使用用户组批量授权
当多名成员需要同一套“权限策略 + 授权范围”时,把权限配置在用户组上。成员加入用户组即可获得这套权限,离开用户组即可回收这套权限。
按职责或项目拆分用户组
创建用户组前,先确认这个组代表同一类职责、同一个项目,还是一段临时授权。职责、资源范围或到期时间不同的权限,建议拆成不同用户组。
- 按职责建组,例如
审计只读、平台运维,适合成员长期承担同一类工作。 - 按项目建组,例如
项目A成员、项目B管理员,适合不同项目需要不同资源范围。 - 按临时任务建组,例如
临时排障-2026-05-31,适合短期放行、项目支援或排障授权。
提示
一个用户组最好只承载一套清晰的授权意图。不要把多个职责、多个资源范围或长期/临时权限混在同一个用户组里。
创建承载一套权限的用户组
创建用户组时,让名称和描述能帮助后续管理员判断该组是否还能继续使用。
- 进入用户组列表。
- 创建用户组。
- 填写名称和描述。
- 保存后进入用户组详情页。
为用户组配置策略和范围
用户组权限由权限策略和授权范围组成。策略定义组内成员能做什么,范围定义这些操作能作用到哪些对象。
- 进入用户组详情页,打开权限管理。
- 点击添加权限。
- 选择一个或多个权限策略。
- 展开每个策略,配置本次授权范围。
- 保存后,检查权限列表中的策略、范围和来源是否符合预期。
如果内置系统策略过宽,请先创建自定义策略,再回到用户组授权。
添加或移除组成员
用户加入用户组后,会立即继承该组的所有权限;用户移出用户组后,会立即失去来自该组的权限。
移除成员前,请先在用户详情页检查该用户是否还有直接授权或其他用户组权限。否则可能出现“移出组后仍然有权限”的情况。
验证成员继承的权限
完成授权后,抽查一个普通成员账号,确认权限结果符合预期。
- 在用户详情页查看直接授予权限和继承用户组权限。
- 确认目标策略来自正确用户组。
- 展开策略,确认操作集合正确。
- 检查授权范围是否覆盖目标资源。
- 让成员重新登录或刷新页面后再测试。
调整或回收用户组权限
以下操作会立即影响用户组成员,请在业务低风险时段执行,并提前通知相关成员。
- 回收某个成员的组权限:从用户组移除成员,只回收该成员从本组继承的权限。
- 回收全组某项能力:从用户组移除策略,组内所有成员都会失去该策略带来的权限。
- 缩小全组可操作对象:编辑授权范围,保留策略操作,但减少可操作对象。
- 停用整套授权:删除用户组,回收所有成员通过该组继承的权限。
- 调整操作集合:修改自定义策略,会影响所有已使用该策略授权的用户和用户组。
警告
权限按并集计算。收紧某个用户的权限时,请同时检查直接授权和其他用户组授权。
用临时用户组管理短期授权
临时放行、项目支援或排障授权,建议使用单独用户组,避免混入长期岗位组。
- 创建临时用户组,并在名称或描述中写明用途和到期日期。
- 配置所需策略和范围。
- 添加需要临时权限的成员。
- 到期后移出成员,或删除整个临时用户组。
平台不会自动回收临时权限。请在外部日历、工单或运维流程中设置回收提醒。
常见问题
以下问题用于解释用户组权限的继承和叠加行为。修改用户组前,请先确认变更会影响组内所有成员。
用户移出用户组后为什么仍然有权限?
通常是因为该用户还有直接授权,或仍属于其他拥有相同策略和范围的用户组。请在用户详情页同时检查直接授予权限和继承用户组权限。
例如,用户从“项目 A 成员”用户组获得“查看任务 + 资源池 A”权限,同时又被直接授予同样的查看权限。移出用户组只会回收组权限,直接授权仍会继续生效。
一个用户属于多个组时,最终权限怎么计算?
最终权限按并集计算。只要任一用户组或直接授权允许某个操作,并且授权范围覆盖目标资源,用户就可以执行该操作。
例如,用户属于“项目 A 只读”组和“项目 B 开发者”组,那么用户可以查看项目 A 范围内的资源,也可以在项目 B 范围内执行开发者策略允许的操作;这两个范围不会自动合并成“可以管理项目 A”。
用户组权限变更会通知组内成员吗?
不会自动通知。用户组权限变更会影响组内所有成员,回收权限或缩小范围前建议提前通知相关成员。
临时用户组到期后会自动回收权限吗?
不会。用户组不会按名称或用途自动到期。若用户组只用于临时授权,请设置外部提醒,并在到期后手动移除成员、删除用户组或收回用户组授权。
我应该按“权限策略”还是“授权范围”创建用户组?
优先按职责、项目或临时任务设计用户组。一个清晰的用户组通常表示“一组人 + 一组操作权限 + 一组资源范围”,例如 项目A只读 或 临时排障-2026-05-31。
例如,如果同一批成员都需要查看项目 A 的资源,就创建 项目A只读 用户组,并把只读策略和项目 A 范围配置在组上;如果其中一人临时需要管理项目 B,请为该用户单独添加临时授权,或放入单独的 项目B临时运维 用户组。