【更新日志】

无

【业务概述】

用户管理的功能主要包括用户的增删改查、用户权限管理、以及用户权限相关的查看功能等。

【操作路径】

〖企业建模〗->〖安全管理〗->〖权限管理〗->〖用户管理〗

【相关参数及配置】

无

【操作指引】

     操作前提

数据中心创建完毕，能正常登录，管理单元创建完毕，以对应管理单元的管理员登录系统；账号相关信息已经创建完毕，主要是职员信息、密码策略、组织单元等。

    操作步骤

用户管理列表

1、点击〖企业建模〗->〖安全管理〗->〖权限管理〗->〖用户管理〗菜单进入用户管理列表界面，如下图：

在用户管理界面可以对用户账号进行查看、修改、删除、启用、禁用、引入、引出、分配角色、分配权限、维护组织范围、用户组织权限三维查看、打印等操作。在该界面，左边维护的是用户树，显示的都是用户组，用户组通过工具栏上的 【新增】、【修改】和【删除】进行维护，用户组的字段比较简单，包括编码、名称和备注。单击【确定】，就可以保存。用户组属于全集团共享的基础资料，各个管理员都可以维护用户组，都可以看到所有的用户组。用户组要求编码、名称唯一。

用户维护

1）系统用户维护

系统用户即系统管理员，系统管理员由超级管理员administrator或者上级管理单元的管理员建立。可以在【企业建模】->【组织架构】->【管理单元】->【管理单元】点【管理员维护】按钮，进行维护，已经在《基础数据管理用户手册》中已经说明，请参考。在用户管理界面，点工具条上的【新增】也可以维护系统用户。系统用户的编辑界面如下图：

界面说明：

• 在该界面中，选择对应的用户类型“系统用户”，系统会自动根据用户类型展现出上图界面，系统用户对应的用户实名为手工录入。

• 系统用户对应的组织范围叫做管理单元范围，上级管理单元的系统用户能够维护下级管理员并为下级管理员指定管理单元范围。

• 管理员账号要求集团内唯一，一个管理员账号可以管理一个或者多个管理单元，不允许超出自己的管理范围。

• 管理员的职责为用户维护、权限管理、用户监控等管理工作，管理员不能操作任何的业务功能。

超级管理员和管理单元管理员的职责是一样的，只能从事系统管理工作，不同的是超级管理员的范围不局限于某个管理单元，任何一个管理单元超级管理员都有权限管理，而且管理时，可以不切换管理单元直接管理。

2）普通用户维护

在用户管理的主界面右边列表中，显示的是用户组下面的用户的全部信息，用户信息的维护通过工具条上的【新增】、【修改】和【删除】按钮进行维护，具体的维护界面，如下图：

界面说明：

• 用户账号、密码策略和用户密码为必录项，其它项用户可以选择录入，建议用户维护缺省组织。

• 用户的组织范围需要分别由对应的管理单元管理员来确定。在上图中的<业务组织范围>列表中，点击【增加组织】即可弹出当前的管理单元内的组织结构树，选择需要的组织作为用户的组织范围即可。点击【删除组织】，可以缩小用户的组织范围。用户的组织范围就是用户可以切换组织的范围，至于在每个组织有什么权限，需要对每个组织进行授权之后才可以确定。在上图中的<行政组织范围>列表，维护与业务组织范围一样，只是代表的含义不同，用来确认用户可以操作的行政组织的范围，主要应用于HR系统。

• 上图中的<管辖组织范围>只有对于勾上“授权权”的用户（业务管理员）才会出现，用来界定业务管理员能够查看、修改、新增、删除、授权和分配角色的用户范围，管辖组织范围只能有系统管理员指定，是按照管理单元来界定其范围的。

• 缺省组织需要在用户的组织范围中指定，只有管理单元、财务组织、采购组织、销售组织、库存组织、HR组织六大组织类型的组织允许被指定为缺省组织。缺省组织是用户登录时，默认登录的当前组织。

• 用户类型分为职员、系统用户、客户、供应商和其他，职员类型用户就是为公司内的职员建立账号，客户类型用户则是为公司内的客户建立账号，供应商类型用户则是为公司内的供应商建立账号，系统用户类型对应的是系统的管理员用户，其它类型用户则是排除上述四种类型之外的用户。

• 用户密码的长度必须和选择密码策略相对应，即密码策略要求密码最小长度是几位，就必须录入大于等于几位的密码，否则是保存不了的。

• 生效日期和失效日期是给用户账号的生效期间进行界定的，生效日期会默认为当前日期，用户允许修改；失效日期默认为2199-12-31，用户也可以维护。尚未生效和已经失效的用户账号是不允许登录系统的。

用户字段说明，如下表：

3）业务管理员维护

在用户编辑界面中，勾上【授权权】，用户就可以享有给其它普通用户授权的权利，其权限分为两部分：可转授和可操作权限，给有授权权的用户授权的界面如下图：

界面说明：

• 只有勾上“授权权”的用户授权时，组织F7标题变成管辖组织，可转授页签才是可用的，将允许该用户转授给其它用户的权限移过去，点保存即可。

• 其可转授和已分配权限是相互独立的，互不干涉，两种权限都是与组织相关的。

• 只能在可转授权限的组织范围内给其它用户授权。

• 业务管理员必须由系统管理员创建，并指定其组织范围。

• 通过增加业务组织和删除业务组织，来设置该管理员可以管理哪些组织的权限，注意，业务管理员的可转授权限，是需要分组织授予的，可以使用批量分配权限功能，一次性分配多个组织的可转授权。

• 切换到“行政组织范围”页签，可以指定管理员可以管理哪些行政组织。

• 通过维护“管辖组织范围”可以确定该管理员可以管理哪些管理单元的用户。

• 业务管理员可以操作的功能有：新增、修改、删除、回收用户，分配权限和查看权限、分配角色、查看已分配角色等；

• 可以修改其“管辖组织范围”内的所有用户的业务组织范围和行政组织范围。

• 注意：业务管理员不能创建和删除业务管理员和系统管理员。

用户回收

用户回收功能是将已经删除的用户回收回来，重新生效，类似与从windows将已经删除的文件还原回来。

在用户管理，“业务”菜单下有用户回收按钮，对于业务管理员和系统管理员都有效，用户回收界面如下图所示：

在上图界面中，还提供了用户信息查看、用户权限查看、已分配角色查看等功能，方便管理员在回收用户之前，确认是否确实要回收该用户。

另外，还有一种回收方式，就是在新增用户界面，输入与已删除用户相同的用户账号，系统就会提示是否要回收用户，确认之后，也能将已删除的用户回收回来。

用户复制

用户复制功能将已有用户的业务组织范围、行政组织范围、管辖组织范围，或是已分配权限（角色）复制给其他用户（可新增用户）。

在用户管理，“业务”菜单的“数据复制”下有“用户复制”菜单，对于业务管理员和系统管理员都有效，用户复制界面如下图所示：

在上图界面中提供了复制新增用户基本信息，复制业务组织范围等选项，方便管理员复制用户的其他设置属性，具体设置如下：

1) 5个复选框必须至少选择一个才可以执行复制；

2) 如果选择复制用户基本信息，那么上图中的所有文本框和F7框都是可编辑状态，“源用户账号”默认为序时簿当前选中的记录。目标用户账号为用户手工录入，为必录项，系统检查用户账号唯一；用户实名则根据源用户的用户类型来确定是弹出什么F7，为必录项。用户手机号是用户输入，为非必填项。邮箱是用户自定义输入，用户密码则是根据源用户的密码策略来检查长度，为非必录项，要求用户密码和确认密码相同。

3) 如果不选择复制用户基本信息，那么源用户账号和目标用户账号都是F7选择框，为必选项，其他几个文本框都为不可编辑状态。业务管理员使用该功能时，目标用户的选择，必须是该业务管理员可见的用户，不可见的用户不允许选择。

4) 三个组织范围的复选项要根据源用户的用户类型来确定是否可编辑，如果是普通用户，则“复制业务组织范围”和“复制行政组织范围”是可选的，如果是业务管理员，则三项都为可选，如果是系统用户，则只能选择复制管理单元范围。

5) 组织范围的复制时，需要校验当前管理员本身的组织范围，如果有超出当前管理员管辖范围的组织是不能复制的，例如：业务管理员只能管辖3个组织，而源用户的组织范围有5个，只有3个是当前管理员能管辖的，那么复制就只复制这3个，超出的不予复制。系统管理员则根据CU范围来判断，超出的不予复制。

6) 复制已分配权限（包含角色），该复选框对系统用户不生效。对业务管理员则需要复制可转授权限。注意，不光要复制已分配的权限，还要复制已分配的角色。复制已分配权限和角色，要求源用户和目标用户的组织范围必须有交集，然后针对组织的交集复制权限和角色。当然，这个组织范围的交集必须是在授权人（管理员）的管辖范围内，也就是三者的范围要有交集。

7) 特别要注意的是如果业务管理员去操作用户间的权限复制，将会以源用户的权限和角色与当前管理员能转授的权限和角色取交集之后才能复制。

用户功能授权

在“用户管理”主界面上选择一个需要授权的用户，单击【分配权限】进入用户的分配权限界面，如下图：

界面说明：

• 只有系统管理员和有授权权的用户才允许给用户授权。授权时，通过切换组织来确定是给用户授的是哪个组织的哪些权限。组织的可切换的范围为用户编辑界面维护的用户的业务组织范围。

• 上图中左边树上图标上加了红色的对勾，用来标识被授权用户在这个被授权组织已经授过的权限。这些权限可能是通过分配角色继承的，也可能是别的管理员已经授过的权限。

• 右边为“已授权功能”，授权时只需要点中左边树上的某个节点，点【->】，即可将需要授权的功能右移到“已授权功能”树上。如果不选中任何节点或者选中任意节点都可以点【>>】，即将左边所有的“可授权功能”右移到右边的“已授权功能”树上。

• 在该界面也可以将“已授权功能”撤回来，操作同授权相反，选中某个节点点击【<-】，即可将该功能撤回来，同样选中任意某个节点或者不选中任何节点点击【<<】即可将所有“已授权功能”撤回来，点保存，提示“保存成功”，说明功能授权完成。

• 左边的可授权树会根据选择的组织不同而不同，如果选择的是个财务组织，则可授权树显示的权限项就是凭证、报表、固定资产等财务组织能处理的业务功能。如果选择的是个采购组织，则可授权树显示的权限项就是采购申请单、采购订单等采购组织能够处理的业务功能。币别、计量单位等集团共享的基础资料与选中组织的类型没有关系，选中任何组织都可以对币别等进行授权。

• 另外，系统还提供了批量分配权限的功能，即使可以针对某一用户，选择多个组织分配相同的权限项，通过这个功能可以解决用户在多个应用组织范围内，权限项相同的情况下的分配。但是，建议，这个功能只作为批量角色授权的一个补充策略。

• 用户功能权限批量授权

在“用户管理”主界面，点击如下图批量操作按钮，

就可以出现如下批量授权界面：

还有批量取消分配权限和批量分配角色功能，操作都跟批量分配权限差不多，“选择组织”按钮，是用来选择需要授权的多个组织，可选的组织范围是被授权用户的业务组织范围和当前管理员的管辖范围的交集，然后选择需要分配的权限，点击“分配”按钮，即可完成批量的分配权限。

注意：批量分配权限和取消分配权限界面，在权限树的右边是不显示已分配的权限的，因为选择的是多个组织，已分配权限是针对每个组织的，权限无法逐个显示每个组织分别已授权了哪些权限。

用户功能权限禁止

禁止权限的含义就是授予一个负向的权限，相当于权限的减少，这个减少不会因为后期的追加权限而拥有权限，例如出纳不能有凭证新增权限，那么管理员就可以分配一个凭证新增的禁止权给出纳，那么出纳无论是别人转授权还是委托受托，都不会拥有凭证新增的权限。

在“用户管理”主界面上单击【分配权限】进入用户的分配权限界面，切换右边的页签到已禁止权限，就出现下图界面，如下图：

界面说明：

• 只需要将需要禁止的权限选中【->】和【>>】就可以移到右边。撤回禁止权限时，【<-】【<<】撤回即可。

• 禁止权是按照组织来禁用某个功能的，即禁用A组织的功能，不会影响用户B组织的功能。权限禁用后，再授予该功能权限，用户是不能操作的，即禁止权限优先。

用户分配角色

在“用户管理”主界面单击【分配角色】，即可出现分配角色界面，如下图：

界面说明：

• 在上图界面中，左边为“可分配角色”，右边为“已分配角色”操作和“授权管理”界面的操作一样，选择组织类型和需要授权的组织，将需要的单个角色右移点【->】，如果要分配全部角色，则直接点【>>】，撤销的操作，就是用【<-】和【<<】撤销，最后单击【保存】，分配角色就操作完成了。

• 指定用户的主角色是在分配角色之后，才允许从用户已分配角色中指定。指定了主角色之后，会对用户登录信息门户时能看到的页签有影响，只有选上“经理人”角色的用户，才可以看到“经理人平台”。

• 另外，还提供了批量角色授权的功能，即使对于某一用户，可以选择多个组织进行相同角色的授权。这是一种快速授权的方式，能够解决用户多个组织相同角色快速授权的问题。批量分配角色的操作与批量分配权限的操作方式类似，请参考批量分配权限功能操作说明。

用户角色引入