配置群组可能无法用于部分服务或设置,具体取决于您的 Google Workspace 版本。
您可以为一组用户而非整个组织部门应用服务设置。这样,您不需要更改组织结构,即可针对特定用户自定义设置。通过群组来配置设置适用于:
服务 | 管理员功能 |
---|---|
注意:部分服务提供为群组启用或停用 Google 导出的功能。了解详情 |
|
* 仅在某些版本的 Google Workspace 中提供 |
使用配置群组进行服务设置
借助配置群组,您可以为一组用户自定义服务设置。例如,您可以允许某组用户批准 YouTube 视频,或允许某个团队与您组织外部的用户共享 Google 云端硬盘文件。
配置群组可包含您账号中任意组织部门的用户。您可以创建一个群组或使用账号中的现有群组,例如 staff@example.com。
通常情况下,您先将服务设置应用于您的单位部门,然后再为部分用户创建例外规则。例如,您可以对账号中的所有人可以观看的 YouTube 内容进行限制,但允许一些群组观看所有视频或批准视频。
配置群组的运作方式
- 配置群组可包含贵组织中的任何用户或群组(嵌套群组)。
- 用户的群组设置一律会覆盖所在组织部门的设置。
- 一个用户只能来自一个单位部门,但可以属于多个配置群组。您可以为配置群组设置优先级,用户所在的哪个群组具有最高优先级,系统就会为该用户应用哪个群组的设置。
使用要求
- 您必须通过 Google 管理控制台、Google Cloud Directory Sync 或 Directory API 创建配置群组。了解详情
- 动态群组要求将安全标签用作配置群组。了解详情
- 在 Google 网上论坛中创建的群组不能作为配置群组
- 您只能在管理控制台中设置和应用配置群组,而无法通过 API 执行这些操作。
注意:配置群组可能无法用于部分服务,具体取决于您的 Google Workspace 版本。
要开始设置,请跳至下文中的设置配置群组部分。
管理大量用户或政策
供管理大中型组织的管理员或对配置群组感兴趣的用户参阅的信息。
配置群组的选项通常情况下,在创建或应用配置群组之前,您需要为各个用户群组分别确定所需的设置。例如,以下用户群组对云端硬盘文件就需要拥有不同的共享权限。
云端硬盘共享权限 | |||
---|---|---|---|
用户群组 | 与所有 网域共享 |
与可信 网域共享 |
仅限 内部共享 |
销售主管 | ✔ | ||
销售团队 | ✔ | ||
销售运营 | ✔ |
接下来,您就可以使用基于用户群组和/或用户设置(具体视您单位的需要而定)创建的配置群组。
选项 1:使用基于用户群组创建的配置群组
将您的用户群组作为配置群组使用,然后为每个配置群组自定义所需的设置。如果用户同时属于多个群组,您应当设置由哪个群组决定用户的设置(如下文中的设置优先级部分所述)。
例如,对于云端硬盘设置,您可以允许特定用户群组对外共享文件。
在以下情况下,非常适合将设置直接应用于用户群组:
- 单位的用户人数少于 50 人,或者设置数量较少
(您无需创建更多群组,您可以为每个用户群组微调设置)。 - 测试服务设置
- 特定用户群组使用的应用
- 根据用户属性(例如位置或角色)自动管理群组成员资格的动态群组。
选项 2:基于用户设置创建配置群组
如果您管理的设置或用户较多,则可以针对不同级别的设置分别创建群组。
例如,您可以为每种级别的云端硬盘共享权限各创建一个配置群组。然后,将您的用户群组添加为该配置群组的成员。
配置群组会用作各项设置的容器。您需要管理和设置优先级(具体说明见下文)的配置群组通常也比较少。此外,您还可使用 Groups API 或 Directory Sync 来管理用户和群组成员资格。
当一位用户同时属于多个配置群组时,您需要指定哪个配置群组优先决定该用户的设置。
在管理控制台中,群组是按照优先级从高到低排列的。系统会为用户应用他们所属优先级最高的群组的设置。
在“群组”列表中上下移动配置群组,即可修改它们的优先级。您只能在管理控制台中设置优先级顺序,而无法通过任何 API 修改。
优先级的运作方式
如果一个用户同时属于多个群组,系统会为该用户应用优先级最高的群组的设置。下例中的一位销售主管就同时属于 3 个用户群组,且每个群组的名录个人资料修改设置各不相同。
在配置群组采用如下优先级顺序的情况下,销售主管可以在自己的名录个人资料中修改自己的姓名和工作地点。
如果修改工作地点群组的优先级最高,则销售经理只能修改工作地点,而区域销售人员可以修改他们的姓名和工作地点。
用户设置与多个群组的关系
当一个用户属于多个群组时,系统并不会将所有这些群组的设置都应用到该用户。在下例中,营销主管同时属于 3 个群组,但系统只会为其应用优先级最高的群组的设置。他们可以修改自己的姓名和工作地点,但不能修改自己的照片。
为群组排序
对于云端硬盘设置,更改群组优先级或成员资格会影响文件的共享和访问权限。
例如,如果您将文件的所有权转移给其他配置群组中的用户,则该文件的共享权限会更改为新群组的共享权限。
如要跟踪优先级和设置:
- 请考虑群组结构中的优先级,留意深层嵌套的群组,因为其中的设置关系较难厘清。
- 在为配置群组排序时,您不妨为应用范围最小的群组设置最高优先级。
相比其他步骤,规划配置群组结构时可能需要花费更多时间反复进行验证。
为各群组确定所需的服务设置
您可以通过查看各个单位部门,确定您想使用群组进行管理的设置。如果您已采用以角色或团队为基础的设置方法,也可通过同样的方式使用群组。
如果您的账号订阅了多个版本的 Google Workspace:
- 配置群组设置仅适用于有权访问相应功能或服务的用户。
- 根据您订阅的版本,某些云端硬盘设置会应用于整个组织。您可以使用配置群组,为其他用户自定义云端硬盘设置。
制定命名标准
为群组命名时最好遵循一定的标准,这样更便于管理和审核。例如,可以遵循要求在名称中包含设置名称和优先级编号的标准。群组列表最多可显示群组名称的前 37 个字符。将光标指向群组即可查看全名。
YouTube_1_approvers
YouTube_2_access_unrestricted
YouTube_3_access_moderate
YouTube_4_access_strict
如果您管理多种类型的群组,可以为其添加前缀。例如,添加“cf”来表示配置群组。此外,在添加配置群组时,您还可以使用小数位来避免修改现有群组的名称。
cf_Drive_p1.0_SHARE_any
cf_Drive_p2.0_SHARE_trusted
cf_Drive_p2.1_SHARE_trusted_access_external
cf_Drive_p3.0_SHARE_internal
创建群组
请使用通过管理控制台、Directory API 或 Google Cloud Directory Sync 创建的群组。在 Google 网上论坛中创建的群组不能作为配置群组(管理控制台不会显示群组是否是通过 Google 网上论坛创建的)。
您可以在任何工具中管理配置群组。您可能需要为以下操作设置严格的权限:添加或删除用户,在群组中发帖或禁止用户退出群组(只能通过 Groups API 做到)。
设置配置群组
第 1 步:应用配置群组要执行此步骤,您需要对群组、单位部门(顶级)和服务设置拥有管理员权限。
前期准备:选择群组。您可以使用现有群组,也可以创建群组。
只有通过管理控制台、Google 网上论坛企业版、Directory API 或 Google Cloud Directory Sync 创建的用户群组可以用作配置群组。而通过 Google 网上论坛创建的群组则不可用作配置群组。
- 在管理控制台中,转到相应应用的设置页面。
- 点击您要修改的设置。
例如,以下是您的顶级单位的 YouTube 设置:
- 点击左侧的群组。
系统会按照优先级顺序列出所有现有的配置群组。 - 点击搜索群组。输入群组地址(而非群组名称),然后选择所需群组。
- 添加配置群组时,请按照优先级从高到低的顺序添加。添加新群组时,请将其设为最低优先级。
- 如果您没有找到所需群组,则该群组可能是通过 Google 网上论坛创建的,或者是没有“安全”标签的动态群组。
- 为您的配置群组选择设置。
默认情况下,新群组会采用您的顶级单位部门的设置。
对于拥有多种类型 Google Workspace 许可的单位:如果您单位拥有许可的某个 Google Workspace 版本未包含特定设置,则群组的设置旁边可能会显示一个旗标 。不管该群组是否包含没有所需许可的用户,此旗标都会显示。
- 启用或停用配置群组。
- 开启 - 点击保存。
相应设置会应用于配置群组的成员。要关闭该面板,请点击取消。 - 关闭 - 在“群组”面板中,点击取消设置或“移除”图标 (点击取消不会移除该群组)。
- 开启 - 点击保存。
- 向上或向下拖动群组,以调整其优先级。
- 如要将某一群组的优先级设为 1,请将该群组拖到优先级为 2 的位置,然后将当前优先级为 1 的群组向下拖动。您也可以在优先级框中输入数字,或点击优先级框旁边的箭头。
- 如果您的群组少于 4 个:您对包含相同用户的群组重新排序,这些用户就会获得其优先级最高的群组的设置。您可能会收到以下提醒:
“可能有多项政策与相同的用户关联…”
这是一则常规提醒,会在您添加、取消设置任何配置群组或更改配置群组优先级时显示,哪怕这些群组并未包含相同的用户。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
准备工作:您需要对群组、组织部门(顶级)和服务设置拥有管理员权限。
- 在管理控制台中,转到相应应用的设置页面。
- 点击左上方的用户。
- 点击选择用户,然后搜索用户的地址(而非名字)。
- 选择用户以查看其设置。在设置名称下方,您可以点击决定该用户设置的配置群组或单位部门。
注意:如果您选择了用户的单位部门,相应服务设置不会显示为已替换。这些已替换和继承的设置依据的完全是单位部门的设置,而不是配置群组。
我没有看到“群组”列表
我在“群组”列表中未看到所需的配置群组
有用户的服务设置有误
当您应用配置群组或更改优先级顺序时,系统会在日志中记录应用设置群组优先级更改这一事件。该事件使用的是群组名称,而非群组地址。我们建议您使用相同的命名标准命名群组和地址。
例如,您可以将群组链接任何人应用到云端硬盘链接共享设置。
应用设置群组优先级更改
对于云端硬盘和文档,链接共享的群组替换优先级
改成了链接任何人
如果您更改群组的优先级,则事件会按新的优先级顺序从低到高显示群组。
应用设置群组优先级更改
对于云端硬盘和文档,链接共享的群组替换优先级
改成了无任何链接 < 链接用户 < 链接任何人
对于单位部门和配置群组,其他事件大多数都使用相似的格式。前缀 group_email 用于识别配置群组。
例如,使用单位部门替换设置:
更改云端硬盘设置
云端硬盘的 PUBLISHING_TO_WEB 从 INHERIT_FROM_PARENT 改成了 PUBLIC
(org_unit_name:{市场营销})
使用配置群组应用设置:
更改云端硬盘设置
云端硬盘的 PUBLISHING_TO_WEB 从 INHERIT_FROM_PARENT 改成了 PUBLIC
(org_unit_name:{example.com}、group_email:{Drive_p02_share_external@example.com})
如果事件发生的对象是配置群组,则日志中的 org_unit_name 总是会显示为您的顶级单位部门。