当您在 Google 管理控制台中为某位用户分配管理员角色后,会同时向该用户授予管理员权限和访问管理控制台的权限。
角色的权限决定了管理员可以在管理控制台中使用哪些控制功能,可以访问哪些信息以及能够执行哪些操作。管理员也可以通过 Admin API 执行相应操作。
管理员权限
*注意:对于有些权限(例如 Jamboard 管理),只有特定版本的 Google Workspace、设备或用户许可才提供。
| 管理设置权限 | 服务权限 | |
|---|---|---|
|
设置权限
如果向管理员授予管理控制台中的权限,该管理员会获得相应的 API 权限。例如,如果授予在管理控制台中创建用户的权限,相应管理员还会获得通过 API 创建用户的权限。同样,更新 Admin API 权限也会更新管理控制台中对应的权限。
要授予管理控制台中的权限,但禁止管理员通过 API 执行操作,请停用您帐号的 API 访问权限。有关详情,请参阅管理对 Google 服务的访问权限:“受限”或“不受限”。
如果拥有 Admin API 权限,即可使用 Google Workspace Admin API 对以下对象执行操作或执行以下方面的操作:
- 组织部门 - 管理员可以执行管理控制台中的“组织部门”权限授予的所有操作。
借助 API 权限,您可以使用 Directory API 执行这些操作。
- 用户 - 管理员可以执行管理控制台中的“用户”权限授予的所有操作。
借助 API 权限,您可以使用 Directory API 执行这些操作。
- 群组:管理员可以执行管理控制台中的“群组”权限授予的所有操作。
借助 API 权限,您可以使用以下 API 执行这些操作:
- 用户安全管理 - 管理员可以执行管理控制台中的“用户安全管理”权限授予的所有操作。
借助 API 权限,您可以使用以下 API 执行这些操作:
- 数据转移:超级用户或服务管理员可以使用管理控制台转移用户的云端硬盘文件所有权。管理员还需要拥有云端硬盘服务权限,才能在管理控制台中访问“转移所有权”设置。所有这些操作都无法限定为只在特定组织部门中执行。
注意:只有超级用户才可以在删除用户时转移文件所有权。 - 架构管理:超级用户或服务管理员可以创建架构,从而为网域设定自定义字段,例如用户项目、位置和聘用日期。
- 许可管理:拥有“许可管理”角色的超级用户和管理员可以分配和管理 Google Workspace 组织、组织部门、一组用户或单个用户的许可。
- 结算管理:管理员可以执行结算任务,例如设置结算帐号或更改付款方式。此权限仅可通过管理控制台使用。
- 网域管理:管理员可以添加或移除网域,还可以设置网域别名。
- 网域许可名单管理:管理员可以创建和管理可与贵组织共享文件的受信任网域许可名单。
- 读取网域许可名单:管理员可以查看可与贵组织共享文件的受信任网域许可名单。
- 向群组添加安全标签:管理员可以定义控制对敏感信息和资源的访问权限的群组。如需了解详情,请参阅将 Google 群组更新为安全群组。
如果您创建自定义角色,可以通过选中相应权限旁边的复选框,来允许使用 API 对该类对象执行所有操作。您也可以点击个别操作(例如创建或读取),以便只允许执行选定操作。
- 更改组织名称、语言、徽标和时区。
- 删除您的 Google Workspace 或 Cloud Identity 帐号。
- 查看您 Google Workspace 或 Cloud Identity 帐号的结算信息。
- 添加和移除网域与网域别名。
- 将自定义网址映射到 Google 协作平台中的网站。
- 管理您的功能发布流程。
- 选择您从 Google 接收哪些类型的电子邮件。有关详情,请参阅选择您的 Google Workspace 资讯接收设置。
这些操作均不可限定为只在特定组织部门中执行。
拥有群组权限的管理员对于在管理控制台中创建的群组拥有完全控制权限。授予权限还会同时授予对应的 Admin API 权限(见上文)。
拥有此权限的管理员可以:
- 查看用户个人资料和您的组织结构。
- 在管理控制台中创建、管理和删除群组。
- 管理群组访问设置。
- 为访问权限群组启用服务(还需要“组织部门”权限和“服务”权限)。有关详情,请参阅通过配置群组自定义服务设置。
这些操作均不可限定为只在特定组织部门中执行。
提示:如要允许管理员查看用户所属的群组,但不允许其修改群组,请授予管理员群组 读取 API 权限。
拥有此权限的管理员可以通过其管理控制台的用户页面管理您帐号的组织结构。授予权限还会同时授予对应的 Admin API 权限(见上文)。
组织部门权限:
- 读取
- 创建
- 更新
- 删除
如果授予创建、更新或删除权限,用户就会自动获得读取权限。
您可以允许管理员对您帐号中的所有用户执行操作,或是只对特定组织部门中的用户执行操作。有关详情,请参阅分配特定管理员角色。
管理员有权访问使用情况报告和审核日志。有关详情,请参阅报告概览。
拥有报告权限的管理员可以执行以下操作:
- 查看显示服务使用情况的图表。
- 跟踪文档编辑等用户活动。
- 跟踪其他管理员在管理控制台中所做的更改。
这些操作均不可限定为只在特定组织部门中执行。
用户安全管理
注意:只有超级用户才能查看其他管理员的安全设置。
管理员可以管理个别用户的安全设置,但管理的用户仅限没有管理员权限的用户。授予权限还会同时授予对应的 Admin API 权限(见上文)。
对于没有管理员权限的用户,拥有用户安全管理权限的管理员可在相应的用户页面上执行以下操作:
- 停用两步验证。只有超级用户才能为整个组织强制执行两步验证。
- 将登录验证功能停用 10 分钟。
- 审查和撤消安全密钥。
- 审查和撤消应用专用密码。
- 重置登录 Cookie(不适用于转销商管理员)。
- 审查和撤消用户向第三方应用授予的三方模式 OAuth 令牌。
除了强制要求用户执行两步验证以及停用两步验证外,所有其他操作都可以限定为只在特定组织部门中执行。
安全设置
- 允许安全性较低的应用访问帐号
- 监控用户密码
- 设置单点登录 (SSO) 和身份验证
只有“允许安全性较低的应用访问帐号”可以限定为只在特定组织部门中执行。
拥有支持权限的管理员可以通过电话、聊天和电子邮件方式与 Google Workspace 支持团队联系。他们还可以在 Google 客户服务门户中提交支持请求。
与 Google Workspace 支持团队联系的权限不可限定于特定组织部门。
拥有用户权限的管理员可对用户执行操作。只有超级用户才能更改其他管理员的设置。授予权限还会同时授予对应的 Admin API 权限(见上文)。
- 创建
- 读取
- 更新 - 授予更改用户帐号的权限,包括归档、取消归档和授予恢复数据的权限。还包含以下可以单独委托的权限。
- 移动用户
注意:只有超级用户可以使用转移工具将非受管用户帐号转移至 Google Workspace 受管用户帐号。 - 暂停用户
- 重命名用户
- 重置密码
- 强制更改密码
- 添加/移除别名
- 移动用户
- 删除
如果授予创建权限,用户就会自动获得读取和更新权限。如果授予更新或删除权限,用户就会自动获得读取权限。
您可以允许管理员对您帐号中的所有用户执行操作,或是只对特定组织部门中的用户执行操作。有关详情,请参阅让用户成为管理员。
提示:如要允许管理员查看用户的群组,但不允许其修改群组,请授予管理员 API 权限,方法是点击群组 读取 API 权限。
服务权限
授予服务设置特权时,系统不会自动授予对某些服务和设置的访问权限,如数据区域、数据安全、Google 保险柜和安全中心。
拥有服务设置权限的管理员可以启用或停用服务以及更改服务设置。适用于您已添加到帐号中的特定产品(Google Workspace 服务,如日历和云端硬盘)、Google Workspace Marketplace 中的应用,以及免费 Google 服务(如 YouTube 和 Blogger)。
授予服务设置权限时会自动选中此权限。
如要了解有关权限的说明和创建角色方面的建议,请参阅授予对提醒中心的访问权限。
应用制作工具权限已弃用。有关详情,请参阅应用制作工具即将停用。
授予服务设置权限时会自动选中此权限。
授予服务设置权限时会自动选中此权限。
拥有日历权限的管理员可以创建、修改和删除日历资源,但无法修改 Google 日历资源的共享设置。
日历管理权限:
- 所有设置:管理员可以访问和管理共享设置、资源、会议室分析信息中心和常规设置。
- 建筑物和资源:管理员可以创建、修改和删除日历资源,还可以访问会议室分析信息中心。
- 管理资源 — 管理员可以创建、修改和删除日历资源、建筑物和资源设施。
- 查看资源:管理员可以查看资源,但不能修改。
- 会议室数据分析:管理员可以在会议室分析信息中心内查看和设置过滤器,以及调整日期范围。
- 查看设置:管理员只能查看日历设置,不能修改。
- 管理日历 — 管理员可以访问、修改和管理所有用户日历和资源日历。
注意:管理员无法将这些操作限定为只能在特定组织部门中执行。
授予服务设置特权时不会自动选中此特权。
管理员可以管理贵组织的 Chrome 设备和政策,包括:
- 用户设置
- 设备设置
- Chrome 设备上的 Chrome 应用、Google Play 企业版应用以及扩展程序
有关详情,请参阅在 Chrome 中指派管理员角色。
拥有课堂权限的管理员可以为用户启用或停用此服务。此外,管理员还可以:
- 设置教师权限和监护人访问权限。
- 选择哪些用户可以加入课程,以及可以加入哪些课程。
- 控制用户访问 Google 课堂数据的方式。
- 将成绩和作业从 Google 课堂导出至学校的信息系统。
管理课程:超级用户可以向用户授予临时的课程访问权限,也可以将课程访问权限仅授予特定的组织部门。
查看用户及其课程的分析数据:超级用户可以向用户授予组织级 Google 课堂分析数据的访问权限,也可以将访问权限仅授予特定的组织部门。
授予服务设置权限时会自动选中此权限。
拥有 Cloud Search 权限的管理员可以执行以下操作:
- 授予用户访问 Google Cloud Search 的权限。
- 启用或停用此服务。
- 查看贵组织的 Cloud Search 使用情况报告,包括活跃用户数以及通过不同类型设备执行的搜索查询数量。
- 管理第三方存储区,例如数据源、身份源和搜索应用的设置。管理员还拥有索引的读/写权限。
详细了解如何为开发者创建 Cloud Search 管理员角色。
授予服务设置权限时会自动选中此权限。
联系人受托人是有权为其他用户查看和管理联系人的用户。拥有联系人权限的管理员可以使用 Contact Delegation API 查看、创建或删除指定用户的受托人:
- 受托人读取:管理员可以使用 API 列出特定用户的受托人,这相当于 OAuth 范围 https://www.googleapis.com/auth/admin.contact.delegation.readonly。
- 受托人写入:管理员可以使用 API 创建或删除特定用户的受托人,这相当于 OAuth 范围 https://www.googleapis.com/auth/admin.contact.delegation。
授予服务设置特权时不会自动选中此特权。
拥有管理分类标签特权的管理员可以为云端硬盘文件和 Gmail 邮件创建标签,并查看所有标签。还可以查看 Google 保险柜保留规则、数据分类规则或数据泄露防护 (DLP) 规则是否使用了标签。但是,除非同时拥有保留规则或 DLP 规则相关权限,否则他们将看不到这些规则。有关详情,请参阅分类标签管理员使用入门。
授予服务设置权限时仅会自动选中查看 DLP 规则权限。
DLP 权限:
- 查看 DLP 规则:管理员可以查看,但不能修改或创建 DLP 规则。
- 管理 DLP 规则:管理员可以查看、修改及创建 DLP 规则。
您必须同时启用这两种权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
授予服务设置特权时不会自动选中此特权。
数据区域特权:
- 数据区域设置:管理员可以使用数据区域政策,选择将数据区域政策涵盖的数据存储在特定地理位置。有关详情,请参阅“数据区域:为数据选择地理位置”。
- 数据区域报告:管理员可以在数据从一个区域移至另一个区域时查看进度。有关详情,请参阅查看数据区域的迁移进度。
授予服务设置特权时不会自动选中此特权。
拥有此权限的管理员可以管理其组织的情境感知访问权限政策。管理员可以根据用户的具体情况(例如他们的位置,或者他们的设备是否符合本组织的政策)控制他们可以访问哪些应用。
数据安全管理权限:
- 访问权限级别管理:管理员可以创建访问权限级别。
- 规则管理:管理员可以启用或停用情境感知访问权限,并为应用分配访问权限级别。
授予服务设置权限时会自动选中此权限。
管理员可以管理设置,并控制目录中个人资料的变更,以便让用户修改姓名、照片、性别和生日等个人资料信息。
Directory Sync 权限:
- 管理 Directory Sync 设置 - 添加、更新和管理 Directory Sync 设置。
- 阅读 Directory Sync 设置 - 查看但不更改 Directory Sync 设置。
有关详情,请参阅 Directory Sync。
授予服务设置权限时会自动选中此权限。
Google 云端硬盘和 Google 文档管理权限:
- 设置:管理员可以管理您组织的云端硬盘和文档服务的所有设置。您必须要有此权限和“数据转移”权限,才能转移云端硬盘文件的所有权。有关详情,请参阅转移云端硬盘文件。
- 文档模板:管理员可以在文档、表格、幻灯片和表单模板库中移除模板和将模板重新分类,还可以在管理控制台中的云端硬盘和文档部分执行此操作。当管理控制台中的模板提交设置被设为需审核时,管理员就可以接受或拒绝提交的模板。当提交设置被设为受限时,管理员可以向模板库中添加模板。有关详情,请参阅创建自定义云端硬盘模板。
- 将任何文件或文件夹移至共享云端硬盘:管理员可以将文件和文件夹移至贵组织的共享云端硬盘。但是,管理员无法将文件和文件夹从一个共享云端硬盘移至另一个共享云端硬盘。详细了解共享云端硬盘访问权限级别。
- 管理标签 - 已弃用,并已替换为 Manage Classification Labels privilege(管理分类标签特权)。
- 查看新版 Google 协作平台的详细信息:管理员可以确定网站的所有者、查看网站上一次的发布日期,以及请求网站的编辑权限。
- 管理传统版 Google 协作平台:管理员可以使用传统版协作平台管理器查看、管理和迁移贵组织的所有在传统版 Google 协作平台中创建的网站。了解详情
授予服务设置权限时仅会自动选中设置权限。
Gmail 管理权限:
- 设置:管理贵组织的所有 Gmail 设置。
- 电子邮件日志搜索:搜索日志、排查递送问题,以及调查与电子邮件相关的安全问题。
- 访问管理员隔离区:访问和管理所有隔离区(包括默认隔离区)中的电子邮件。
- 访问受限的隔离区:只能访问和管理与管理员所属群组关联的隔离区中的电子邮件。
- 设置 - 读取和修改 Google Chat 的设置,例如保存话题以及允许用户与组织以外的人进行话题讨论。
- 管理 Chat 和聊天室对话 - 管理聊天室和聊天室成员。
- 审核 Chat 内容报告 - 查看 Chat 报告并执行操作。
授予服务设置特权时不会自动选中此特权。
拥有此权限的管理员可以为组织设置和管理 Google 云打印服务,包括通过以下设备或服务执行的打印:
- Chrome 设备以及 Windows、Mac 和 Linux 计算机上的 Chrome 浏览器
- 移动版 Google Workspace 服务,例如 Gmail
- 第三方原生移动应用
有关详情,请参阅打印 Chrome 中的内容。
除非您的帐号拥有至少一个 Google Meet 设备许可或一台注册设备,否则将无法获得此权限。
管理员可以创建用户角色和分配权限,以允许具有数据和功能的不同访问权限级别的用户查看和管理 Google Meet 设备。授予对父特权的访问权限也将授予对树中父特权下面的任何嵌套子特权的访问权限。
特权层次结构
- 管理 Google Meet 设备和日历
- 管理 Google Meet 设备
- 管理设备
- 查看设备
- 管理组织部门设置
- 查看组织部门设置
- 执行操作
- 执行设备命令
- 管理设备会议
- 取消配置 Google Meet 设备
- 管理设备
- 管理日历分配
- 管理 Google Meet 设备
- 注册 Google Meet 设备
详细的说明
- 管理 Google Meet 设备和日历 - 管理员可以访问所有可用的 Meet 设备数据和功能,但不能注册 Google Meet 设备。管理员可以访问和查看所有用户和资源日历。
- 管理 Google Meet 设备 - 管理员可以访问所有可用的 Meet 设备数据和功能,但不能注册 Google Meet 设备,也不能管理日历分配。
- 管理设备 - 管理员可以修改除日历分配以外的所有单个设备设置,还可以授予查看设备特权。
- 查看设备 - 管理员拥有设备数据的只读权限,包括问题历史记录和设备群数据导出功能;访问许多其他特权(包括管理日历分配、执行操作及其子特权,以及取消配置 Google Meet 设备)中托管功能的页面需要此权限。
- 管理组织部门设置 - 管理员可以修改组织部门级别控制的 Google Meet 设备设置,还可以在组织部门之间移动设备。
- 查看组织部门设置 - 管理员可以查看组织部门级别控制的 Google Meet 设备设置。
- 执行操作 - 管理员可以执行两项子特权中的任何操作:管理设备会议和执行设备命令。
- 管理设备会议 - 管理员可以远程连接到会议,并将正在进行的通话静音或挂断。
- 执行设备命令 - 管理员可以重新启动设备或触发诊断测试。
- 取消配置 Google Meet 设备 - 管理员可以取消注册设备,使其数据被删除并使其许可被收回。
- 管理日历分配 - 管理员可以为设备分配个人日历或会议室日历。
- 注册 Google Meet 设备 - 与“需要注册”特权政策搭配使用。启用此政策后,只有拥有此权限的用户才能在贵组织注册新的 Meet 设备。有关详情,请参阅注册设备。
注意:管理员目前无法将这些特权授予特定组织部门中的设备。
授予服务设置特权时不会自动选中此特权。
管理员可以查看所有诉讼或调查,以及管理诉讼或调查、保全、搜索、导出、保留政策和审核。有关详情,请参阅了解和授予保险柜权限。
授予服务设置权限时会自动选中此权限。
拥有此权限的管理员可以通过以下选项控制用户可以从 Marketplace 中安装哪些第三方或内部应用:
- 允许用户安装和运行 Marketplace 中的任何应用
- 仅允许用户安装和运行 Marketplace 中的所选应用
- 不允许用户安装和运行 Marketplace 中的应用
如需详细了解用户对 Marketplace 中应用的访问权限,请参阅管理许可名单中的 Marketplace 中的应用。
授予服务设置权限时会自动选中此权限。
拥有此权限的管理员可以读取和修改网上论坛企业版的设置,包括:
- 哪些人可以创建群组。
- 贵组织以外的人员是否可以查看、搜索您的群组,以及在群组中发帖。
- 哪些人员默认设为可查看群组中的会话。
授予服务设置权限时会自动选中此权限。
拥有此权限的管理员可以为组织启用或停用 Jamboard 服务。如果您有已获许可的 Jamboard,则可以查看其他设置,其中包括:
- 能否在未经过电子邮件确认的情况下分配 Jam 所有者。
- 所有 Jamboard 的屏幕保护程序显示消息和超时值。
注意:如要查看和管理个别 Jamboard,管理员需拥有 Jamboard 管理权限。
授予服务设置权限时会自动选中此权限。
授予服务设置权限时会自动选中此权限。
拥有此权限的管理员可以管理 Looker Studio 设置,包括查看、共享和自定义信息中心和报告。详细了解 Looker Studio。
授予服务设置特权时不会自动选中此特权。
此权限的英文名称有“Managed Google Play”和“Google Managed Play”两种写法,对应的中文均为“Google Play 企业版”。拥有此权限的管理员可以执行以下操作:
- 将 Android 应用分发给内部用户。
- 将私有应用上传到 Google Play 商店。
- 使用非 Google Play 托管的 Android 应用包 (APK)。
授予服务设置权限时会自动选中此权限。
拥有此权限的管理员对于管理控制台中列出的设备拥有完全控制权限,并且可以执行以下操作:
- 管理设备设置和政策。
- 执行所有管理操作,例如批准、屏蔽、删除和擦除设备。
- 发布和管理移动应用。
授予服务设置权限时会自动选中此权限。
拥有 Pinpoint 权限的管理员可以为用户启用或停用此服务,还可以设置用户是否可以将文件从 Google 云端硬盘复制到 Pinpoint。
授予服务设置特权时不会自动选中此特权。
拥有此权限的管理员可以管理安全 LDAP 服务及添加或删除 LDAP 客户端。了解详情
重要提示:安全 LDAP 服务仅供拥有超级用户权限的管理员使用,因此超级用户无法将“安全 LDAP”权限分配给委派管理员。当为您的用户设置管理员角色时,请忽略此设置。
授予服务设置特权时不会自动选中此特权。
拥有此权限的管理员可以查看详尽的安全信息和分析结果,并且能更好地了解和控制影响其组织的安全问题。
超级用户会自动获得所有安全中心功能(包括安全信息中心、“安全性”页面和调查工具)的访问权限。您可以向管理员授予特定安全中心功能(例如,仅安全信息中心)的访问权限,方法就是仅授予他们访问相应功能所需的管理员权限。
相关主题
授予服务设置特权时不会自动选中此特权。
拥有此权限的管理员可以管理所有常用设备配置,还可为移动设备、Chrome 和 Chromebox 会易设备设置虚拟专用网 (VPN)、Wi-Fi 和以太网。
授予服务设置权限时会自动选中此权限。
管理员可以读取和修改协作平台的设置,例如用户是否可以创建和修改网站,以及网站是否可与组织外部人员共享。
授予服务设置权限时会自动选中此权限。
拥有此权限的管理员可以在管理控制台中打开“存储空间”页面,设置存储空间上限。但是,查看存储空间数据需要拥有额外的权限。如要查看所需权限的完整列表,请参阅 Storage Admin 角色的说明。
用于管理云端硬盘共享设置的信任规则权限:
- 查看信任规则:管理员可以读取“规则”列表中的信任规则列表。要查看规则设置的详细信息,管理员还需要拥有组织部门
读取权限。
- 管理信任规则:如果只拥有此权限,管理员无法访问管理控制台中的任何设置。要管理信任规则,您需要具备以下权限:
- 如要启用或停用信任规则,管理员需要拥有管理信任规则和云端硬盘和文档
- 如要创建、修改或删除信任规则,管理员需要拥有查看信任规则、管理信任规则、云端硬盘和文档
- 如要删除信任规则,管理员需要拥有查看信任规则、管理信任规则和云端硬盘和文档
- 如要启用或停用信任规则,管理员需要拥有管理信任规则和云端硬盘和文档
读取授予服务设置特权时不会自动选中此特权。
管理员可以访问数字化转型洞察信息中心中的数据。您只能查看已启用了数字化转型洞察的团队的数据。
您可以允许用户查看已启用此服务的所有团队或特定团队的数据,包括组织部门、获批的群组,以及主管的下属团队。
相关主题
授予服务设置权限时会自动选中此权限。
拥有此权限的管理员可以执行以下操作:
- 限制贵组织中的用户可以观看的 YouTube 视频。
- 为不同组织部门设置不同的 YouTube 访问权限级别(“严格受限”“中等受限”“不受限制”)。
有关详情,请参阅管理贵组织的 YouTube 设置。