不同于个人网盘或者团队协作网盘只有简单的编辑、只读、下载、删除这几个权限,企业网盘因为使用场景复杂、权限控制要求高,会有很多种很细的权限控制方式和要求以实现精细的权限管理。本文以巴别鸟企业网盘为例,详细介绍下企业网盘的权限结构和使用方式。巴别鸟企业网盘的权限设置在企业网盘产品里算是最全面的,了解了巴别鸟企业网盘的权限构成,也就能触类旁通的了解了大多数企业网盘的权限构成。
权限结构
巴别鸟企业网盘分为个人文件和企业文件两种文件体系,个人文件完全交由用户自行管理(管理员可以关闭个人文件),个人文件涉及权限的部分主要是分享文件或组建个人项目时需要设定。决定了加入分享者或加入项目的人对文件的访问权限,比较简单。这里主要讲企业文件的权限结构。
角色
企业文件是以组织结构(部门)为单位的,根部门下可以创建无数多个子部门、子部门下可以创建子子部门,以此类推,形成一个树状结构。在巴别鸟中,组织结构可以从第三方系统(如:OA、企微、钉钉、飞书 …)导入,也可以用模版导入,或者手动创建。
每个部门都可以加人,加入部门的人就可以看到这个部门(在企业文件根目录会显示加入的部门),对部门文件的默认访问权限由他加入部门时赋予的角色决定。角色可以理解为一系列权限的集合。如果角色有查看子部门权限,那么加入部门的这个人就能看到这个部门的所有子部门。
所以,是否是部门成员(或者上级部门成员)决定了用户是否能访问部门,用户在该部门的角色决定了用户对部门的访问权限。同一用户在不同部门可以拥有不同的角色。
这意味着,每个部门成员也都有一个角色对应,部门增加成员时要设定成员的角色才能添加成功,不存在没有角色的部门成员。
巴别鸟可以自定义角色,包括角色名字,角色拥有的权限,管理员可以创建多种角色供部门加人时按需选择。
部门管理员也是一种角色,一般拥有部门文件管理、管理部门人员权限的人都可以对部门进行管理,如果拥有“子部门管理”权限的人,就可以管理该部门下属的所有部门。如果有“管理部门人员”权限,就可以更改加入部门的人的角色以更改他在部门的权限。
角色权限决定了成员在部门的文件访问权限,如这个角色的权限里没有“查看别人的文件”权限,就意味着这个成员仅能看到自己上传的文件。
文件访问控制
通过角色可以很方便的管理部门成员对文件的访问,角色权限更改了,所有使用该角色的成员权限也会统一修改。为某个成员替换一个角色,这个成员在部门的权限也就变更了。方便管理员批量统一管理。使用角色我们不需要对部门的每一个文件或文件夹赋权,而是通过对人赋权的方式进行管理,这样协作和文件共享会更高效。
但是实际工作中,往往还会有一种情况,就是部门文件因为协作需求,大多数部门成员角色所带的权限都能编辑,但某个或某几个文件,只希望特定的人或角色能编辑,如何解决这类需求?
所以巴别鸟有设置文件访问控制这个方式来管理具体文件(文件夹)的访问行为,只要角色有“部门文件管理”权限的人都可以在所在部门使用文件访问控制。文件访问控制的权限优先级高于角色权限。如果某个人的角色具有编辑权限,但某个文件(文件夹)设定了这个人对该文件只有“查看”权限,那么这个人将只有该文件的查看权限。
所以,文件访问权限的优先级高于角色,这也意味着 角色+文件访问控制 的方式可以满足几乎所有的文件管理的权限要求。
在系统角度,巴别鸟访问一个文件的流程是这样。
用户打开部门
系统先查询用户角色有权限访问的文件再查询这些文件是否有文件访问控制,如有,按文件访问控制赋予权限
在文件列表显示用户有查看权限的文件,并按用户权限配置菜单(有下载权限显示下载按钮,有删除权限显示删除按钮)
可选的文件访问控制权限也可以在企业控制台自定义,同时,文件访问控制不仅能针对每个部门成员控制权限,也能针对角色来控制权限。譬如某个文件(文件夹),角色为“实习生”的部门成员不可查看。
如图:文件右键打开“文件访问控制后”点击上方绿框处“角色权限设置”可以按角色分类设定文件访问方式,点击下方绿框“不设置”可以选择赋予的权限类型。
文件访问控制的可选权限在企业控制台——权限管理——文件权限列表中自定义:
文件权限列表自定义的权限可选项,不仅适用于“文件访问控制”也适用于分享和项目的可选权限。
分享文件(夹)
如果部门里的文件(文件夹)需要和其他部门的成员协作或者给其他部门成员浏览,甚至发给企业外的人。分享是最快捷的方式。
巴别鸟分享有两个层面的控制,首先是 对内分享(企业内部)和对外分享(企业外部)的控制:
1.全局层面,巴别鸟可以关闭整个企业网盘的对外分享和匿名分享,在企业控制台-企业配置中就可以设定。
2.也可以禁止个人文件的分享。
3.同时,巴别鸟也可以控制任意一个部门是否能对外分享文件,这个是通过部门安全策略来控制的。譬如:开发部门不能把文件对外分享,但销售部门可以。这需要企业“安全保密员”通过安全策略来控制。
还有一个层面,就是具体到某个角色是否有部门文件的分享权限。这个是根据角色的权限控制的。
如果该角色的成员没有分享权限,他就需要向部门管理员申请是否能分享某个文件,部门管理员同意后分享生效。
这些设置控制了用户是否能分享文件,分享时能给对方什么权限呢?分享的可选权限是由“文件权限列表”控制的。就是上文“文件访问控制”的可选权限。
同时出于安全闭环巴别鸟有一条原则,就是一个用户分享文件时,不能选择他不具备的权限进行分享。
譬如一个用户有分享文件的权限,但是他没有下载权限,这样的文件他在使用分享时是选择不了任何包含“下载”权限的分享授权的。
项目权限
如果需要长期跨部门和对外合作,使用巴别鸟的项目来进行管理会更加方便。
项目可以像分享一样,邀请其他部门成员甚至邀请整个部门或者邀请企业外成员加入(需要有手机号或邮箱)
项目和分享的主要差别如下:
- 项目一定需要加入者进行身份验证才可以,不支持匿名。分享的链接分享支持匿名访问。
- 项目所在的部门成员如果不加入项目(除了拥有部门文件管理权限的角色)是看不到项目的。分享就是普通的文件夹,有查看权限的角色都能看到。
- 项目可以由项目创建者指定的项目管理员独立管理,项目是可以跨部门转交的。譬如:销售部下面的某个项目转交给生产部。
- 分享时设定的权限决定了加入者对整个分享文件夹的权限,项目可以使用“文件访问控制”来控制里面每一个文件(文件夹)的权限。
其中第四点决定了项目能做比分享更细致的权限控制。
在文件列表左侧栏也有“我的项目”栏目,可以统一查看管理用户加入或创建的所有项目。
部门权限列表说明
接下来详细说明下部门权限列表及其作用:
掌握了以上的几个权限点基本就能很好的使用企业网盘管理权限了。如果有不会用的或者新的权限需求,欢迎在评论区交流。