温馨提示！本知识属于授权相关的进阶知识，在查看本知识前，建议先了解下面的基本知识：

基本介绍

用户组授权与用户授权有什么区别？应用场景？如何设置？

https://vip.kingdee.com/link/s/MUjtU

常见疑问

经常有以下几类问题的咨询：

场景1：数据授权，用户组【甲】里设置A供应商，子账号在用户组【甲】里，且单独对子账号用户授权设置B供应商，子账号可以看到供应商A和B。

场景2：数据授权，用户组【甲】设置仓库A，子账号用户授权没有设置仓库，子账号可以在看到仓库A的基础资料及单据

场景3：数据授权，用户组【甲】没有设置授权，子账号用户授权设置仓库A，子账号可以看到仓库A基础资料及单据，以及没有仓库的单据。

以上现象其实都是正常的，而原因都是因为对子账号同时设置了用户授权和用户组授权。

下面来简单说明一下逻辑。

功能说明

【重点1】当用户授权和用户组授权同时启用时，二者的授权是叠加的（取的是或的结果）

什么是权限叠加？下面举例说明：

假设子账号“李四”在用户组“销售部”里

场景1：用户、用户组都做了数据授权

“销售部”用户组数据授权了只能看客户“VIP”，

同时单独对李四做了用户授权能看客户“订货散客”

那么这个时候他的授权就会叠加，当他开销售订单时，客户VIP、订货散客他全部都能看到。这就是所谓的权限叠加，也就是把用户和用户组的权限合并在一起：

场景2：用户组做了数据授权，用户没数据授权

李四用户授权没有设置“客户”数据授权：

销售部设置“客户”数据授权，只能看客户“订货散客”，

那么李四开单时，也可以看到客户“订货散客”，

场景1/2都是一样的逻辑，都是权限叠加的原因，既然李四在用户组里，那么就算他本人授权没有设置某个字段的数据授权，那么只要他在用户组里，且用户组设置了其他的数据授权，那么他也是可以看到的，这是大家平时在授权时容易忽略的问题。

场景3：用户组没数据授权、用户做了数据授权  

还是以上面的为例，销售部设置没有做数据授权

李四用户授权设置了客户分类，只能看客户分类“战略客户”，

此时，李四查看客户列表，能看到客户分类为“战略客户”

单据列表也是一样，只能看到客户分类为“战略客户”的单据。

结论与重点

针对场景1-3的总结：

• 当同时启用了用户组和用户数据授权（都有设置具体的值），子账号的权限范围是2个授权结果的合集（取“或”的结果），也就是权限是叠加的

• 如果用户和用户组任意一边里有权限，另一边没有设任何授权（也就是没有设置任何的的值），则以设置了权限的一方的权限为准。用户只能看设置了值的字段的基础资料、单据，以及该字段为空的单据（为空表示不控制，详见重点2）。

【重点2】字段没有维护值的，数据授权相当于不做控制

数据授权的核心是，只要有对应数据的权限，那么就应该能看到数据，而如果数据授权设置的字段本身没有维护值，系统就没法识别，没有依据就不控制。

下面举例说明：

场景4：还是以上文的例子说明，销售部没有任何数据授权

李四用户授权只能看客户分类“战略客户”

此时，李四查看客户列表发现，除了客户分类“战略客户”，还看到了客户分类为空的客户

单据列表也一样

原因分析：因为其他客户的“客户分类”没有维护值，都是空值，在星辰里，字段没有维护值的，数据授权相当于不做控制，所以李四可以看到这部分数据是正常的。

解决方案：如果只希望李四看到“战略客户”的客户分类，建议把“客户分类”为空的客户都维护上对应的字段即可。

实施及应用建议

1、单独使用用户授权、用户组授权，以及同时2种授权的场景说明：

注意！当子账号个人权限是小于用户组的权限时（也就是子账号只拥有部分数据权限），不要同时使用用户组授权+用户授权。

2、使用数据授权时，建议所设置的字段都维护了对应的值，尽量不要出现为空的值，否则授权不做控制；