支持此功能的版本:商务 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;“Enterprise Essentials”和“Enterprise Essentials Plus”(此功能可用于云端硬盘、文档和 Chat);商务标准版;公益版;G Suite 商务版(此功能仅可用于云端硬盘和文档)。 比较您的版本
这些最佳做法将提供提示、建议和示例,以补充说明部署目标对象群组时应遵循的 3 个主要步骤。
要了解目标对象群组,请参阅目标对象群组简介。
创建目标对象群组时
- 用简洁的名称描述目标对象群组的成员 - 该名称还可用于识别目标对象群组所应用的组织部门或配置群组。例如,如果您打算为东海岸的销售团队创建目标对象群组,而该销售团队位于名为“销售 - 东海岸”的组织部门,那么您可以用该名称命名目标对象群组。
- 说明目标对象群组的用途 - 该说明内容可帮助用户选择合适的共享级别。共享文件或链接时,用户将光标指向对象群组名称时会看到相应说明。
详细了解如何创建目标对象群组。
添加成员和管理群组的最佳做法
将群组(而不是单个用户)添加为成员
虽然目标对象群组可帮助用户与特定人员进行共享,但其设立目的仍是鼓励在组织中进行广泛的共享和协作。我们建议您将群组(例如部门或大型团队)添加为成员,而不是添加个人用户。您可以将任何类型的群组添加为目标对象群组成员,包括使用管理控制台、API 或其他工具创建的群组,用户创建的群组或在组织外部创建的群组。
考虑非管理员群组对安全和隐私有何影响
如果您将非管理员群组添加为目标对象群组的成员,则可以随时更改用户创建的群组或外部群组的成员资格。举例来说,如果您允许用户将外部成员添加到自己的群组,那么组织外部人员就可能获得与目标对象群组共享的文件的访问权限。在添加非管理员群组之前,您需要考虑这是否会影响贵组织数据的安全或隐私。
详细了解如何添加或移除目标对象群组成员。
自动更新群组成员资格
如果您的 Google Workspace 版本包含动态群组,您可以使用它们来自动管理用户。举例来说,您可以在用户加入组织、在组织中移动或离开组织时自动更新群组成员资格。动态群组可通过管理控制台或 Cloud Identity API 创建和管理,可助您减少手动管理群组成员资格所耗费的时间。详细了解动态群组。
确保群组安全
您可以将标准内部群组转换为安全群组,从而轻松管理、审核和监控群组权限以及控制群组的访问权限。安全群组可由 Cloud Identity Groups API 创建和管理。详细了解安全群组。
轻松管理和同步群组
您可以使用 Admin SDK Groups API 创建群组,或管理通过其他工具创建的群组。您也可以使用 Google Cloud Directory Sync (GCDS) 将您在 Microsoft Active Directory 或 LDAP 服务器中创建的群组与 Google Workspace 同步。然后,在目标对象群组中按“原样”使用这些同步的群组。详细了解 Admin SDK Groups API 和 GCDS。
应用目标对象群组的最佳做法
您最多可向一条云端硬盘和文档政策应用 5 个目标对象群组。将您希望用户最常用的目标对象群组设置为“主要目标对象群组”,即当用户打开其链接共享选项时默认显示的链接共享选项。
默认情况下,主要目标对象群组为预定义目标对象群组(包含您组织中的所有用户)。要将您创建的某个目标对象群组设为默认用户选项,请将其拖到目标对象群组列表的最上方:
有关详情,请参阅为 Google 服务设置目标对象群组。
常见部署示例
如果贵组织既有员工又有供应商,您可以使用目标对象群组,方便员工限制与供应商进行链接共享:
- 创建 2 个目标对象群组,例如“仅员工”和“员工和供应商”。请确保为每个群组添加足够清晰的说明。
- 将所有正式员工添加到“仅员工”目标对象群组。您可以创建一个动态群组(如果您的 Google Workspace 版本包含此功能),也可以使用包含所有员工的现有群组。
- 将组织中的所有用户添加到“员工和供应商”目标对象群组。您可以创建一个包含组织中所有成员的群组,并将其添加到目标对象群组。有关详情,请参阅将所有用户添加到群组。
- 为目标对象群组创建 Google 云端硬盘和文档共享政策。您可以将该政策应用到所有用户、特定的组织部门或配置群组。请确保将“仅员工”目标对象群组拖至最上方,以将其设置为默认目标对象群组。
员工现在可以轻松避免与供应商共享内容。如有需要,用户仍可以与特定供应商用户共享内容。
如果贵组织有多个子公司,每个子公司都有自己的 Google Workspace 帐号,您可以使用目标对象群组来推荐用户在子公司之间共享文件。例如,您可能想让人力资源部门与所有子公司组织共享文档。具体方法如下:
为防止意外共享信息,您可以创建链接共享选项,让用户在由窄到宽的链接共享范围中选择。
例如,假设您的公司有多个业务部门。每个业务部门负责不同的产品,而每个产品又由多个团队负责。每位团队成员之间密切协作,同时还会在某些产品上与其他团队有一定的协作。有的时候,某个团队需要与所有其他业务部门或团队进行协作,比如在执行审核和年度规划时。最后,在极少数的情况下,某位团队成员会需要与整个公司共享信息。
以下是为防止用户过度共享信息,您可以为单个团队设置的目标对象群组(按照云端硬盘政策中的优先级顺序):
- 团队 ABC(主要)
包括团队中的所有用户
- 产品领域
在该产品领域下的所有团队中的用户(包括来自团队 ABC 的用户)
- 业务领域
在该业务领域下的所有产品领域中的用户
- 整个公司
公司内的所有用户
如果贵组织的 Google Workspace 帐号包含多个辅助域名,您可以使用目标对象群组向主域名中的用户推荐与其他域名中的用户进行共享的范围。
例如,假设主域名中包含所有的公司员工帐号,辅助域名中包含所有的合作伙伴和供应商帐号。如果员工与预定义的默认目标对象群组(包含所有域名内的所有用户)进行共享,则他们可能会过度共享文件。您可以使用目标对象群组,帮助限制用户与辅助域名之间进行共享。具体方法如下:
- 创建目标对象群组,将其命名为“仅员工”。请确保添加足够清晰的说明。
- 将主域名中的所有员工添加为“仅员工”目标对象群组的成员。您可以创建动态群组(如果您的 Google Workspace 版本包含该功能),也可以使用现有工具创建包含所有正式员工的群组。
- 为目标对象群组创建云端硬盘和文档共享政策。将该政策应用到主域名中的所有员工。请确保将“仅员工”目标对象群组拖至最上方,以将其设置为默认目标对象群组。设置此目标对象群组会将预定义的默认目标对象群组移动至员工共享选项中的次要位置。
员工现在可以避免与供应商共享内容。如有需要,用户仍然可以与所有网域中的所有用户共享内容。合作伙伴和供应商用户可以继续与整个公司进行广泛的共享。
- 主要部门
- 产品线
- 办公地点
- 子公司组织
- 业务目的,例如仅限内部访问和外部邀请对象(合作伙伴、供应商等)可访问
- 监管级别,如管理员和非管理员
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。