某公司作为集团企业，下属有多个子公司，每个子公司下面还有多个分公司（个别子公司下属分公司达到几十个），子公司的业务管理比较独立，分公司的业务管理受子公司强管理。

公司组织架构示例

• 集团所有子公司与分公司使用同一套IT系统，但是不同的子公司业务管理存在差异；

• IT人员无法准确掌握与理解业务人员的职责分工以及变化情况，无法给业务人员授权，且从原则上说IT人员也不适合负责业务授权；

• 业务人员不了解系统，无法完成各种系统参数配置，如果配置错误也容易造成系统错乱，从而导致业务中断。

针对上述问题，该集团型公司诉求如下：

1、每个业务领域独立设置系统管理员，负责各个业务领域的系统配置等工作。

2、每个业务领域设置对应的业务管理员，负责相关业务领域的业务授权。

• 对于部分业务领域（例如销售业务领域，全国范围内人员较多），需要按照子公司与分公司分别设置多个下级业务管理员管理分子公司的业务授权。

• 对于部分业务领域（例如财务，HR等，全国范围内人员较少），只需要设置一级业务管理员就可以管理全国的业务授权。

为了解决公司管理诉求，项目启用了苍穹的分级管理员功能。通过系统管理员和业务管理员两类管理员设置，既能实现分级权限管控，又能解决IT人员不熟悉业务、业务人员不熟悉系统的痛点，很好地满足了集团的管理要求。

关于“系统管理员”和“业务管理员”的分级管理员设置，主要设置流程和步骤如下：

首先，由“超级管理员administrator用户”进入系统配置各个业务领域的系统管理员，如下所示：

系统管理员列表

接着，“超级管理员administrator”创建管理员之后，需要对管理员的权限进行配置，包括以下四个方面。

系统服务管辖范围：重点授权“用户信息”中的“用户授权”与“通用角色”管理，让系统管理员拥有“用户授权”和“通用角色管理”两个菜单的功能权限；其他信息按照需要配置，一般情况下不需要授予编辑权限，只给部分信息的查询权限即可；

系统服务管理范围授权界面

业务单元管辖范围：能够管辖的业务单元范围，根据具体的管理员，配置不同的管辖范围。如果还需要设置下级管理员，就要包含下级的业务单元。

业务单元管辖范围授权界面

行政组织管辖范围：与业务单元管辖范围类似，如果有管辖范围之外的用户，需要单独设置。

行政组织管辖范围授权界面

应用授权范围：只需要给管理员授予需要管理的应用即可，例如销售领域的业务管理员只需要授予销售相关的应用。

应用授权范围界面

通过以上四步，即可完成管理员的权限配置。

最后，完成管理员的权限配置，即可添加人员。根据业务管理的需要，可以添加一个或多个管理员用户，这些用户可以在这个管理员范围内再配置下级管理员。

给管理员添加人员

系统管理员配置完毕并授权后，再由各个业务领域的系统管理员用户配置各个子公司与分公司的业务管理员，子公司与分公司的管理员一般只需要配置通用角色、用户授权功能，并且按照不同的子公司与分公司配置管辖范围。

业务管理员列表

例如，以下是一个子公司的管理员配置，只配置了一个用户，如下图所示：

管理员分配用户界面

该管理员的系统服务管辖范围与应用授权范围直接继承了上级管理员的范围，无需进行调整。

系统服务管辖范围”继承上级权限范围

“应用权限范围”继承上级权限范围

业务单元管辖范围与行政组织管辖范围在上级管理员的基础上进一步缩小到当前子公司的范围。

注意：包含下级的组织需要全选，否则可能会造成授权时选不到人员的情况。

“业务单元管辖范围”根据管辖范围缩小选项

“行政组织管辖范围”根据管辖范围缩小选项

该方案适合集团企业下属分子公司使用统一的IT系统，但是业务管理又比较独立，且需要分级管理的情况。

该方案实现了系统管理与业务管理分离，系统管理与业务管理都可进行多级分级管理的效果，便于适配大型集团企业的工作职责逐层分解的需求。

各级管理员可以编辑与查看的用户、角色等，除了通过管辖范围控制，还可以配合“数据规则方案”一起配置使用。如果对各级业务管理员设置数据范围的规则，而这些业务管理员用户还需要处理其他集团范围内的业务，某些情况需要选择子公司之外的集团范围内用户时，则会由于限制了该管理员用户只能管理子公司范围内的用户而无法选择到这些用户。

根据管理要求，可以由集团的管理员预先设置一批角色给各级管理员直接使用，各级管理员在通用角色的基础上再针对各自的个性化业务进行角色扩展。