也许你连输入用户名和密码都办不到,\computername\guest为灰色不可用。即使密码为空,在不开启guest 的情况下,你也不可能点确定登录。改成经典模式,最低限度可以达到像2000里没有开启guest账户情况时一样,可以输入用户名和密码来登录你要进入的计算机。也许你还会遇到一种特殊的情况,请看接下来的。 4.一个值得注意的问题 我们可能还会遇到另外一个问题,即当用户的口令为空时,即使你做了上述的所有的更改还是不能进行登录,访问还是会被拒绝。这是因为,在系统“安全选项”中有“账户:使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的,根据Windows XP安全策略中拒绝优先的原则,密码为空的用户通过网络访问使用 Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。在安全选项中,找到“使用空白密码的本地账户只允许进行控制台登录” 项,停用就可以,否则即使开了guest并改成经典模式还是不能登录。经过以上的更改基本就可以访问了,你可以尝试选择一种适合你的方法。下面在再补充点其它可能会遇到的问题。 5.网络邻居不能看到计算机 可能经常不能在网络邻居中看到你要访问的计算机,除非你知道计算机的名字或者IP地址,通过搜索或者直接输入\computername或\IP。请按下面的操作解决:启动“计算机浏览器”服务。“计算机浏览器服务”在网络上维护一个计算机更新列表,并将此列表提供给指定为浏览器的计算机。如果停止了此服务,则既不更新也不维护该列表。 137/UDP--NetBIOS名称服务器,网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的NetBIOS(NetBT)协议族的一部分,它在基于NetBIOS名称访问的网络上提供主机名和地址映射方法。138/UDP--NetBIOS数据报,NetBIOS数据报是TCP/IP上的NetBIOS(NetBT)协议族的一部分,它用于网络登录和浏览。 139/TCP--NetBIOS会话服务,NetBIOS会话服务是TCP/IP上的NetBIOS(NetBT)协议族的一部分,它用于服务器消息块(SMB)、文件共享和打印。请设置防火墙开启相应的端口。一般只要在防火墙中允许文件夹和打印机共享服务就可以了。 6.关于共享模式 对共享XP默认只给予来宾权限或选择允许用户更改“我的文件”。Windows 2000操作系统中用户在设置文件夹的共享属性时操作非常简便,只需用鼠标右击该文件夹并选择属性,就可以看到共享设置标签。而
用户权限管理设计方案
盛年不重来,一日难再晨。及时宜自勉,岁月不待人。 用户权限管理设计方案 用户认证管理设计方案 1 设计思路 为了设计一套具有较强可扩展性的用户认证管理,需要建立用户、角色和权限等数据库表,并且建立之间的关系,具体实现如下。 1.1 用户 用户仅仅是纯粹的用户,用来记录用户相关信息,如用户名、密码等,权限是被分离出去了的。用户(User)要拥有对某种资源的权限,必须通过角色(Role)去关联。 用户通常具有以下属性: ?编号,在系统中唯一。 ?名称,在系统中唯一。 ?用户口令。 ?注释,描述用户或角色的信息。 1.2 角色 角色是使用权限的基本单位,拥有一定数量的权限,通过角色赋予用户权限,通常具有以下属性: ?编号,在系统中唯一。 ?名称,在系统中唯一。 ?注释,描述角色信息 1.3 权限 权限指用户根据角色获得对程序某些功能的操作,例如对文件的读、写、修改和删除功能,通常具有以下属性: ?编号,在系统中唯一。 ?名称,在系统中唯一。 ?注释,描述权限信息 1.4 用户与角色的关系 一个用户(User)可以隶属于多个角色(Role),一个角色组也可拥有多个用户,用户角色就是用来描述他们之间隶属关系的对象。用户(User)通过角色
(Role)关联所拥有对某种资源的权限,例如 ●用户(User): UserID UserName UserPwd 1 张三xxxxxx 2 李四xxxxxx …… ●角色(Role): RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员 03 调度人员调度工作人员 04 一般工作人员工作人员 …… ●用户角色(User_Role): UserRoleID UserID RoleID UserRoleNote 1 1 01 用户“张三”被分配到角色“系 统管理员” 2 2 02 用户“李四”被分配到角色“监 控人员” 3 2 03 用户“李四”被分配到角色“调 度人员” …… 从该关系表可以看出,用户所拥有的特定资源可以通过用户角色来关联。 1.5 权限与角色的关系 一个角色(Role)可以拥有多个权限(Permission),同样一个权限可分配给多个角色。例如: ●角色(Role): RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员 03 调度人员调度工作人员 04 一般工作人员工作人员 …… ●权限(Permission): PermissionID PermissionName PermissionNote 0001 增加监控允许增加监控对象 0002 修改监控允许修改监控对象 0003 删除监控允许删除监控对象 0004 察看监控信息允许察看监控对象 …… ●角色权限(Role_Permission): RolePermissionID RoleID PermissionID RolePermissionNote
公司管控人事核决权限(人力资源权限分配表)
公司管控之人力资源核决权限 类别授权事项承办部门协办部门使用表单或资料 承 办 课 长 厂 长 经 理 副 总 经 理 总 经 理 董 事 长 董 事 会 备注 薪工管理1.人员增补、甄选 1.1各部门编制人员之决定与修正人事部门各部门部门组织编制表立审决报 1.2人员增 补 编制内立审决 编制外立审决报 1.3甄试 8职等级以上人员 人事部门相关部门 1.应征人员资料表 2.录取通知单 立审决6职等以上人员立审决报 4职等以上人员立审决报 3职等以下人员立审决报 2.转正人员任用薪资决定 2.1副理级以上人员 人事部门相关部门 1.人事资料卡 2.试用心得报告 3.试用期满考决鉴定表 4.转正通知单 立审决 2.2副课长级以上人员立审决报 2.3副组长级以上人员立审决报 2.4其它人员立审决报 3.幕僚职资格认定 3.1 8职等以上人员 人事部门相关部门 1.人事资料卡 2.人事通知单 立审决 3.2 6职等以上人员立审决报 3.3 4职等以上人员立审决 3.4 3职等及以下人员立审决 4.薪资管理 4.1『新进人员起薪标准表』之调整与决定人事部门起薪标准调整草案及鉴定立审决报 4.2『各项奖金决发标准表』之调整与决定人事部门奖金草案调整及鉴定立审决报 4.3年度调薪幅度总经理室人事部门签呈立审决报
公司管控之人力资源核决权限 类别授权事项承办部门协办部门使用表单或资料 承 办 课 长 厂 长 经 理 副 总 经 理 总 经 理 董 事 长 董 事 会 备注 薪工管理 4.4年度内 调升薪 资决定 副理级(含)以上人员 人事部门相关部门考决表、薪资调整表 立审决副组长级(含)以上人员立审决报 其它人员立审决报 4.5各月薪资决发人事部门财务部薪资决发清册立审决 5.考勤 5.1作业调 转班 课、组长级 人事部门相关部门调换班(值勤)申请单 立审决副组长级以下人员立审决 5.2轮值调班总务部门相关部门调换班(值勤)申请单立审决 5.3加班 6、7职等级 各部门 人事部门加班申请单 立审决 4、5职等立审决报 3职等以下人员 各课长立审决报当月加班逾限立审决 5.4请各种 假(两 天含以 内) 10职等以上 各部门人事部门员工请假卡 立审决 8、9职等立审决 6、7职等立审决 4、5职等立审决报 3职等以下人员立审决 5.5请各种 假(三 天含以 10职等以上 各部门人事部门员工请假卡 立审决 8、9职等立审决报 6、7职等立审决报
OA系统权限管理设计方案
OA系统权限管理设计方案 l 不同职责的人员,对于系统操作的权限应该是不同的。优秀的业务系统,这是最基本的功能。 l 可以对“组”进行权限分配。对于一个大企业的业务系统来说,如果要求管理员为其下员工逐一分配系统操作权限的话,是件耗时且不够方便的事情。所以,系统中就提出了对“组”进行操作的概念,将权限一致的人员编入同一组,然后对该组进行权限分配。 l 权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。就像是组件一样的可以被不断的重用,而不是每开发一套管理系统,就要针对权限管理部分进行重新开发。 l 满足业务系统中的功能权限。传统业务系统中,存在着两种权限管理,其一是功能权限的管理,而另外一种则是资源权限的管理,在不同系统之间,功能权限是可以重用的,而资源权限则不能。 针对OA系统的特点,权限说明: 权限 在系统中,权限通过模块+动作来产生,模块就是整个系统中的一个子模块,可能对应一个菜单,动作也就是整个模块中(在B/S系统中也就是一个页面的所有操作,比如“浏览、添加、修改、删除”等)。将模块与之组合可以产生此模块下的所有权限。 权限组 为了更方便的权限的管理,另将一个模块下的所有权限组合一起,组成一个“权限组”,也就是一个模块管理权限,包括所有基本权限操作。比如一个权限组(用户管理),包括用户的浏览、添加、删除、修改、审核等操作权限,一个权限组也是一个权限。
角色 权限的集合,角色与角色之间属于平级关系,可以将基本权限或权限组添加到一个角色中,用于方便权限的分配。 用户组 将某一类型的人、具有相同特征人组合一起的集合体。通过对组授予权限(角色),快速使一类人具有相同的权限,来简化对用户授予权限的繁琐性、耗时性。用户组的划分,可以按职位、项目或其它来实现。用户可以属于某一个组或多个组。 通过给某个人赋予权限,有4种方式(参考飞思办公系统) A. 通过职位 a) 在职位中,职位成员的权限继承当前所在职位的权限,对于下级职位拥有的权限不可继承。 b) 实例中:如前台这个职位,对于考勤查询有权限,则可以通过对前台这个职位设置考勤查询的浏览权,使他们有使用这个对象的权限,然后再设置个,考勤查询权(当然也可以不设置,默认能进此模块的就能查询),则所有前台人员都拥有考勤查询的权利。 B. 通过项目 a) 在项目中,项目成员的权限来自于所在项目的权限,他们同样不能继承下级项目的权限,而对于项目组长,他对项目有全权,对下级项目也一样。