管理权限的最佳做法
授予和传播权限时,请切记以下事项:
• 授予用户组的权限会被属于该组的用户继承。这样您就可以在用户组级别管理权限,只要根据需要在用户组中添加或移除用户即可。
• 为用户或用户组授予的对上下文或设备的最新权限即为该用户或用户组对该设备的当前权限设置。例如:
◦ 如果 User1 被授予对 Context4 中所有设备的读取 (Read) 权限,并随后被授予对 Context4 中 Line3 及其所有子项的写入 (Write) 权限,则 User1 对 Context4 中的 Line3 及其所有子项具有写入 (Write) 权限,对 Context4 中所有其他设备具有读取 (Read) 权限。
◦ 如果 User1 被授予对 Context4 中的 Line3 及其所有子项的写入 (Write) 权限,并随后被授予对 Context4 中所有设备的读取 (Read) 权限,则 User1 对 Context4 中的所有设备都具有读取 (Read) 权限。
• 向某个用户组授予无 (None) 权限会优先于明确授予该组中某个用户的任何读取 (Read) 或写入 (Write) 权限。向某个用户明确授予无 (None) 权限会优先于授予该用户所属用户组的读取 (Read) 或写入 (Write) 权限。
• 向某个用户组授予读取 (Read) 权限会导致该组中用户只能拥有读取 (Read) 权限,即使该组中的某个用户被明确授予写入 (Write) 权限。当授予用户组读取(Read)权限时,该用户组的写入(Write)权限自动设置为 false。写入 (Write) 权限的 false 设置由该用户组中的用户继承。如要允许该用户组中的某些用户拥有写入 (Write) 权限,只要向用户组授予写入 (Write) 权限,向单个用户授予读取 (Read) 权限。
• 如果用户在“配置和设置”的“设备”选项卡上创建了一个新设备,则该用户自动被授予对该设备的写入 (Write) 权限。其他任何用户或用户组均不会被自动授予对该设备的读取 (Read) 或写入 (Write) 权限。管理员和控制工程师始终可以查看所有上下文和设备,无论权限如何设置。
• “导入和导出设备”操作受限于执行该操作的当前用户所具有的权限。
◦ 导出操作所包括的上下文和及该上下文中的设备仅限于当前用户对其至少具有 Read 权限的上下文和设备。
◦ 导入时,当前用户必须对设备所导入到的上下文具有写入 (Write) 权限。对于该电子表格中列出的每个设备,还必须在“属性读取”和“属性写入”两列中都对当前用户授予权限,要么通过明确授予的方式,要么通过用户组间接授予。
• 要移除用户或用户组对某些上下文或设备的权限,请授予他们对该上下文或设备的无 (None) 权限。