分配特定管理员角色

如需为一个用户分配仅拥有安全群组或非安全群组权限，或者仅拥有已锁定群组或未锁定群组权限的群组读取者或群组编辑者角色，请参阅一次向多个用户分配角色。

1. 使用超级用户账号登录 Google 管理控制台。

   如果您使用的不是超级用户账号，则无法完成这些步骤。

2. 依次点击“菜单”图标  目录 > 用户。
3. 打开用户的账号页面：点击用户的姓名，或在顶部的搜索栏中输入用户的姓名或电子邮件地址。如需查看更多选项，请参阅查找用户账号。

   

4. 向下滚动，然后点击管理员角色和权限。

   

5. 在预先构建的角色或自定义角色旁边，点击“已分配”图标 。

   如果您没有看到“已分配”图标 ，请点击“角色”下方的任意位置，即可显示该功能开关。

6. （可选）要将管理员的角色仅分配给特定组织部门，请点击所有组织部门旁边的“修改”图标 ，选择所需组织部门，然后点击完成。

   如果您没有看到“修改”图标 ，则无法将此角色应用于组织部门。

7. 点击保存。

提示：

• 在权限部分，您可以查看用户分配到的所有管理员角色的全部权限。
• 要返回用户的账号页面，请点击右上方的向上箭头 。

1. 使用超级用户账号登录 Google 管理控制台。

   如果您使用的不是超级用户账号，则无法完成这些步骤。

2. 依次点击“菜单”图标   帐号 > 管理员角色。
3. 将光标指向要分配的角色，然后点击右侧的分配管理员角色。

   提示：您可以切换查看要分配角色的管理员和相关权限。只需点击顶部的管理员或权限即可。

   

4. 点击为成员分配。
5. 对于群组读取者或群组编辑者角色，您可以授予仅针对安全群组或非安全群组，或者仅针对已锁定群组或未锁定群组的管理员权限。如需限制特权，请执行以下操作：
   1. 点击设置条件。
   2. 选择一个选项，仅向以下群组授予管理员特权：
      • 安全群组 - 选择标签包含“安全”。
      • 非安全群组 - 选择标签不包含“安全”。
      • （Beta 版）已锁定群组 - 选择 Label contains “Locked”（标签包含“已锁定”）。
      • （Beta 版）未锁定群组 - 选择 Label doesn’t contain “Locked”（标签不包含“已锁定”）。
   3. 点击保存。
6. 输入用户电子邮件地址（非用户名）的前几个字母，然后从显示的选项中选择所需的用户地址。

   您一次最多可以将一个角色分配给 20 个用户和群组。

7. 点击分配角色。
8. （可选）要将管理员的角色仅分配给特定组织部门，请点击所有组织部门旁边的“修改”图标 ，选择所需组织部门，然后点击完成。

   如果您没有看到“修改”图标 ，则无法将此角色应用于组织部门。

通过为群组分配角色，您可以将角色特权授予大量用户。

管理已分配角色的群组与管理任何其他群组的方式相同。如需了解相关信息，请参阅群组。

群组角色分配的限制

• 您可以分配除 Super Admin 或 Reseller Admin 以外的任何角色。
• 群组必须是贵组织的安全群组，而且不是动态群组。 如需了解安全群组，请参阅通过安全群组控制对敏感数据的访问。
  要查看某个群组是否为动态群组，请在管理控制台中点击群组 该群组的名称。转到成员，如果看到 Dynamic members（动态成员）或修改成员资格查询，则表示该群组是动态群组。
• 为群组分配角色的操作会计为角色分配限额下的一次分配操作。
• 在整个组织级别和每个组织部门中，您总共最多可以向群组执行 250 次角色分配操作。
• 如需将某个角色分配给多个群组并且不超过限制，请选择一个需要该角色的群组作为父群组，并将其他需要该角色的群组添加为父群组的成员。然后，为父群组分配角色。此次分配只计为一次角色分配，同时所有的子群组也获得了该角色。有关详情，请参阅将某个群组添加到另一个群组。
• 在某些情况下，群组成员可能无法获得已分配角色的所有特权。举例来说，如果您为群组分配了包含“管理 Google Meet 设备和日历”特权的角色，则群组成员可能无法获得与该特权相关联的所有功能。成员会获得角色包含的任何其他特权。
• 如果您向群组分配 Reseller Admin 角色，则群组成员将仅获得转销商所在组织的角色特权。他们不会获得转销商的任何客户的特权。
• 我们建议将群组成员资格限制为组织中的用户。您可以添加贵组织外部的用户或消费者用户，但这些用户可能无法获得角色特权。有关详情，请参阅限制群组成员资格。
• 标准群组成员资格限制适用。如需了解详情，请参阅成员资格。

分配角色

1. 使用超级用户账号登录 Google 管理控制台。

   如果您使用的不是超级用户账号，则无法完成这些步骤。

2. 依次点击“菜单”图标   帐号 > 管理员角色。
3. 将光标指向要分配的角色，然后点击右侧的分配管理员角色。

   提示：您可以切换查看要分配角色的管理员和相关权限。只需点击顶部的管理员或权限即可。

   

4. 点击为成员分配。
5. 对于群组读取者或群组编辑者角色，您可以授予仅针对安全群组或非安全群组，或者仅针对已锁定群组或未锁定群组的管理员权限。如需限制特权，请执行以下操作：
   1. 点击设置条件。
   2. 选择一个选项，仅向以下群组授予管理员特权：
      • 安全群组 - 选择标签包含“安全”。
      • 非安全群组 - 选择标签不包含“安全”。
      • （Beta 版）已锁定群组 - 选择 Label contains “Locked”（标签包含“已锁定”）。
      • （Beta 版）未锁定群组 - 选择 Label doesn’t contain “Locked”（标签不包含“已锁定”）。
   3. 点击保存。
6. 输入群组电子邮件地址或名称的前几个字母，然后从选项中选择地址。

   您一次最多可以将一个角色分配给 20 个群组和用户。

7. 点击分配角色。
8. （可选）要将管理员的角色仅分配给特定组织部门，请点击所有组织部门旁边的“修改”图标 ，选择所需组织部门，然后点击完成。

   如果您没有看到“修改”图标 ，则无法将此角色应用于组织部门。

除了超级用户，您可以将任何预先创建的角色或自定义角色分配给服务账号。为服务账号分配角色会占用您的角色分配限额。

准备工作：在 Google Cloud 中设置服务账号。转到创建和管理服务账号。

1. 使用超级用户账号登录 Google 管理控制台。

   如果您使用的不是超级用户账号，则无法完成这些步骤。

2. 依次点击“菜单”图标   帐号 > 管理员角色。
3. 将光标指向要分配的角色 点击分配管理员角色。
4. 点击分配服务账号。
5. 对于群组读取者或群组编辑者角色，您可以授予仅针对安全群组或非安全群组，或者仅针对已锁定群组或未锁定群组的管理员权限。如需限制特权，请执行以下操作：
   1. 点击设置条件。
   2. 选择一个选项，仅向以下群组授予管理员特权：
      • 安全群组 - 选择标签包含“安全”。
      • 非安全群组 - 选择标签不包含“安全”。
      • （Beta 版）已锁定群组 - 选择 Label contains “Locked”（标签包含“已锁定”）。
      • （Beta 版）未锁定群组 - 选择 Label doesn’t contain “Locked”（标签不包含“已锁定”）。
   3. 点击保存。
6. 输入服务账号的电子邮件地址。

   要查找电子邮件地址，请打开 Google Cloud 控制台，然后点击“菜单”图标 IAM 和管理 服务账号。

7. 点击添加 分配角色。

后续操作

在管理控制台审核日志中，您可以查看管理员角色应用到服务账号的时间，以及服务账号管理员执行操作的相关记录。有关详情，请参阅管理员日志事件。

如果您向服务账号应用了预先构建的 Groups Admin 角色，则还可以在企业群组审核日志中查看相关操作记录。服务账号管理员可能会列在事件说明或用户下方。有关详情，请参阅 Groups Enterprise 日志事件。

相关主题

• 以服务账号身份进行身份验证并且不进行全网域授权