Initial commit

KMsoftPLM/系统介绍/安全管理/三员授权.md

@@ -0,0 +1,99 @@
+# 三员授权
+
+“**安全模块**”中“**三员授权**”功能为超级管理员独有
+
+超级管理员通过此功能对 [系统三员](../用户/系统三员.md) 进行权限分配
+
+*Notice：尽管在“三员授权”的页面能够查看到应用级，及以下的项目资料库、产品资料库与公共资料库，但实际上开目PLM仅可在应用级对系统三员进行授权*
+
+系统三员只有得到授权才能访问相应的页面，进行操作（可以理解为这是对系统三员可访问菜单的控制）
+
+授予权限才能访问对应的页面，*例如“数据建模”权限*
+
+未被授予数据建模权限的系统三员访问数据建模板块，会提示“当前用户无登录权限”
+
+![image-20240418153127932](assets/image-20240418153127932.png)
+
+而得到授权的系统三员进行登录能够成功访问数据建模板块
+
+![image-20240418153203742](assets/image-20240418153203742.png)
+
+*以“流程图绘制”权限为例*
+
+未授予流程图绘制权限的系统三员没有“工作流建模”模块，更没有“流程图绘制”页面
+
+![image-20240418153834304](assets/image-20240418153834304.png)
+
+而得到授权的系统三员，能够在菜单栏中看到“工作流建模”模块，“流程图绘制”页面
+
+![image-20240418155009112](assets/image-20240418155009112.png)
+
+# 不同模块可授予权限列表
+
+## 元数据定义
+
+1. 数据建模
+
+## 工作流建模
+
+1. [流程图绘制](../工作流建模/流程图绘制.md)
+
+## 系统定制
+
+1. [系统配置](../系统定制/系统配置.md)
+2. [二次开发脚本管理](../系统定制/二次开发脚本管理.md)
+3. [系统功能扩展](../系统定制/系统功能扩展.md)
+4. [对象类功能扩展](../系统定制/对象类功能扩展.md)
+5. [菜单定义](../系统定制/菜单定义.md)
+6. 权限项定义
+7. [流程角色定义](../系统定制/流程角色定义.md)
+8. 团队模板定义
+9. 任务模板管理
+10. 目录模板
+11. 环境变量定义
+12. 查看任务计划
+13. 公式管理
+14. 设置功能编码
+15. 公式绑定
+16. 公式
+
+## 系统管理
+
+1. 在线用户管理
+2. [用户组定义](../系统管理/用户组定义.md)
+3. [职务定义](../系统管理/职务与职务簇定义.md)
+4. 系统监控
+5. [角色定义](../系统管理/角色定义.md)
+6. [组织管理](../系统管理/组织管理.md)
+7. 废弃对象管理
+8. 流程监控
+9. 用户流程清单
+10. 对象解锁
+
+## 安全管理
+
+1. [安全选项](安全选项.md)
+2. [安全审计员安全设置](管理员安全设置.md)
+3. [安全保密管理员安全设置](管理员安全设置.md)
+4. [系统管理员安全设置](管理员安全设置.md)
+5. [用户安全设置](用户安全设置.md)
+6. 功能密级设置
+7. [功能授权](功能授权.md)
+8. [对象分类授权](对象分类授权.md)
+9. [功能权限查询](功能权限查询.md)
+10. [对象权限查询](对象权限查询.md)
+11. [菜单定义功能授权](菜单定义功能授权.md)
+## 日志管理
+
+1. 系统运行日志
+2. 开发管理日志
+3. 组织用户管理日志
+4. 用户登录日志
+5. 业务操作日志
+6. 系统配置日志
+7. 系统管理日志
+8. 安全管理日志
+9. 安全审计日志
+10. 事件日志
+11. 任务计划日志
+12. 操作日志

KMsoftPLM/系统介绍/安全管理/功能授权.md

@@ -0,0 +1,461 @@
+# 介绍
+
+在 **安全管理** 模块中 **功能授权** 页面能够对 [应用级](#应用级)，与产品资料库、公共资料库以及项目资料库中的 [容器](#容器)、[目录](#目录) 进行相关的授权
+
+![image-20240423160019629](assets/IMG-20240423162057744.png)
+
+访问此页面需要超级管理员 [对系统三员进行相应的授权操作](三员授权.md#安全管理)，只有得到授权的系统三员才能够在菜单中找到该页面
+
+授权分 [应用级授权](#应用级授权)、[容器授权](#容器授权) 和 [目录授权](#目录授权)，对 “产品资料库”、“公共资料库” 以及 “项目资料库” 无法进行相应的授权操作
+
+## 应用级、容器、目录说明
+
+### 应用级
+
+**应用级** 指 **安全管理** → **功能授权** 功能界面中的 “应用级”根节点，通过授权可以给予 [授权对象](#授权对象) 相应的系统功能权限（对应 [导航条](../系统定制/菜单定义.md#导航条) 上的功能）
+
+![image-20241128135604493](assets/image-20241128135604493.png)
+
+### 容器
+
+容器指 **产品资料库、公共资料库、项目资料库** 中具体的容器
+
+![](assets/Pasted%20image%2020241128140723.png)
+
+在 **功能授权** 界面中的 “容器”根节点，也是指这个容器
+
+![](assets/Pasted%20image%2020241128141523.png)
+
+### 目录
+
+目录指 **功能授权** 界面中，除 “容器”根节点 以外的所有节点
+
+注意：在 **功能授权** 中，可以理解为每个容器都有一个与之同名的目录，选择 [容器](#容器) 可以进行 [容器授权](#容器授权)，而选择 **目录**，就只能进行 [目录授权](#目录授权)
+
+![](assets/Pasted%20image%2020241128141901.png)
+
+## 授权对象
+
+无论是“应用级”授权还是“容器”授权，可授权的对象范围大致都是一样的
+
+- [用户](../系统管理/组织管理.md#用户管理)
+- [用户组](../系统管理/用户组定义.md)
+- [岗位](../系统管理/组织管理.md#职务（岗位）)
+- [岗位组](../系统管理/职务与职务簇定义.md)
+- [部门](../系统管理/组织管理.md)
+- [角色](../系统管理/角色定义.md)：只有 [容器授权](#容器授权) 和 [目录授权](#目录授权) 时可以选择角色，[应用级授权](#应用级授权) 不可以选择角色
+- 全部用户
+- 拥有者：指代当前容器或目录的所有者（默认情况下是创建人），通常拥有者具备当前容器或目录的全部权限
+
+ 在其中不包含 [系统三员](../用户/系统三员.md)
+
+### 情况说明
+
+#### [停用账号](用户安全设置.md#停用账号)无法授权
+
+在账户被停用的情况下，尽管在功能授权页面还能够查询到该账户的授权信息，但实际上这个账户是无法进行再次授权的
+
+![image-20240425171058503](assets/image-20240425171058503.png)
+
+![image-20240425171133369](assets/image-20240425171133369.png)
+
+#### [锁定账号](用户安全设置.md#锁定账号)可继续授权
+
+与停用账号不同，一个账号就算被锁定了，也还是可以继续授权的
+
+![image-20240425171304658](assets/image-20240425171304658.png)
+
+![image-20240425171320748](assets/image-20240425171320748.png)
+
+## 临时授权
+
+临时功能授权，可通过对功能的生效日期与失效日期的设置来实现
+
+![image-20240423163756535](assets/image-20240423163756535.png)
+
+## 应用级可授予权限列表
+
+![](assets/Pasted%20image%2020241127164208.png)
+
+### [安全管理](#安全管理)
+
+1. 批量数据密级设置
+2. 批量对象实例授权
+3. [菜单定义功能授权](#菜单定义功能授权)：==**该功能应当谨慎开放！！！**==
+
+### 变更追溯
+
+1. 变更追溯
+
+### 工作流建模
+
+1. [流程图绘制](../工作流建模/流程图绘制.md)
+
+### 日志管理
+
+1. 事件日志
+2. 任务计划日志
+
+### [容器管理](#容器管理)
+
+1. [新建产品容器](#新建产品容器)
+2. [全部产品](#全部产品)
+3. [我管理的产品](#我管理的产品)
+4. [新建公共资料库容器](#新建公共资料库容器)
+5. [全部公共资料库](#全部公共资料库)
+6. [我管理的公共资料库](#我管理的公共资料库)
+7. [新建项目容器](#新建项目容器)
+8. [全部项目](#全部项目)
+9. [我管理的项目](#我管理的项目)
+10. [删除产品容器](#删除产品容器)
+11. [删除公共资料库容器](#删除公共资料库容器)
+12. [删除项目容器](#删除项目容器)
+13. [废弃产品管理](#废弃产品管理)
+14. [废弃项目管理](#废弃项目管理)
+15. [废弃公共资料库管理](#废弃公共资料库管理)
+
+### 数据导入
+
+1. [零部件与BOM导入](../数据导入/零部件与BOM导入.md)
+
+### 统计报表
+
+1. 部门项目资源统计
+2. 帆软报表
+
+### 系统定制
+
+1. 查询条件定义
+2. [流程角色定义](../系统定制/流程角色定义.md)
+3. [工作流模板定义](../系统定制/工作流模板定义.md)
+4. 团队模板定义
+5. 任务模板管理
+6. 目录模板
+7. [资源管理器定义](../系统定制/资源管理器定义.md)
+8. 资源数据浏览
+9. 环境变量定义
+10. 查看任务计划
+11. 公式管理
+12. 设置功能编码
+13. 公式绑定
+14. 公式
+15. 对象模板
+16. 系统监控杆
+17. 组织管理（菜单）
+18. [公告管理](../系统管理/公告管理.md)
+19. 流程监控
+20. [系统配置](../系统定制/系统配置.md)
+21. [二次开发脚本管理](../系统定制/二次开发脚本管理.md)
+22. [系统功能扩展](../系统定制/系统功能扩展.md)
+23. [对象类功能扩展](../系统定制/对象类功能扩展.md)
+24. [菜单定义](../系统定制/菜单定义.md)
+25. 权限项定义
+
+### 系统管理
+
+1. 流程监控
+2. 查看停用用户未完成工作
+
+### 元数据定义
+
+1. 数据建模
+
+### 资料
+
+1. 变更管理
+
+## 容器可授予权限列表
+
+ [容器授权](#容器授权) 是对 **产品资料库**、**公共资料库** 以及 **项目资料库** 中的 **容器** 进行授权，此处的 **“容器”** 是当前 **容器** 的根节点，可以理解为这就是当前容器
+
+![image-20241127170541465](assets/image-20241127170541465.png)
+
+对容器可授予的权限，在系统中有详细的说明，此处以表格进行记录
+
+| 权限名称          | 权限说明                       | 权限类  |
+| ------------- | -------------------------- | ---- |
+| [打开](#打开)     | 拥有浏览容器的权限                  | 容器操作 |
+| [恢复](#恢复)     | 拥有恢复容器的权限                  | 容器操作 |
+| [修改属性](#修改属性) | 拥有修改容器属性，包括名称、备注、拥有者等      | 容器操作 |
+| 容器团队管理        | 拥有修改容器团队创建、修改等权限           | 容器操作 |
+| 容器任务计划管理      | 拥有修改容器中项目计划、独立任务管理权限       | 容器操作 |
+| 对象模板管理        | 拥有对象模板管理权限                 | 容器操作 |
+| [废弃](#废弃)     | 拥有废弃容器的权限                  | 容器操作 |
+| 容器配置          | 拥有定义项目团队、流程模板、工作区等容器配置管理权限 | 容器定制 |
+| 维护条件目录        | 拥有维护条件目录的权限                | 容器管理 |
+| 打开条件目录        | 拥有打开条件目录的权限                | 容器管理 |
+
+## 目录可授予权限列表
+
+具体容器或目录的授权和 [容器授权](#容器授权) 又不同，这是对指定的某个具体的容器进行授权，可授权范围与容器授权范围也不同
+
+![image-20240423165250332](assets/image-20240423165250332.png)
+
+[指定容器授权](#目录授权)，在系统中有详细的说明，此处以表格进行记录
+
+| 权限名称              | 权限说明                | 权限类  |
+| ----------------- | ------------------- | ---- |
+| 查看（本目录）           | 拥有查看此目录权限           | 目录管理 |
+| [查看对象列表](#查看对象列表) | 拥有浏览目录的权限           | 目录管理 |
+| [修改属性](#修改属性-目录)  | 拥有修改目录属性的权限，包括名称、备注 | 目录管理 |
+| [创建子目录](#创建子目录)   | 拥有创建子目录的权限          | 目录管理 |
+| 添加/删除对象链接         | 拥有添加、删除对象链接的权限      | 目录管理 |
+| [删除](#删除)         | 拥有删除目录的权限           | 目录管理 |
+| [删除子目录](#删除子目录)   | 拥有删除子目录的权限          | 目录管理 |
+| 全部                | 拥有对目录的所有权限          | 目录管理 |
+
+## 权限继承
+
+权限继承发生在 [目录授权](#目录授权) 之间，通常情况下子目录会继承父目录的授权情况，例如：用户A在目录A具备创建子目录权限，那么用户A在目录A的子目录B下也具备创建子目录的权限
+
+![权限继承](assets/image-20241129092012337.png)
+
+# 应用级授权
+
+应用级授权即在 **安全管理** → **功能授权** → **应用级** 中进行授权，可理解为对 [授权对象](#授权对象) 授予系统应用的某项功能相应的权限（对应 [导航条](../系统定制/菜单定义.md#导航条) 上的功能）
+
+![应用级授权](assets/image-20241127092127945.png)
+
+## 安全管理
+
+### 菜单定义功能授权
+
+此功能的随意使用会影响到整个系统的安全性，故而==**该功能应当谨慎开放！！！**==
+
+被赋予此权限的用户，能够在 **安全管理** 中查看到 [菜单定义功能授权](菜单定义功能授权.md) 功能页面
+
+![菜单定义功能授权](assets/Pasted%20image%2020241127163910.png)
+
+## 容器管理
+
+新建的账号是无法查看到 **公共资料库**、**产品资料库**、**项目** 的，打开系统后只能看到 项目 和 当前容器，但是这两个功能都是空的，无法进行任何操作
+
+点击 项目 会提示 当前容器已经删除
+
+![image-20241126155341610](assets/image-20241126155341610.png)
+
+点击 当前容器 → 设置当前容器，尽管能够查看到系统当前所有的容器，选择后点击确定，也会提示 “更换成功”
+
+![image-20241126155551807](assets/image-20241126155551807.png)
+
+但是上述操作实际上只会让 “当前容器” 显示为 被选择的容器，例如选择 “报表” 后，在 [导航条](../系统定制/菜单定义.md#导航条) 中，“当前容器” 会被替换成 “报表”，但是实际上只是名称做了替换，点击 “报表” 后仍不能对该容器进行操作，只能继续 “设置当前容器”
+
+![](assets/Pasted%20image%2020241127091522.png)
+
+### 全部产品
+
+ 在 **功能授权** 的 **应用级** 中对用户授予 **全部产品** 权限，得到此权限的用户能够查看到产品资料库的全部容器
+
+![image-20241127105914762](assets/image-20241127105914762.png)
+
+但是仅限于查看（只能看到产品资料库的容器），不能进行任何操作（没有 [打开](#打开) 权限的提示如下）
+
+![image-20241127110007037](assets/image-20241127110007037.png)
+
+### 新建产品容器
+
+此权限生效的前提是该用户必须具备 [全部产品](#全部产品) 权限，否则的话和没有权限是一样的
+
+![](assets/Pasted%20image%2020241127091522.png)
+
+此权限生效后，用户能够在 [全部产品](#全部产品) 或 [我管理的产品](#我管理的产品) 界面，通过 **新建容器** 按钮来创建新的产品容器
+
+![](assets/Pasted%20image%2020241127110548.png)
+
+### 我管理的产品
+
+在通常情况下，具备此权限的用户能够通过 **我管理的产品** 查看到此用户作为拥有者管理的所有容器，并且只要具备此容器的相应权限，就能进行相应操作
+
+![](assets/Pasted%20image%2020241127111740.png)
+
+若没有给予此用户 [全部产品](#全部产品) 权限，又不作为拥有者管理任意容器，则等同于不具备 **我管理的产品** 权限
+
+![](assets/Pasted%20image%2020241127091522.png)
+
+### 删除产品容器
+
+具备此权限的用户仅能删除 [我管理的产品](#我管理的产品)
+
+![](assets/Pasted%20image%2020241127135047.png)
+
+### 废弃产品管理
+
+具备此权限的用户能够在 **产品资料库** 中查看到 **废弃产品管理**
+
+![](assets/Pasted%20image%2020241127140014.png)
+
+### 全部公共资料库
+
+ 在 **功能授权** 的 **应用级** 中对用户授予 **全部公共资料库** 权限，得到此权限的用户能够查看到公共资料库的全部容器
+
+![](assets/Pasted%20image%2020241127142353.png)
+
+但是仅限于查看（只能看到产品资料库的容器），不能进行任何操作（图片仅供参考，实际效果一致）
+
+![image-20241127110007037](assets/image-20241127110007037.png)
+
+### 新建公共资料库容器
+
+此权限生效的前提是该用户必须具备 [全部公共资料库](#全部公共资料库) 权限，否则的话和没有权限是一样的
+
+![](assets/Pasted%20image%2020241127091522.png)
+
+此权限生效后，用户能够在 [全部公共资料库](#全部公共资料库) 或 [我管理的公共资料库](#我管理的公共资料库) 界面，通过 **新建容器** 按钮来创建新的容器（图片仅供参考，实际效果一致）
+
+![](assets/Pasted%20image%2020241127110548.png)
+
+### 我管理的公共资料库
+
+在通常情况下，具备此权限的用户能够通过 **我管理的公共资料库** 查看到此用户作为拥有者管理的所有容器，并且只要具备此容器的相应权限，就能进行相应操作（图片仅供参考，实际效果一致）
+
+![](assets/Pasted%20image%2020241127111740.png)
+
+若没有给予此用户 [全部公共资料库](#全部公共资料库)权限，又不作为拥有者管理任意容器，则等同于不具备 **我管理的公共资料库** 权限（图片仅供参考，实际效果一致）
+
+![](assets/Pasted%20image%2020241127091522.png)
+
+### 删除公共资料库容器
+
+具备此权限的用户仅能删除 [我管理的公共资料库](#我管理的公共资料库)（图片仅供参考，实际效果一致）
+
+![](assets/Pasted%20image%2020241127135047.png)
+
+### 废弃公共资料库管理
+
+具备此权限的用户能够在 **公共资料库** 中查看到 **废弃公共资料库管理**（图片仅供参考，实际效果一致）
+
+![](assets/Pasted%20image%2020241127140014.png)
+
+### 全部项目
+
+ 在 **功能授权** 的 **应用级** 中对用户授予 **全部项目** 权限，得到此权限的用户能够查看到 **项目** 的全部容器（图片仅供参考，实际效果一致）
+
+![image-20241127105914762](assets/image-20241127105914762.png)
+
+但是仅限于查看（只能看到项目资料库的容器），不能进行任何操作（图片仅供参考，实际效果一致）
+
+![image-20241127110007037](assets/image-20241127110007037.png)
+
+### 新建项目容器
+
+此权限生效的前提是该用户必须具备 [全部项目](#全部项目) 权限，否则的话和没有权限是一样的（图片仅供参考，实际效果一致）
+
+![](assets/Pasted%20image%2020241127091522.png)
+
+此权限生效后，用户能够在 [全部项目](#全部项目) 或 [我管理的项目](#我管理的项目) 界面，通过 **新建容器** 按钮来创建新的容器（图片仅供参考，实际效果一致）
+
+![](assets/Pasted%20image%2020241127110548.png)
+
+### 我管理的项目
+
+在通常情况下，具备此权限的用户能够通过 **我管理的项目** 查看到此用户作为拥有者管理的所有容器，并且只要具备此容器的相应权限，就能进行相应操作（图片仅供参考，实际效果一致）
+
+![](assets/Pasted%20image%2020241127111740.png)
+
+若没有给予此用户 [全部项目](#全部项目) 权限，又不作为拥有者管理任意容器，则等同于不具备 **我管理的项目** 权限（图片仅供参考，实际效果一致）
+
+![](assets/Pasted%20image%2020241127091522.png)
+
+### 删除项目容器
+
+具备此权限的用户仅能删除 [我管理的项目](#我管理的项目)
+
+![](assets/Pasted%20image%2020241127135047.png)
+
+### 废弃项目管理
+
+具备此权限的用户能够在 **项目** 中查看到 **废弃项目管理**
+
+![](assets/Pasted%20image%2020241127140014.png)
+
+## 应用级功能前置要求
+
+[应用级授权](#应用级授权) 仅是给予用户相应的权限，若用户具备权限，但却在系统中无法访问到此功能界面，这是因为系统中没有开启此功能
+
+需要在 **安全管理** → [菜单定义](../系统定制/菜单定义.md) → [导航条功能配置](../系统定制/菜单定义.md#导航条功能配置) 中在相应的功能模块下通过 [添加菜单项](../系统定制/菜单定义.md#添加菜单项) 把功能添加进去，这样就能在 [导航条](../系统定制/菜单定义.md#导航条) 中看到对应的功能
+
+![](assets/Pasted%20image%2020241127141240.png)
+
+# 容器授权
+
+**容器授权** 是对 **产品资料库**、**公共资料库** 以及 **项目资料库** 中的 **容器** 进行授权，此处的 **“容器”** 是当前 **容器** 的根节点，可以理解为这就是当前容器，赋予的权限只限于当前容器有效，换一个容器就无效了
+
+如图所示，这里的 **容器** 指的就是 **测试产品库** 这个容器
+
+![image-20241127170541465](assets/image-20241127170541465.png)
+
+## 打开
+
+没有 **打开** 权限，即便用户能够通过 [全部产品](#全部产品) \ [全部项目](#全部项目) \ [全部公共资料库](#全部公共资料库) \ [我管理的产品](#我管理的产品) \ [我管理的项目](#我管理的项目) \ [我管理的公共资料库](#我管理的公共资料库) 浏览到这个容器，也无法将其打开，会提示：您没有”读取容器“的权限
+
+![您没有”读取容器“的权限](assets/image-20241127110007037.png)
+
+赋予 **打开** 权限后，用户能够点击 **容器** 将其打开，至于是否能够读取到容器中的对象列表，则受到 [查看对象列表](#查看对象列表) 权限
+
+![没有查看对象列表权限或权限缓存未刷新！](assets/image-20241128093811767.png)
+
+## 修改属性
+
+赋予 **修改属性** 权限后，用户选中容器后，可以修改其容器属性，包括名称、备注、拥有者等
+
+![image-20241128093543122](assets/image-20241128093543122.png)
+
+## 废弃
+
+赋予 **废弃** 权限后，用户能够选择该容器，进行废弃，被废弃的容器将会存入对应的废弃区，如产品会被废弃到 [废弃产品管理](#废弃产品管理)
+
+![image-20241127171619465](assets/image-20241127171619465.png)
+
+## 恢复
+
+赋予 **恢复** 权限后，用户能够将容器从 **废弃区** 中恢复出来
+
+注意：容器从 **废弃区** 恢复后，其拥有者会变更成 **恢复** 此容器的用户
+
+![image-20241127171900942](assets/image-20241127171900942.png)
+
+# 目录授权
+
+**目录授权** 是在 **产品资料库**、**公共资料库** 以及 **项目资料库** 中选择 **指定容器** 后，授权时，选择 **“容器”** 下 [目录](#目录) 进行授权，赋予的权限只限于当前目录及其子目录有效，换一个目录就无效了
+
+注意：在 功能授权 中，可以理解为每个容器都有一个与之同名的目录，选择 [容器](#容器) 可以进行 [容器授权](#容器授权)，而选择 [目录](#目录)，就只能进行 [目录授权](#目录授权)
+
+![image-20241128135218940](assets/image-20241128135218940.png)
+
+## 查看对象列表
+
+赋予 **查看对象列表** 权限后，用户 [打开](#打开) 容器，能够看到该容器中的各个对象
+
+![image-20241128094832525](assets/image-20241128094832525.png)
+
+若是 [打开](#打开) 容器，却没有此权限，则会提示：没有查看对象列表权限或权限缓存未刷新！
+
+![没有查看对象列表权限或权限缓存未刷新！](assets/image-20241128093811767.png)
+
+## 创建子目录
+
+赋予 **创建子目录** 权限后，用户在对应容器中可以通过 **新建子目录** 来创建出一个新的子目录
+
+注意：无论是否勾选 是否继承上级目录的配置，子目录都会继承父目录的权限（要稍等一会儿，同步静态缓存也无效）
+
+![image-20241128100849506](assets/image-20241128100849506.png)
+
+## 修改属性-目录
+
+指定容器授予 **修改属性** 权限和给 [“容器”授权](#容器授权) [修改属性](#修改属性) 权限是略有不同的，可以理解为这是对容器中的目录进行授权
+
+若继承上级目录的配置，则只能修改目录的 **备注** 与 **拥有者**。若不继承上级目录，则可调整当前目录中 **允许的对象类**
+
+![image-20241128110734182](assets/image-20241128110734182.png)
+
+## 删除
+
+赋予 **删除** 权限后，用户选择该目录后，只要该目录下没有子目录、对象，就可以将其删除，并且子目录也会继承到此权限，可以选择子目录然后删除
+
+![image-20241128112632446](assets/image-20241128112632446.png)
+
+## 删除子目录
+
+赋予 **删除子目录** 权限后，用户可以选择该目录的子目录进行删除
+
+![image-20241128122816883](assets/image-20241128122816883.png)

KMsoftPLM/系统介绍/安全管理/功能权限查询.md

@@ -0,0 +1,41 @@
+# 介绍
+
+**功能权限查询** 正对应 [功能授权](功能授权.md)，通过 [用户](#用户)、[权限类别](#权限类别)、[权限项](#权限项) 等维度进行授权情况查询
+
+# 操作
+
+## 用户
+
+点击 **添加** 后，勾选要查询权限的用户，点击 **确定** 即可
+
+![](assets/Pasted%20image%2020241223142235.png)
+
+若只勾选一个人，那么查询结果是所有包含这个人的权限设置记录
+
+![](assets/Pasted%20image%2020241223142518.png)
+
+若勾选多个人，那么查询结果是取单个人查询结果的并集，即第一个用户查询结果和第二个用户查询结果的并集……并非是只查同时给欧阳和彦页授权的记录，也并非查欧阳和彦页都具备相同权限的部分
+
+![](assets/Pasted%20image%2020241223142826.png)
+
+## 权限类别
+
+- **系统功能权限** 对应 [应用级](功能授权.md#应用级)
+- **容器功能权限** 对应 [容器](功能授权.md#容器)
+- **目录功能权限** 对应 [目录](功能授权.md#目录)
+
+不同的权限类别，影响到的是查询范围。例如：类别为 **系统功能权限**，那么只会查询到 [应用级](功能授权.md#应用级可授予权限列表) 授权情况
+
+若选择类别为 **容器功能权限**、**目录功能权限**，则需要选择要查询的容器，乃至于目录，通过框定范围来获取其授权情况
+
+![image-20241223143659076](assets/image-20241223143659076.png)
+
+## 权限项
+
+不同的 [权限类别](#权限类别) 可授予的 **权限项** 是不一样的，通过 **权限项** 可查询特定权限的授予情况
+
+例如：勾选 **全部公共资料库** 后，进行查询，得到结果是所有授予了 **全部公共资料库** 权限的记录
+
+![](assets/Pasted%20image%2020241223144123.png)
+
+注意：通过 **权限项** 缩小查询范围，查出来的结果，只记录有要查找的 **权限项**，即便此用户有其他权限，也无法通过 **查看授权条目** 查看到

KMsoftPLM/系统介绍/安全管理/安全选项.md

@@ -0,0 +1,106 @@
+# 介绍
+
+在“安全管理”模块中的“安全选项”页面能够对本系统中各项安全措施进行配置
+
+访问此页面需要超级管理员 [对系统三员进行相应的授权操作](三员授权.md#安全管理)，只有得到授权的系统三员才可在菜单栏中找到该功能
+
+此功能页面如下所示：
+
+![](assets/Pasted%20image%2020240419170331.png)
+
+# 可配置选项列表
+
+## 启用复杂密码
+
+启用该选项后，系统用户的密码必须由大写字母、小写字母、数字以及特殊字符中的三者以上组成，在系统中该选项默认是关闭的
+
+![image-20240423091732238](assets/image-20240423091732238.png)
+
+## 用户安全密级列表
+
+用户安全密级在通常情况下是“一般”，对应的密级号是“50”
+
+在此列表中，能够对系统内各类用户进行密级管理，管理范围包含：
+
+- 密码的最小长度
+- 最大长度
+- 密码更新周期
+- 密码到期前提示
+- 保留最近设置的密码个数
+- 空闲锁定时间
+- 超时退出时间
+- 允许验证失败次数
+
+![image-20240423091932952](assets/image-20240423091932952.png)
+
+其中“空闲锁定时间”必须要小于“超时退出时间”
+
+![image-20240423101045521](assets/image-20240423101045521.png)
+
+允许验证失败次数则对用户登录系统时，输入错误密码失败后可重复尝试的次数进行了约束
+
+## 数据密级列表
+
+数据密级列表与用户密级列表完全不同，该密级列表管理约束的对象是系统中的数据，系统会根据数据的密级以及用户的密级开放数据。
+
+![image-20240423095401723](assets/image-20240423095401723.png)
+
+## 设置默认密码
+
+设置默认密码在用户[账号启用](../../相关操作/账号启用.md)后，其账户的初始密码便是该密码
+
+![image-20240423101712585](assets/image-20240423101712585.png)
+
+## 系统登录
+
+### 同一用户是否允许多个IP登录
+
+同一用户账号，若要在多个IP地址登录，需要开启此设置，在默认情况下该设置开启
+
+![image-20240423102023689](assets/image-20240423102023689.png)
+
+## 日志管理
+
+### 日志最少保留期限
+
+设置日志的最少保留期限，期限内的日志不允许手动删除
+
+![image-20240423102121461](assets/image-20240423102121461.png)
+
+### 文件大小阈值配置
+
+超过该单位字节的文件将会被认定为大文件
+
+![image-20240423102546063](assets/image-20240423102546063.png)
+
+### 日志最大阈值
+
+设置日志的最大存储条数
+
+![image-20240423102619377](assets/image-20240423102619377.png)
+
+### 日志保存周期
+
+设置日志保存的周期，超过该阈值后会询问是否删除超期日志
+
+![image-20240423102638455](assets/image-20240423102638455.png)
+
+# 用户密级与数据密级关系
+
+用户安全密级在通常情况下是“一般”，对应的密级号是“50”，该密级用户能够访问密级为”公开“、”普通商秘“、”内部“、”核心商密“、”秘密“等级的数据
+
+## 访问
+
+访问逻辑为：==数据密级号 <= 用户密级号==
+
+![image-20240423100146414](assets/image-20240423100146414.png)
+
+![image-20240423100255639](assets/image-20240423100255639.png)
+
+## 修改
+
+用户修改数据的密级也是一样的逻辑，要求：==数据密级号 <= 用户密级号==
+
+低密级用户不能将数据修改为高密级，只能修改为与自己相同或更低的密级
+
+![image-20240423100425962](assets/image-20240423100425962.png)

KMsoftPLM/系统介绍/安全管理/对象分类授权.md

@@ -0,0 +1,130 @@
+# 介绍
+
+在 **安全管理** 模块中 **对象分类授权** 页面能够对 **应用级** 与 **目录** 进行对象类操作的相关授权
+
+![image-20240423170400013](assets/image-20240423170400013.png)
+
+访问此页面需要超级管理员 [对系统三员进行相应的授权操作](三员授权.md#安全管理)，只有得到授权的系统三员才能够在菜单中找到该页面
+
+授权分 **应用级授权** 与 **目录授权**，对 “产品资料库”、“公共资料库” 以及 “项目资料库” 无法进行相应的授权操作
+
+进行授权需要先选择 “上下文” 然后选择要授权的 “对象类”
+
+![image-20240423171334235](assets/image-20240423171334235.png)
+
+## 应用级、目录说明
+
+### 应用级
+
+**对象分类授权** 功能页面中的 **应用级** 和 [功能授权功能页面中的应用级](功能授权.md#应用级) 略有不同，此处的 **应用级** 是指 **安全管理** → **对象分类授权** 功能页面中的 “应用级”根节点，对应的也不是 [导航条](../系统定制/菜单定义.md#导航条) 上的功能，而是 “产品资料库”、“公共资料库” 以及 “项目资料库” 中的所有容器
+
+![](assets/Pasted%20image%2020241129162142.png)
+
+### 目录
+
+目录指 对象分类授权 界面中，除 [应用级](#应用级) 外，其他可授权的节点
+
+注意：对象分类授权 和 [功能授权](功能授权.md) 不一样，[功能授权有容器的概念](功能授权.md#容器)，但是对象分类授权里没有容器的概念，除了 [应用级](#应用级) 外就只有 **目录**，选择哪个目录进行授权，就在哪个目录下具备相应的权限
+
+![](assets/Pasted%20image%2020241129163358.png)
+
+除此之外，在授权时，也可以通过 **上下文** 选择当前目录下的子目录进行授权
+
+![](assets/Pasted%20image%2020241129163656.png)
+
+## 授权对象
+
+无论是 “应用级” 授权还是 “容器” 授权，可授权的对象范围大致都是一样的
+
+- [用户](../系统管理/组织管理.md#用户管理)
+- [用户组](../系统管理/用户组定义.md)
+- [岗位](../系统管理/组织管理.md#职务（岗位）)
+- [岗位组](../系统管理/职务与职务簇定义.md)
+- [部门](../系统管理/组织管理.md)
+- [角色](../系统管理/角色定义.md)：只有 目录授权 时可以选择角色
+- 全部用户
+- 拥有者
+
+在其中不包含 [系统三员](../用户/系统三员.md)
+
+### 情况说明
+
+#### [停用账号](用户安全设置.md#停用账号)无法授权
+
+在账户被停用的情况下，尽管在功能授权页面还能够查询到该账户的授权信息，但实际上这个账户是无法进行再次授权的
+
+![image-20240425171058503](assets/image-20240425171058503.png)
+
+![image-20240425171133369](assets/image-20240425171133369.png)
+
+#### [锁定账号](用户安全设置.md#锁定账号)可继续授权
+
+与停用账号不同，一个账号就算被锁定了，也还是可以继续授权的
+
+![image-20240425171304658](assets/image-20240425171304658.png)
+
+![image-20240425171320748](assets/image-20240425171320748.png)
+
+## 临时授权
+
+临时功能授权，可通过对功能的生效日期与失效日期的设置来实现
+
+![image-20240423170833651](assets/image-20240423170833651.png)
+
+# 可授予权限列表
+
+无论是 [应用级](#应用级) 还是 [目录](#目录)，可给 [授权对象](#授权对象) 授予的权限范围都是一样的
+
+| 权限         | 说明                         |
+| ---------- | -------------------------- |
+| 从目录移出/移入   | 拥有移出、移入对象的权限               |
+| [创建](#创建)  | 拥有对象类的对象创建权限               |
+| 条件定义全局设置   | 拥有指定对象类的查询条件定义权限           |
+| 全部         | 拥有对象的全部操作权限                |
+| [读取](#读取)  | 拥有浏览对象的权限                  |
+| 下载         | 拥有下载文件的权限                  |
+| 修改属性、内容和附件 | 拥有修改对象的权限                  |
+| 修改被描述关系    | 拥有更换描述关系对象的权限              |
+| 修改包含关系     | 拥有更换包含关系对象的权限              |
+| 修改关联关系     | 拥有更换关联关系对象的权限              |
+| 修改主对象属性    | 拥有修改主对象属性的权限               |
+| 修改生命周期状态   | 拥有修改生命周期状态的权限              |
+| 修改拥有者      | 拥有更换对象拥有者的权限               |
+| 修改密级       | 拥有修改对象密级的权限                |
+| 修订         | 拥有创建对象修订版的权限               |
+| 另存         | 拥有另存对象的权限                  |
+| 冻结         | 拥有冻结对象的权限                  |
+| 删除         | 拥有指定对象类的对象删除权限             |
+| 授权         | 拥有给其他用户授自己用户的对象操作权限        |
+| 维护有效性      | 拥有修改对象有效性的权限               |
+| 解冻         | 拥有解冻对象的权限                  |
+| 修改聚合关系     | 拥有更换聚合关系对象的权限              |
+| 修改依赖关系     | 拥有更换依赖关系对象的权限              |
+| 修改参考关系     | 拥有更换参考关系对象的权限              |
+| 还原到旧小版本    | 拥有对象还原到旧小版本的权限             |
+| 手动公式计算     | 显示无结果绑定的所有公式，手动选择公式进行计算的权限 |
+| 批量公式计算     | 拥有对当前编辑布局所有结果绑定的公式进行计算的权限  |
+| 公式计算       | 拥有对单值属性、表格属性、关联列表进行公式计算的权限 |
+| 任务分派       | 拥有执行任务分派功能的权限              |
+
+# 权限详解
+
+## 创建
+
+赋予 **创建** 权限后，用户能够在目录中 **创建** 出对应的对象
+
+![](assets/Pasted%20image%2020241129170829.png)
+
+如上所示，在赋予了 **工艺过程/指令清单** 对象类的创建权限后，用户就可以在对应的目录下创建出该对象了
+
+![](assets/Pasted%20image%2020241129171736.png)
+
+## 读取
+
+赋予 **读取** 权限后，用户能够在目录中 **读取** 对应的对象
+
+![](assets/Pasted%20image%2020241129172109.png)
+
+若是没有权限，点击对象会收到提示：无”读取“的权限
+
+![无”读取“的权限](assets/Pasted%20image%2020241129172129.png)

KMsoftPLM/系统介绍/安全管理/对象权限查询.md

@@ -0,0 +1,25 @@
+# 介绍
+
+**对象权限查询** 和 [功能权限查询](功能权限查询.md) 相似，正对应 [对象分类授权](对象分类授权.md)，通过 [用户](#用户)、对象、[权限项](#权限项) 等维度进行授权情况查询
+
+# 操作
+
+## 用户
+
+点击 **添加** 后，勾选要查询权限的用户，点击 **确定** 即可
+
+![](assets/Pasted%20image%2020241223145422.png)
+
+若只勾选一个人，那么查询结果是所有包含这个人的权限设置记录（每一个权限都是一条记录，如果对象类授权里给予全部用户权限，那么这里会查询出两条记录）
+
+![](assets/Pasted%20image%2020241223145342.png)
+
+## 对象
+
+## 权限项
+
+通过 **权限项** 可查询特定权限的授予情况
+
+例如：勾选 **全部** 后，进行查询，得到结果是所有授予了 **全部** 权限的记录
+
+![](assets/Pasted%20image%2020241223150314.png)

KMsoftPLM/系统介绍/安全管理/用户安全设置.md

@@ -0,0 +1,74 @@
+# 介绍
+
+此功能归 [系统三员](../用户/系统三员.md) 所管，是无需超级管理员授权的，默认即可访问的页面，能够对系统中的普通用户进行操作
+
+![image-20240419163914995](assets/image-20240419163914995.png)
+
+对用户进行操作，需要先勾选操作对象，也就是勾选用户，然后进行操作
+
+从左往右操作按钮分别是：
+
+- [修改密级](#修改密级)
+- [锁定账号](#锁定账号)
+- [解锁账号](#解锁账号)
+- [启用账号](#启用账号)
+- [停用账号](#停用账号)
+- [重置密码](#重置密码)
+- [设置用户可登录IP](#设置用户可登录IP)
+- [显示全部](#显示全部)
+
+## 修改密级
+
+新注册的用户其密级在默认情况下为“一般”，这是系统初始环境下默认存在的密级配置，点击“修改密级”按钮能够对用户的密级进行修改
+
+![image-20240423103141174](assets/image-20240423103141174.png)
+
+想要对密级进行更详细的相关配置，需要访问 [安全选项页面，查询用户安全密级列表](安全选项.md#用户安全密级列表)
+
+## 锁定账号
+
+锁定账户能够该用户的账户锁定，尽管是启用状态，但是无法进行登录。在此状态下 [不影响对该账户进行“功能授权”](功能授权.md#锁定账号可继续授权)
+
+![image-20240423111244427](assets/image-20240423111244427.png)
+
+点击登录会产生提示
+
+![image-20240423111326191](assets/image-20240423111326191.png)
+
+对账户的解锁需要参考 [账号启用](../../相关操作/账号启用.md#启用账户方式一)
+
+## 解锁账号
+
+点击解锁账户能够解除对账户的锁定，参考 [账号启用](../../相关操作/账号启用.md#启用账户方式一)
+
+## 启用账号
+
+用户新建账号需要经过“启用用户”后才能进行登录，否则的话只有该账户但是无法登录
+
+停用的用户账号也由此按钮开启启用，参考 [账号启用](../../相关操作/账号启用.md#启用账户方式一)
+
+## 停用账号
+
+与锁定用户相似的功能，停用后用户无法登录。在该状态下 [无法对该账户进行“功能授权”](功能授权.md#停用账号无法授权)
+
+## 重置密码
+
+对用户重置密码后，密码会更新成系统内配置出的默认密码
+
+对默认密码的相关配置需要参考 [安全选项](安全选项.md#设置默认密码)
+
+## 设置用户可登录IP
+
+在不设置的情况下，用户可在任意IP地址进行登录
+
+若对其进行设置，则该用户账户仅可在指定IP地址下进行登录
+
+![image-20240423113443254](assets/image-20240423113443254.png)
+
+用户尝试在非指定IP地址下进行登录会失败，并得到系统提示
+
+![image-20240423113630429](assets/image-20240423113630429.png)
+
+## 显示全部
+
+显示全部用户（尚未测试）

KMsoftPLM/系统介绍/安全管理/管理员安全设置.md

@@ -0,0 +1,19 @@
+# 介绍
+
+在 **安全管理** 模块中的 **管理员安全设置** 页面对系统管理员进行设置
+
+访问此页面需要超级管理员进行相应的 [三员授权](三员授权.md#安全管理) 操作，只有得到授权的系统管理员才能在菜单栏中找到该页面
+
+需要特别说明的是，在“三员授权”页面，针对系统三员的安全设置授权被拆分出来了，如图所示
+
+![image-20240423115127536](assets/image-20240423115127536.png)
+
+以系统管理员要获得“管理员安全设置”权限为例，勾选“安全审计员安全设置”后，系统管理员才可在“安全管理“中找到”管理员安全页面“，且在此页面仅可对安全审计员进行安全设置，如图所示：
+
+![image-20240423141446048](assets/image-20240423141446048.png)
+
+只有三个选项全部勾上，在“管理员安全设置”中才能对系统三员进行管理
+
+![image-20240423113842372](assets/image-20240423113842372.png)
+
+而在管理员安全管理页面可对系统三员账户进行管理控制，包括：[账户解锁](../../相关操作/账号启用.md#管理员账户解锁)、[重置密码](安全选项.md#设置默认密码)、[设置用户可登录IP](用户安全设置.md#设置用户可登录IP)

KMsoftPLM/系统介绍/安全管理/维护员授权.md

@@ -0,0 +1,89 @@
+# 维护员授权
+
+**安全模块** 中 **维护员授权** 功能为超级管理员独有
+
+超级管理员通过此功能对系统维护员进行权限分配
+
+与 [三员授权](三员授权.md) 不同，“维护员授权”页面看不到应用级之下的项目资料库、产品资料库、公共资料库等，直接在应用级对维护员进行授权
+
+[维护员](../用户/维护员.md) 只有得到授权才能访问相应的页面，进行操作（可以理解为这是对维护员可访问菜单的控制）
+
+授予权限才能访问对应的页面，例如 **数据建模** 权限
+
+未被授予数据建模权限的维护员访问数据建模板块，会提示“当前用户无登录权限”
+
+![image-20240418153127932](assets/image-20240418153127932.png)
+
+而得到授权的维护员进行登录能够成功访问数据建模板块
+
+![image-20240418153203742](assets/image-20240418153203742.png)
+
+*以“流程图绘制”权限为例*
+
+未授予流程图绘制权限的维护员没有“工作流建模”模块，更没有“流程图绘制”页面
+
+![image-20240418153834304](assets/image-20240418153834304.png)
+
+而得到授权的维护员，能够在菜单栏中看到“工作流建模”模块，“流程图绘制”页面
+
+![image-20240418155009112](assets/image-20240418155009112.png)
+
+# 不同模块可授予权限说明
+
+## 元数据定义
+
+1. 数据建模
+
+## 工作流建模
+
+1. 流程图绘制
+
+## 系统定制
+
+1. 系统配置
+2. 二次开发脚本管理
+3. 系统功能扩展
+4. 对象类功能扩展
+5. 菜单定义
+6. 权限项定义
+7. 流程角色定义
+7. 工作流模板定义
+8. 团队模板定义
+9. 任务模板管理
+10. 目录模板
+11. 环境变量定义
+12. 查看任务计划
+13. 公式管理
+13. 任务公共规则目录管理
+13. 工作公共规则目录管理
+14. 设置功能编码
+15. 公式绑定
+16. 公式
+
+## 系统管理
+
+1. 系统监控
+2. 组织管理（菜单）
+3. 公告管理
+4. 流程监控
+
+## 安全管理
+
+1. 菜单定义功能授权
+
+## 容器管理
+
+1. 新建产品容器
+2. 新建公共资料库容器
+3. 新建项目容器
+4. 删除产品容器
+5. 删除公共资料库容器
+6. 删除项目容器
+7. 废弃产品管理
+8. 废弃项目管理
+9. 废弃公共资料库管理
+
+## 日志管理
+
+1. 事件日志
+2. 任务计划日志

KMsoftPLM/系统介绍/安全管理/菜单定义功能授权.md

@@ -0,0 +1,21 @@
+# 介绍
+
+**菜单定义功能授权** 不是对某项功能要做的实际操作进行定义，而是 **==设置功能A的权限与选定的功能B的授权分配保持一致，即具备功能A的访问权限无法访问功能A，具备功能B的访问权限，才能访问功能A，同时可以访问功能B==**
+
+注意：**==此功能使用后会影响到整个系统所有用户，故而该功能应谨慎开放，不建议随意更改==**
+
+案例：
+
+> 设置 **公共资料库** 的功能权限为 **全部项目**
+>
+> ![image-20241127162123536](assets/image-20241127162123536.png)
+>
+> ![image-20241127162205915](assets/image-20241127162205915.png)
+>
+> 这种情况下，即便具备 **全部公共资料库** 的权限，也无法访问 **全部公共资料库**
+>
+> ![image-20241127160331099](assets/image-20241127160331099.png)
+>
+> 具备 **全部项目** 的权限，不仅可以访问 **全部项目**，还可以访问 **全部公共资料库**
+>
+> ![image-20241127160656447](assets/image-20241127160656447.png)