通过群组控制对 G Suite 和 Google 服务的访问权限

您可以为一个用户群组而非整个单位部门启用 G Suite 及其他 Google 服务。这样,您不需要更改组织结构,就可以控制特定用户的访问权限。

如果您管理的用户人数少于 50 位,可能只需要按单位来启用/停用服务,这样反而更简单。

本文包含的主题:

通过访问权限群组启用服务

您可以在 Google 管理控制台中停用某个单位部门对 Google 服务的访问权限。如果该单位部门中的部分用户需要使用某项服务(例如 Google 云端硬盘),则您应将这些用户移动到已启用 Google 云端硬盘的其他单位部门中。

而借助访问权限群组,您可以创建一个用户群组,然后为该群组启用这项服务即可。即使这些用户所在的单位部门已停用该服务,他们作为群组成员仍可以访问该服务。

例如,您可以为同时包含营销团队和销售团队成员的群组启用 Google 云端硬盘和 YouTube。或者,向 IT 部门内的一组用户授予访问应用制作工具的权限。群组可以包含您帐号中的任意用户。

单位部门 使用访问权限群组
单位已停用该服务 访问权限群组已启用该服务
单位部门 1 和 2
已停用 Google 云端硬盘
但来自单位部门 1 和单位部门 2 的一组用户
可以访问 Google 云端硬盘

访问权限群组的运作方式

  • 群组可为用户启用 G Suite 核心服务和其他 Google 服务(例如 YouTube)的访问权限。对于已启用某项服务的单位中的用户,群组无法停用其对该服务的访问权限。
     
  • 访问权限群组可包含您单位中的任意用户或群组。您可以使用现有的群组,例如 sales@example.comproject-team@example.com
     
  • 通过访问权限群组,您只能控制是否为用户启用某项服务。您可以通过用户的单位部门自定义大多数服务设置,例如 Gmail 的 POP/IMAP 设置。目前,您只能通过群组自定义以下产品的设置:应用制作工具、目录个人资料修改、云端硬盘和 YouTube。了解详情
     
  • 您必须在管理控制台、Google Cloud Directory Sync 或 Directory API 中创建访问权限群组。之后,您可以在这些工具或 Google 网上论坛企业版中修改相应群组。

群组与单位对比

  群组 单位
功能
  • 启用/停用服务
  • 配置服务设置
服务访问权限 可以为群组中的用户启用服务。始终覆盖单位设置。 可以为单位中的用户启用停用服务。
支持的服务
  • G Suite 核心服务
  • 其他 Google 服务(例如 YouTube、Google Ads)
  • G Suite 核心服务
  • 其他 Google 服务
  • G Suite 应用商店中的应用、SAML 应用和服务(没有单独的启用/停用控件)
用户从属 可以将来自不同单位的用户添加到同一个群组中。用户可以属于多个群组。 每位用户只属于一个单位。
可否继承 可以。群组中的群组也可以访问所启用的服务。 可以。单位可以继承或覆盖上级单位的设置。
自动授予用户许可

设置访问权限群组

展开所有部分   |   收取所有部分

第 1 步:创建用户及其单位的列表

明确群组中每位用户所在的单位。对于 G Suite 商务版和 G Suite 企业版包含的服务(例如保险柜),请检查是否已向用户分配许可。

第 2 步:选择服务设置

您需要针对用户所在的单位部门进行服务设置。例如,如果您的访问权限群组包含来自不同单位部门的用户,您可以为一个单位部门启用日历对外共享功能,而为另一单位部门停用该功能。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到应用
  3. 点击 G Suite其他 Google 服务
  4. 选择访问权限群组用户所在的单位部门。
  5. 在右侧点击该服务。
  6. 对该服务进行设置。如有需要,请为其他群组成员所在的单位重复上述操作。
第 3 步:创建访问权限群组
  1. 创建访问权限群组或使用现有群组。
    您必须通过管理控制台Directory APIGoogle Cloud Directory Sync 创建群组。在 Google 网上论坛企业版中创建的群组不能作为配置群组(管理控制台不会显示群组是否是通过网上论坛企业版创建的)。
     
  2. 向访问权限群组添加用户(或其他群组)。例如,您可能设置群组权限,以禁止向该群组发布内容或添加群组所有者。此外,您还可以使用 Groups API。它能为您提供更多群组设置选项,如禁止用户退出群组。

第 4 步:启用服务

要执行此步骤,您需要对群组、单位部门(顶级)和服务设置拥有管理员权限

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到应用
  3. 点击 G Suite其他 Google 服务
  4. 群组部分,查找并选择您的群组:

    点击左侧的“群组”列表

    • 点击搜索群组可查看访问权限群组列表。
    • 可以按群组地址(而非群组名称)搜索。
      如果您没有找到所需群组,则该群组可能是通过网上论坛企业版创建的。请使用在管理控制台、Directory API 或 Google Cloud Directory Sync 中创建的群组。
  5. 在右侧,将鼠标指向该服务所在的行。

    找到应用旁边的“启用”链接

    • 要启用访问权限,请点击启用

    • 要移除群组的访问权限,请点击取消设置。现在,用户就沿袭了其单位的访问权限设置。然而,如果这些用户还属于启用了该服务的任何其他访问权限群组,那么他们仍将拥有该服务的访问权限。

    • 要设置多项服务,请选中每项服务对应的复选框,然后点击右上角的取消设置启用

更改通常会在几分钟内生效,但最长可能需要 24 小时才能应用到所有用户。

第 5 步:检查服务访问权限

检查群组中的用户

注意:如果您检查用户所在单位的服务状态,已停用表示该单位已停用服务。服务状态(已启用已停用已为部分用户启用)仅根据单位的设置显示,而不是根据访问权限群组。

查看某项服务的访问权限群组

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到应用
  3. 点击 G Suite其他 Google 服务
  4. 在左上角,点击此帐号中的所有用户

    在右上角找到“此帐号中的所有用户”链接

  5. 找到状态为已为部分用户启用的服务。这表示已为下级单位或访问权限群组启用该服务。
  6. 将鼠标指向已为部分用户启用,然后点击查看详细信息

    找到应用旁边的“查看详情”链接

  7. 您可以查看所有群组和单位的服务状态。

    服务状态显示为“已启用”或“已停用”

第 6 步:让用户开始使用服务

向用户介绍为他们提供的新服务,并分享相关提示、快速入门指南和培训内容

查看为用户、群组和单位启用的服务

查看用户的服务和群组 查看拥有访问权限群组的服务和单位 查看服务状态
  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到应用
  3. 点击 G Suite其他 Google 服务
  4. 在左侧选择视图。

    在右上角找到“此帐号中的所有用户”链接

以下是每个视图对应的操作和状态:

视图 针对服务的操作 服务状态
单位内的所有用户

为所有人启用

为所有人停用(这将取消所有访问权限群组的设置)

此处显示的状态取决于群组和单位的设置。
  • 已为部分用户启用
  • 已为所有人启用
  • 已为所有人停用
群组

启用取消设置

  • 已启用
单位

启用停用

此处显示的状态仅取决于单位的设置
  • 已为部分用户启用
  • 已启用
  • 已停用

修改访问权限群组

为访问权限群组启用/取消设置某项服务
  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到应用
  3. 点击 G Suite其他 Google 服务
  4. 群组部分,选择或搜索您的群组。

  5. 在右侧,将鼠标指向相应服务所在的行:

    • 要启用访问权限,请点击启用

    • 要移除群组的访问权限,请点击取消设置。现在,用户就沿袭了其单位的访问权限设置。然而,如果这些用户还属于启用了该服务的任何其他访问权限群组,那么他们仍将拥有该服务的访问权限。

为所有人启用/停用某项服务
  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到应用
  3. 点击 G Suite其他 Google 服务
  4. 在左侧,点击此帐号中的所有用户

  5. 将光标指向某项服务,然后点击“更多”图标 更多,并选择为所有人停用为所有人启用

    • 为所有人停用:取消访问权限群组的设置(不再显示为已启用)。

    • 为所有人启用:不会更改访问权限群组的设置。

管理群组成员资格

如果您从访问权限群组中移除成员或删除访问权限群组,相关成员将无法再通过相应群组访问服务。

问题排查

我没有在“应用”页面上看到访问权限群组
  • 相应群组可能是在网上论坛企业版中创建的。您只能使用在管理控制台、Directory API 或 Google Cloud Directory Sync 中创建的访问权限群组。
  • 应搜索群组地址而不是群组名称。
  • 您可能位于 G Suite 应用商店中的应用或 SAML 应用的网页上。访问权限群组仅适用于 G Suite 核心服务和其他 Google 服务(如 YouTube)。
  • 可以试试刷新“应用”页面。更改通常会在几分钟内生效,但最长可能需要 24 小时。
  • 检查您是否拥有群组的管理员权限。
用户是访问权限群组成员,但无法登录其服务
  • 检查用户的服务和群组成员资格。访问权限群组设置最长可能需要 24 小时才会生效。
  • 检查是否已向用户分配相应服务许可(例如,允许 G Suite 商务版用户使用 Google 保险柜的许可)。
我已启用访问权限群组,但所有单位的服务状态均为“已停用”

服务状态显示的是相应单位部门是否已启用/停用服务,而不代表该单位是否包含访问权限群组中的用户。要查看访问权限群组的服务设置,请执行以下操作:

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到应用
  3. 点击 G Suite其他 Google 服务
  4. 群组部分,查找并选择您的群组。

    点击左侧的“群组”列表

相关主题

该内容对您有帮助吗?
您有什么改进建议?