该客户业务背景特殊，信息化保密要求较高。客户要求不能以单一管理员的形式来实现对组织、人员、权限、日志等信息的管理，且要求管理员之间相互制约、工作彼此审查、强化管理员的工作协同，如：人员、角色名称由系统管理员新建，但角色权限内容的填充、人员的授权由安全管理员完成；普通用户日志由系统管理员审计，系统管理员产生日志由安全管理员审计等等。在某一管理员设定密码策略后，若管理员账户锁定之后，管理员可相互解锁or重置密码。

由于原有超级管理员体系无法满足客户需求，且客户要求划分管理员权限与普通用户权限界限，保证管理员权限不向外扩散，同时管理员不能拥有业务权限，因此，客户选择引入苍穹三员管理功能来满足其需求。

针对该客户的管理员权限诉求，整体解决思路和方案如下：

1、权限隔离：隔离管理员权限，使管理员权限范围聚焦在系统服务云内，且系统服务云权限在普通用户授权时不可见；

2、体系自定义：构建可自定义的管理员体系，可以自定义当前体系下的各个管理员；

3、权限划分：在自定义体系基础上，自行配置各个管理员所具备的权限功能；

4、自定义密码规则：授予某一管理员密码策略维护权限，可设置密码规则和密码锁定、解锁和重置密码机制。在同一密码策略下，使管理员之间可彼此解锁、重置密码；

5、日志拆分管理：构建全新日志体系，规定某一管理员审计普通用户日志、管理员日志互相审计，以系统机制推动日常工作规范化。

接下来，为大家展示上述五步的操作详情：

步骤一：启用权限隔离参数

在路径【系统服务云】→【配置工具】→【参数配置】→【系统参数】下，选择【系统服务云】→【基础服务】节点，选择禁用“允许对系统服务云授权”参数。此时，系统服务云相关权限在普通用户授权时不可见。

系统参数选择禁止“允许对系统服务云授权”

普通用户授权时“系统服务云”不可见

步骤二：自定义并启用全新管理员体系

以cosmic的身份进行登录，可自定义搭建管理员体系。首先，在【系统服务云】→【特殊管理员】→【虚拟管理员类型】下，可以定义虚拟管理员类型，如下图所示：

定义虚拟管理员类型

在【系统服务云】→【特殊管理员】→【权限管理策略】下，可进行管理策略的自定义，点击“新增”，可选取并定义体系下的虚拟管理员。

新增自定义管控策略

选择虚拟管理员类型

启用权限控制策略

步骤三：自定义各个管理员的权限

以cosmic的身份进行登录，点击对应的管理员策略，在页面定义各个管理员的权限（ps：系统预置三员策略无法修改，需重新新增策略，新增方式参考步骤二）

对各管理员权限定义

步骤四：授予某一管理员账户策略维护权限，并设置密码策略及密码重置解锁机制

以cosmic的身份进行登录，