OPEN3000工程化手册权限及责任区.docx
- 文档编号:1906426
- 上传时间:2022-10-25
- 格式:DOCX
- 页数:39
- 大小:6.26MB
OPEN3000工程化手册权限及责任区.docx
《OPEN3000工程化手册权限及责任区.docx》由会员分享,可在线阅读,更多相关《OPEN3000工程化手册权限及责任区.docx(39页珍藏版)》请在冰豆网上搜索。
OPEN3000工程化手册权限及责任区工程化手册权限及责任区OPEN3000工程化手册_权限及责任区OPEN3000系统工程化手册之六权限及责任区2006年5月第八章第八章权限治理权限治理(priv_manager)8.1概述概述为了保证系统的安全性,不同的用户给予不同的权限,只有被授权的用户才能作相应的操作。
而用户权限定义与治理界面priv_manager确实是定义不同用户权限的工具。
系统的权限定义采纳层次治理的方式。
相关的主体有五种:
功能、角色、专门属性、用户和组。
下面分别介绍这五个概念。
8.1.1功能功能功能是最小的不可再分的权限单位。
功能的定义原那么是尽量简单化和单一化。
一个功能只实现一种目的,两个不同的功能之间不能有权限重合的部分。
权限治理中的功能是系统里设置了操纵权限的功能。
例如,查看前置报文,在权限治理中就没有该功能,因此,查看前置报文就没有权限操纵,任何人都能够看前置报文。
而权限治理中有遥控那个功能,因此,遥控功能是受权限操纵的,只有具有遥控权限的用户才能进行遥控操作。
用户不能添加权限定义里的功能。
8.1.2专门属性专门属性与功能一样,专门属性也是最小的不可再分的权限单位。
但专门属性一定是作用在某一个具体的对象包括数据表域,报表和图形之上,用于对该具体对象权限的补充定义。
一样来说当定义了模型定义写权限的用户能够对所有的表写操作,因此也能够对某些表的某些域或所有域全表定义禁止查询/只查询/修改/删除记录/增删改等等专门属性权限。
实际应用是,一样的远动爱护人员能够对设备表,参数表等等进行读写操作,然而像PUBLIC/系统类/表信息表,域信息表,菜单表等等数据字典类的表专门关键,假如被误修改可能导致整个系统无法运行,像这些关键的表只能承诺系统治理员修改,而一般具有模型定义写权限的角色那么不能对这些专门的表修改。
能够设计如下,定义角色系统爱护和角色系统治理都具有模型定义写功能,在角色系统爱护里定义数据表域专门属性,对表表信息表,域信息表菜单表等等定义只查询,如此仅拥有系统爱护角色的用户只能对上述定义了专门属性的表表信息表,域信息表。
菜单表查询,而不能写,而拥有系统治理角色的用户那么能够对所有的表进行写操作,如此就增加了系统的安全性。
同样,能够对某个角色用户定义某张具体的图形的禁止读取/只读/可编辑专门属性,对某张具体的报表定义读取/只读/可编辑的专门属性。
8.1.3角色角色角色由一个或多个功能以及一个或多个专门属性组成。
角色定义的原那么是:
组成角色的功能之间应该具有横向或纵向的协作关系,完全没有关系的功能不应放入同一个角色之中,具有相反权限的功能也不应放入同一个角色之中,角色的定义应该尽量最小化,假如一个角色中有两类功能组合,最好定义成两个角色。
例如,能够定义系统运行角色,系统爱护角色和数据库治理员角色,系统运行角色包括画面挂牌,画面遥测封锁,遥控等等运行类功能,系统爱护角色包括告警方式定义、曲线定义、采样定义、画面文件写、报表文件写、公式修改,模型定义写等等爱护的功能,数据治理员角色包括商用库复原、商用户备份等等数据库爱护方面的功能。
8.1.4用户用户用户是权限系统中最重要的主体,是用户权限设置的最终表达,一个用户能够定义包含几种角色,那么用户就能够拥有角色的全部权限。
还能够单独对用户进行功能定义,比如单独增加角色中没有的功能,或者单独减去角色中的功能。
还能够对用户进行专门属性的设置。
例如,定义了角色系统爱护包括功能公式修改,模型定义写,角色系统爱护,还包括对表表信息表只读的专门属性,角色数据治理员包括功能商用库复原、商用库备份,定义用户whz,包含角色系统爱护,数据治理员,然而对功能商用库复原定义了单独减去,对表菜单表定义了只读的专门属性,那么用户whz拥有的全部权限是从角色系统爱护继承的公式修改,模型定义写和对表信息表只读,还有从角色数据治理员继承的商用户备份,还有自己单独定义的对表菜单表只读,即功能列表如下公式修改,模型定义写、商用户备份和对表表信息表、菜单表只读。
系统中分为三种级别的用户:
超级用户、组长、一般用户,不同级别的用户的权限不同。
超级用户的权限最大,能够创建、删除用户,创建、删除角色、创建、删除组,以及定义,修改用户权限、角色权限,还能够定义组里的用户,但不能修改一般用户的密码,只能在创建时生成初始密码;组长级别的用户能够修改组员的权限,但不能够修改组员的密码,也不能创建、删除用户;而一般用户除了能扫瞄本组成员的信息之外只能修改自己的密码。
一样情形下超级用户不在界面上显示,只有用专门参数登录时才显示。
但也只能修改超户的密码,不能修改其它属性。
8.1.5组组组的引入是为了对用户进行分类,组本身不是权限的载体。
组和用户的关系,类似于文件夹和文件的关系。
一个用户能够不属于任何组,或者只能属于一个组,但不能同时属于多个组。
8.2权限治理界面权限治理界面priv_manager8.2.1启动和退出启动和退出权限定义与爱护治理界面的启动方法有两种:
方法一:
在总控台选择用户权限定义与爱护治理图标按钮;方法二:
在命令窗口下执行priv_manager命令。
不管执行上面两种方法的哪一种,都要先登录,由于不同级别的用户权限不同,因此启动用户权限定义与爱护治理界面也是不同的。
在登录对话框中输入用户名称、密码,以超级用户身份启动用户权限定义与治理界面,如图6-1a所示,能够看到定义的所有的组和用户。
图6-1(a)用户权限定义与爱护治理系统界面超级用户以一般用户属于自动化爱护组身份启动用户权限定义与治理界面后,只能看到自己所属的组,界面如图6-1b所示。
图6-1(b)用户权限定义与爱护治理系统界面一般用户用户权限定义与爱护治理系统界面分为两大部分,第一部分是左边树状列表区显示当前已有的各类权限实体,要紧有功能、角色、组以及专门属性,第二部分是图6-1的右边显示当前选中信息区域,比如在树状列表显示区选中功能选项,那么在右边就会列出所有的功能。
从图6-1ab能够看出一般用户与超级用户的区别,在左侧的树状列表中,图6-1b只显示了自动化爱护组以及组员的信息,这是因为登录时的一般用户ems属于自动化爱护组,而一般用户除了修改自身密码之外只能扫瞄本组成员的信息,因此其它组的信息确实是不可见的。
在图6-1中的最下方显示当前用户名以及用户级别超级用户依旧一般用户,重登录工具承诺用户重新以另外一种用户登录,退出工具退出权限定义与爱护治理系统应用程序。
用户权限定义与爱护治理系统的退出方法有两种:
方法一:
点击界面左边的-,选择其中的关闭选项;方法二:
在图6-1的右下角选择退出按钮。
8.2.2功能的定义与爱护功能的定义与爱护功能的定义和爱护承诺新建、修改和删除功能,用户一样只需查看功能,由工程人员新建、修改和删除。
新系统中最多承诺定义200个功能(编号从1到200),每个功能有一个唯独的编号、名称和定义。
在图6-1左侧树状列表中,当功能树节点获得焦点时选中功能选项,在右侧的列表视图中显示当前全部功能的详细信息。
其中被角色使用列表示是否差不多有角色使用了当前功能作为组成部分,表示该功能差不多有某个角色拥有了那个功能,被用户使用列表示是否差不多有用户使用了当前功能作为组成部分。
表示该功能差不多被某个用户单独定义了,功能即能够被角色使用,也能够被用户单独使用。
(缺图,标注被角色使用,被用户使用)在任何一个功能上单击鼠标右键,就会弹出如图6-2所示的下拉菜单,能够进行功能的添加、修改和删除以及观看被授予者。
实际上功能处在最底层,每个功能都对应一个宏,一样情形下,是不承诺用户修改与编辑的。
图6-2功能操作下拉菜单4观看被授予者在图6-2中选择观看被授予者,查看包含当前功能的全部角色和用户的名单。
如图6-7所示确实是执行观看被授予者功能之后的显示信息一个例子。
图6-7观看功能被授予者显示信息8.2.3角色的定义与爱护角色的定义与爱护1与角色权限有关的表角色的定义和爱护承诺用户新建、修改和删除角色。
新系统中最多承诺定义31个角色(编号从1到31),角色能够由1至200个功能组成。
每个角色有一个唯独的编号、名称。
2添加角色当角色树节点获得焦点时,在右侧的列表视图中显示当前全部角色的概要信息,包括角色是否差不多被用户包含的信息。
当某一个具体角色的树节点获得焦点在图6-1左侧选中角色时,在右侧显示该角色的全部详细信息,并能够对该角色的属性进行编辑。
在图6-1中,打开角色前面的+,就会显示所有的角色,在任何一个角色上单击鼠标右键,就会弹出如图6-8所示的下拉菜单:
图6-8角色操作对话框在图6-8中的下拉菜单中,选择添加新的角色选项,就会弹出如图6-9所示的对话框:
图6-9添加新的角色对话框系统自动从未分配的角色编号中选出最小的一个赋给新角色。
由角色的定义能够看出,角色包括1到多个功能和0到多个专门属性组成,因此添加新的角色包括两部分,添加功能和添加专门属性。
一个角色必须至少包含一个功能图6-9中右侧的中间部分为添加功能部分,从系统中已有的功能列表中选择功能通过添加按钮,添加到当前角色包含的功能列表。
也能够从当前角色包含的功能列表中选择功能通过移除按钮删除当前角色所包含的功能。
图6-9中右侧的下部为添加专门属性部分,专门属性分为对数据表域、图形、报表的操作。
而数据表的可用权限分为禁止查询、只查询、修改、增删记录、增删改五种,数据域的可用权限分为禁止查询、只查询、修改三种;图形的可用权限分为禁止读取、只读、可编辑三种;报表的可用权限分为禁止读取、只读、可编辑三种。
选择数据表或者域、图形、报表然后再选择相应的可用权限,通过添加按钮添加到当前角色具有的专门属性列表中;也能够在当前角色具有的专门属性列表中选择专门属性,通过移除按钮删除当前角色的专门属性。
点击应用按钮将依照输入的信息更新角色定义表,点击还原按钮将撤消所作的输入工作。
因为是新角色,因此在更新数据库时不需要去检查是否有用户包含了该角色。
3修改角色在图6-1中左侧的树状列表中选择一个角色,右侧显示当前角色的所有信息,包括角色编号、角色描述以及当前角色所包含的功能与专门属性。
用户不能修改角色编号,能够修改角色所包含的功能与专门属性。
对当前角色所包含的功能和专门属性的编辑添加或者移除与添加新的角色过程相同。
注:
假如当前修改的角色没有被任何用户所包含,那么只需要修改角色定义表即可。
假如有用户包含了该角色,还需要修改这些用户相应的权限,同时给出提示,告诉用户这次角色的修改导致了哪些用户权限的改变。
4删除角色在图6-8中的下拉菜单中,点选删除当前角色选项,将删除当前选中的角色。
注:
只有当前角色没有被任何用户所包含时,才能承诺删除当前角色。
假如没有用户包含该角色,提示对话框如图6-10a所示。
否那么给出用户包含当前角色的提示,如图6-10b所示。
假如确实要删除当前角色,需要先从这些用户中去掉该角色。
图6-10a确认删除角色对话框图6-10b角色无法删除提示信息5观看被授予者在图6-8中的下拉菜单中,点选观看被授予者选项,弹出如图6-11所示的信息,显示包含当前角色的所有用户。
图6-11观看角色被授予者显示信息8.2.4组的定义与爱护组的定义与爱护因为组本身不具有权限信息,因此组的定义和爱护比较简单。
承诺用户新建、修改和删除组。
当组树节点获得焦点在图6-1中左侧树状列表中选择组时,在右侧的列表视图中显示当前全部组的概要信息,包括组中是否包含用户的信息,如图6-13所示。
当某一个具体组的树节点获得焦点时,在右侧显示该组的全部详细信息如图6-14所示,并能够对该组的属性进行编辑。
图6-13全部组的信息图6-14具体某个组所包含的信息在图6-1的左侧,鼠标右键单击某个具体的组就会弹出如图6-15所示的下拉菜单:
图6-15组操作下拉菜单其中添加新的用户会在用户的定义与爱护具体
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- OPEN3000 工程 手册 权限 责任区