用户与组织
Crest 用户管理、组织管理、账号生命周期和账号安全操作说明。
用户和组织是权限管理的基础。组织用于表达人员归属,用户用于登录和操作,角色用于授权。三者需要分开理解:组织不直接承载权限,角色才是权限的主要载体。
入口:系统管理 → 用户管理。
用户管理页是管理员处理账号生命周期的主入口。图中通常可以看到组织树、用户列表、搜索区和操作按钮。日常操作时,先在组织树定位部门,再在用户列表中搜索账号;新增、禁用、重置密码、调整角色都应从这里开始。
用户管理对象
| 对象 | 说明 |
|---|---|
| 用户账号 | 用户登录 Crest 的身份 |
| 用户姓名 | 页面展示、审计日志和协作识别 |
| 邮箱 / 手机 | 联系和账号识别信息 |
| 所属组织 | 便于按部门管理用户 |
| 角色 | 控制菜单、功能和资源访问 |
| 状态 | 控制账号是否可以登录 |
创建用户
进入用户管理
打开系统管理中的用户管理页面,先确认左侧组织结构是否已经建立。组织不清晰时,先维护组织,再创建用户。
新建用户
点击新建用户,填写账号、姓名、邮箱、手机号等基础信息。账号建议使用企业统一账号或工号,不建议使用昵称。
选择组织
将用户放入正确组织,便于后续查询和管理。
分配角色
根据岗位职责分配角色,不建议直接授予管理员角色。
通知用户登录
告知用户登录地址和首次登录要求。新建本地用户后,管理员可按系统参数中的默认密码策略告知用户初始密码,并提醒及时修改。
创建完成后,用下面清单验收:
- 用户能在列表中搜索到。
- 姓名、邮箱、手机号和组织正确。
- 角色符合岗位职责,没有额外管理员权限。
- 用户首次登录后能看到预期菜单。
- 审计日志能记录登录和账号相关操作。
调整用户角色
用户转岗、加入项目、离开项目时,都可能需要调整角色。
操作顺序:
- 在用户管理中搜索目标用户。
- 打开用户编辑或角色配置。
- 移除旧岗位或旧项目角色。
- 添加新岗位或新项目角色。
- 保存后用普通账号验证菜单和资源范围。
- 在审计日志中记录变更时间和操作人。
不应因临时访问需求直接授予管理员角色。临时需求应创建明确范围的角色,或仅授予具体资源权限。
组织维护
组织结构建议按企业真实管理关系维护,不建议为了单个项目随意新增临时组织。
| 场景 | 建议处理 |
|---|---|
| 新部门成立 | 新增组织节点,并迁移相关用户 |
| 部门更名 | 修改组织名称,保留历史账号和资源 |
| 部门合并 | 先确认用户、资源和角色影响,再迁移 |
| 项目临时组 | 优先使用角色或资源授权,不一定要新增组织 |
账号生命周期
| 阶段 | 管理动作 |
|---|---|
| 入职 / 加入项目 | 创建账号,加入组织,分配最小必要角色 |
| 转岗 | 调整组织和角色,回收旧岗位权限 |
| 项目结束 | 回收项目角色和资源权限 |
| 离职 | 禁用账号,检查其创建的分享链接和关键资源 |
| 长期未登录 | 复核是否仍需保留账号 |
离职或项目结束时,除了禁用账号,还要检查两类遗留内容:用户创建的分享链接,以及用户负责维护的仪表盘、大屏、数据集。账号禁用前建议先完成资源交接。
账号安全建议
- 管理员账号和普通账号分开使用。
- 不共享账号。
- 临时账号设置明确负责人和回收日期。
- 账号异常登录时先禁用账号,再排查审计日志。
- SSO 环境也要保留用户与角色治理,身份认证不能替代权限管理。
默认密码与重置密码
v1.5.5 起,系统参数中新增“账号安全”分组。新建本地用户或重置本地用户密码后,管理员可以看到当前默认密码并一键复制。
建议流程:
- 在系统参数中先确认默认密码、密码策略和登录限制。
- 新建用户后,将登录地址、账号和初始密码通过受控渠道发送给本人。
- 要求用户首次登录后立即修改密码。
- 重置密码后,提醒用户旧密码已失效。
- 不在群聊、公开文档或工单截图中暴露默认密码。
账号安全相关参数通常包括:
| 参数 | 管理目的 |
|---|---|
| 默认密码 | 新建本地用户和重置密码后的初始密码 |
| 密码策略 | 控制密码长度、复杂度或校验规则 |
| 禁用初始密码 | 降低长期使用默认密码的风险 |
| 密码有效期 | 要求用户定期更换密码 |
| 登录限制次数 | 连续失败达到阈值后触发限制 |
| 登录限制时间 | 控制失败登录后的限制时长 |
生产环境建议启用明确的密码策略和登录限制。若企业已启用 SSO,仍应保留本地管理员账号的安全治理,用于应急维护和权限排查。
常见问题
| 问题 | 处理 |
|---|---|
| 用户能登录但没有菜单 | 检查角色和菜单权限 |
| 用户看不到某个仪表盘 | 检查资源权限和所在空间授权 |
| 用户离职后资源无人维护 | 将资源移交给新的负责人,再禁用账号 |
| SSO 用户首次登录无权限 | 检查默认角色或登录后人工授权 |
| 用户姓名显示不规范 | 在用户管理中统一维护姓名和邮箱 |
| 重置密码后用户仍无法登录 | 确认默认密码、账号状态、登录限制和是否输错登录入口 |