活字格11.0 update1新功能解密：十五丶分级授权——两种常见模式

登录

本帖最后由 Brian.Zhang 于 2025-10-30 16:20 编辑

对于集团型、或者部门与层级比较多的企业，之前总是听到有一些格友被这样的问题困扰：

想让子公司自己做符合业务需求的应用，又怕权限失控，集团管不住？
想让全集团共用一套核心应用（比如 OA系统、项目管理系统等），又担心子公司改了配置，影响其他部门使用？

想做权限管理，要么担心“管得太死”（子公司没自主权），要么担心“放得太松”（集团没法统一管控），总是在“集权” 和“分权” 之间纠结。

现在，活字格新版本的分级授权能力，可以满足不管是子公司自治做应用，还是集团子公司共用应用，都能兼顾 “灵活性” 和 “管控力”！

一、先搞懂核心：分级授权到底解决什么问题？

对集团企业来说，“应用管理” 的核心矛盾，其实是 “集团统一规范” 和 “子公司个性化需求” 的平衡：

有些场景需要 “子公司自己说了算”（比如各子公司的生产报工系统，流程、字段差异大）；
有些场景需要 “集团统一管控”（比如全集团的人事考勤系统，规则、数据标准必须一致）。

而这次的分级授权能力，就是针对这两种场景，通过灵活的配置来满足的，不用再 “一刀切”—— 既给子公司足够的自主权，又不让集团失去管控抓手。

二、两种授权模式拆解：按需选择，适配不同场景

模式 1：集团公司的子公司自治

适用场景：
各子公司业务差异大，需要独立开发应用（比如子公司 A 做零售管理系统，子公司 B 做生产管理系统），但集团要统一管控 “谁能看、谁能改” 这些应用。我用一张图和一个表格来概括这个模式。

子公司 “自主建应用”：

子公司的开发者可以在活字格上独立搭建应用，比如上图里的应用1到应用10每两个都属于不同的子（集团）公司创建的，自己定义表单、流程、数据字段，不用跟集团 “报备” 细节，满足个性化业务需求；
创建好的应用其他子公司的员工没有权限访问与管理，但是集团公司的超管以及该子公司的管理员有权限管理。

集团 “统一管授权”：

子公司应用建好后，集团管理员拥有 “最高管理权限”—— 可以统一设置 “哪些子公司成员能访问这个应用”“哪些子公司成员可以管理这个应用”等等；

权限变更 “集团可控”：

后续如果子公司需要调整权限（比如新增一个管理人员），子公司管理员可以新增管理者（新增的管理员权限不会超过自己），对于这些变化集团也可查，避免子公司权限管理混乱。

具体要求：

核心价值：子公司不用 “看集团脸色” 做应用，集团也不用担心子公司权限 “乱设”，既灵活又可控。

模式 2：集团公司、子公司共用一套应用

适用场景：
全集团有统一业务标准，需要共用一套核心应用（比如集团 OA 系统、全集团财务报销系统），但要避免 “一旦给子公司管理员权限，他就拥有管理控制台的全部权限”。
同样的我也用一张图和一个表格来概括这个模式。

集团 “统一建应用”
集团开发者搭建一套标准应用（比如财务报销系统，统一设置报销流程、审批节点、费用标准），子公司不能修改应用本身。

集团 “精细化分权限”
集团可以给不同子公司 “分配专属权限”（之前版本就可以实现此部分功能）：

数据权限：子公司 A 只能看自己公司的报销数据，子公司 B 只能看自己的，互相隔离，不用担心数据泄露；集团可以看到全部的数据；

操作权限：集团可以授权 “子公司财务有‘审核报销’权限，子公司员工只有‘提交报销’权限”，且子公司不能自己加权限；

子公司 “按需管理应用”
子公司不用自己建应用，直接用集团的标准应用，只需要按自己的人员结构，在集团授权范围内分配 “子公司内部的权限”（比如子公司 A 的管理员，指定自己的哪些员工能提交报销）。

具体要求：

三、如何配置两种模式？

模式一：集团公司的子公司自治

设置步骤：
1、首先进入管理控制台——设置——安全设置，找到管理后台权限模式的选项，并且切换为分级授权模式。

2、这时候就可以看到之前属于Administrator的依然会被保留，并且自动创建了一个超级管理员组，具备最高的组织权限、应用权限、第三方权限。

3、这一步首先开始开始设置组织结构以及管理组。
组织结构设置。

按照组织结构设置管理组，每个管理组都设置一个管理员。

4、超级管理员给每个管理组设置组织权限、应用权限、第三方权限。
以子公司A的管理组为例，设置的就是他组织结构范围内的管理权限。

同时授予发布新应用的权限，因为子公司A还没有发布应用，所以此处不勾选应用。

设置第三方安全提供程序的新增权限。

如果有Windows域账户，那么此处也可以配置域账户的权限。

设置完了子公司A—管理组的权限之后，业务部门1—管理组、项目一部—管理组、子公司B—管理组等依然按照如上方式根据情况灵活设置。

注意：

因为这里是模式一，要求的就是独立自治，所以给每个管理组都给了组织结构范围内的最大权限。
只有当子公司A—管理组被设置相关权限后（比如发布新应用的权限），它的下级管理组才会有机会添加这个权限。简单理解就是子管理组的权限，是继承的上级管理组的全部或者部分权限，不能超过上级管理组的权限。

5、因为上一步，我们给各级管理组都设置发布应用的权限，这时候我们分别以（子公司A——业务部门1——项目一部管理组、项目二部管理组、子公司B——业务部门1——项目一部管理组）发布三个应用。

效果演示：
1、如果子管理员有权发布新应用程序，则可以为新应用程序配置默认访问范围。发布新应用时，将应用这些默认访问范围。如果未配置，则管理员组的最大访问权限组织权限将应用为新的应用访问范围。

2、这时候我们以子公司A——业务部门1——项目一部管理组的工单系统为例，张三属于该项目一部，登录可以直接访问应用。

3、同时在用户选择框里选择用户时，也只能看到所属组织的用户列表。

4、在流程中，也只能看到该应用可见范围内的成员与组织结构。

5、李四、王五分别属于该子公司项目二部及子公司B的项目一部，都无法访问该应用。

模式 2：集团公司、子公司共用一套应用

设置步骤：
1、首先和模式1一样，设置好组织结构。
2、由超级管理员Administrator发布一个应用，这个应用默认可以被所有人访问。

3、进入管理组设置，设置此应用可以被子公司A下的各级子管理员管理。作为对比，子公司B下的管理组无权限。

4、然后就可以看到，如果以子公司A下的子管理员登录管理控制台，能看到该应用的详情管理（常规设置、服务端命令、计划任务等）。

可以对该应用配置权限：

配置权限时涉及到的用户也只能选择以子管理员权限范围内的用户，以及无组织结构的用户。
配置权限时涉及到的角色也只能选择子管理员权限范围内的角色。

可以查看该应用的日志等。

但是如果以子公司B下的子管理员的身份登录，则无法看到与管理供应商系统。

四、总结

那么以上，就是对两种模式的介绍，大家其实可以看到，之所以人为的把这个划分为两种模式，是因为便于大家从场景理解。
其实每个模式都可以在此基础上根据自己的业务调整，也不必都是集团公司和子公司的关系，也可以是大部门与小部门之间的关系，这个也体现了活字格的灵活度。
下一篇帖子，我就给大家盘盘没在这里体现的，但是也是分级授权重要的功能的部分。

[新版解密] 活字格11.0 update1新功能解密：十五丶分级授权——两种常见模式

本帖子中包含更多资源

评分

0 个回复