如果您不希望向用户授予 Google 管理控制台的完整访问权限,则可以让用户仅执行部分管理任务。为此,您可以为用户分配管理员角色。您可以为一个用户分配多个管理员角色。
您还可以将管理员角色分配给群组或服务账号(而不是用户)。例如,您可以让服务账号管理员使用 Cloud Identity Groups API 通过管理控制台以外的应用创建和更新群组以及群组成员资格。
管理员角色如何运作
在管理控制台中,管理员只能按自己角色允许的权限查看信息和执行任务。例如,如果您将预先构建的 User Management Admin 角色分配给某位用户,则该用户只能查看和修改非管理员用户的特定用户设置。
角色分配如何限制工作
您可以将任何角色设置为应用于所有组织部门。对于这些角色,无论角色数量是多少,您最多可以执行 1000 项分配。例如,您可以为 300 位用户分配 1 个角色,并为 700 位用户分配另 1 个角色。
不过,您可以对组织部门应用一些角色。对于这些角色,无论角色数量是多少,您最多可为每个组织部门进行总共 1000 项分配。如需查看您是否可以将角色应用于组织部门,请前往用户的角色分配页面,然后在“所有组织部门”旁边找到“修改”图标 。示例包括 User Management Admin 这项预先创建的角色或至少具备一项用户权限的自定义角色。
如果您仍需要分配 1000 个以上的角色,则可以向群组添加多个成员,并为群组分配角色。无论成员人数是多少,向群组分配角色的操作都会计为一次分配操作。
准备工作
第 1 步:查看已使用的任何预先构建的角色或自定义角色
-
- 在管理控制台中,依次点击“菜单”图标 帐号 管理员角色。
- 将光标指向相应角色,然后点击查看权限或查看管理员即可查看分配到此角色的管理员。
第 2 步:确定角色类型
- 分配预先构建的系统角色来执行常规任务。查看预先构建的管理员角色。
- 创建并分配具有不同访问权限级别的自定义角色。如需执行该操作,您需要先创建角色。转到创建自定义角色。
分配角色
您必须以超级用户身份登录,才能执行此任务。
您可以按照为多个用户或一个群组分配角色的过程,同时为用户和群组分配角色。
向单个用户分配角色要为一个用户分配仅拥有安全群组或非安全群组特权的 Groups Reader 或 Groups Editor 角色,请改为按照本页面上同时为多个用户分配一个角色中的步骤操作。
-
- 在管理控制台中,依次点击“菜单”图标 目录 用户。
- 在列表中找到相应用户。
如需相关帮助,请参阅查找用户账号。
- 点击用户的姓名以打开其账号页面。
- 向下滚动,然后点击管理员角色和权限。
- 在预先构建的角色或自定义角色旁边,点击“开启”图标 。
如果您没有看到“开启”图标 ,请点击“角色”下方的任意位置,即可显示该功能开关。
- (可选)要将管理员的角色仅分配给特定组织部门,请点击所有组织部门旁边的“修改”图标 ,选择所需组织部门,然后点击完成。
如果您没有看到“修改”图标 ,则无法将此角色应用于组织部门。
- 点击保存。
提示:
- 在权限部分,您可以查看用户分配到的所有管理员角色的全部权限。
- 要返回用户的账号页面,请点击右上方的向上箭头 。
-
- 在管理控制台中,依次点击“菜单”图标 帐号 管理员角色。
- 将光标指向要分配的角色,然后点击右侧的分配管理员角色。
提示:您可以切换查看要分配角色的管理员和相关权限。只需点击顶部的管理员或权限即可。
- 点击为成员分配。
- (Beta 版,可选)对于 Groups Reader 或 Groups Editor 角色,您可以只向安全群组或非安全群组授予管理员特权。如需限制特权,请执行以下操作:
- 点击设置条件。
- 选择一个选项,仅向以下群组授予管理员特权:
- 安全群组 - 选择标签包含“安全”。
- 非安全群组 - 选择标签不包含“安全”。
- 点击保存。
- 输入用户电子邮件地址(非用户名)的前几个字母,然后从显示的选项中选择所需的用户地址。
您一次最多可以将一个角色分配给 20 个用户和群组。
- 点击分配角色。
- (可选)要将管理员的角色仅分配给特定组织部门,请点击所有组织部门旁边的“修改”图标 ,选择所需组织部门,然后点击完成。
如果您没有看到“修改”图标 ,则无法将此角色应用于组织部门。
通过为群组分配角色,您可以将角色特权授予大量用户。
管理已分配角色的群组与管理任何其他群组的方式相同。如需了解相关信息,请参阅群组。
群组角色分配的限制
- 您可以分配除 Super Admin 或 Reseller Admin 以外的任何角色。
- 群组必须是贵组织的安全群组,而且不是动态群组。 如需了解安全群组,请参阅通过安全群组控制对敏感数据的访问。
要查看某个群组是否为动态群组,请在管理控制台中点击群组 该群组的名称。转到成员,如果看到 Dynamic members(动态成员)或修改成员资格查询,则表示该群组是动态群组。 - 为群组分配角色的操作会计为角色分配限额下的一次分配操作。
- 在整个组织级别和每个组织部门中,您总共最多可以向群组执行 250 次角色分配操作。
- 如需将某个角色分配给多个群组并且不超过限制,请选择一个需要该角色的群组作为父群组,并将其他需要该角色的群组添加为父群组的成员。然后,为父群组分配角色。此次分配只计为一次角色分配,同时所有的子群组也获得了该角色。有关详情,请参阅将某个群组添加到另一个群组。
- 在某些情况下,群组成员可能无法获得已分配角色的所有特权。举例来说,如果您为群组分配了包含“管理 Google Meet 设备和日历”特权的角色,则群组成员可能无法获得与该特权相关联的所有功能。成员会获得角色包含的任何其他特权。
- 如果您向群组分配 Reseller Admin 角色,则群组成员将仅获得转销商所在组织的角色特权。他们不会获得转销商的任何客户的特权。
- 我们建议将群组成员资格限制为组织中的用户。您可以添加贵组织外部的用户或消费者用户,但这些用户可能无法获得角色特权。有关详情,请参阅限制群组成员资格。
- 标准群组成员资格限制适用。如需了解详情,请参阅成员资格。
分配角色
-
- 在管理控制台中,依次点击“菜单”图标 帐号 管理员角色。
- 将光标指向要分配的角色,然后点击右侧的分配管理员角色。
提示:您可以切换查看要分配角色的管理员和相关权限。只需点击顶部的管理员或权限即可。
- 点击为成员分配。
- (Beta 版,可选)对于 Groups Reader 或 Groups Editor 角色,您可以只向安全群组或非安全群组授予管理员特权。如需限制特权,请执行以下操作:
- 点击设置条件。
- 选择一个选项,仅向以下群组授予管理员特权:
- 安全群组 - 选择标签包含“安全”。
- 非安全群组 - 选择标签不包含“安全”。
- 点击保存。
- 输入群组电子邮件地址或名称的前几个字母,然后从选项中选择地址。
您一次最多可以将一个角色分配给 20 个群组和用户。
- 点击分配角色。
- (可选)要将管理员的角色仅分配给特定组织部门,请点击所有组织部门旁边的“修改”图标 ,选择所需组织部门,然后点击完成。
如果您没有看到“修改”图标 ,则无法将此角色应用于组织部门。
除了超级用户,您可以将任何预先创建的角色或自定义角色分配给服务账号。为服务账号分配角色会占用您的角色分配限额。
准备工作:在 Google Cloud 中设置服务账号。转到创建和管理服务账号。
-
- 在管理控制台中,依次点击“菜单”图标 帐号 管理员角色。
- 将光标指向要分配的角色 点击分配管理员角色。
- 点击分配服务账号。
- (Beta 版,可选)对于 Groups Reader 或 Groups Editor 角色,您可以只向安全群组或非安全群组授予管理员特权。如需限制特权,请执行以下操作:
- 点击设置条件。
- 选择一个选项,仅向以下群组授予管理员特权:
- 安全群组 - 选择标签包含“安全”。
- 非安全群组 - 选择标签不包含“安全”。
- 点击保存。
- 输入服务账号的电子邮件地址。
要查找电子邮件地址,请打开 Google Cloud 控制台,然后点击“菜单”图标 IAM 和管理 服务账号。
- 点击添加 分配角色。
后续操作
在管理控制台审核日志中,您可以查看管理员角色应用到服务账号的时间,以及服务账号管理员执行操作的相关记录。有关详情,请参阅管理员日志事件。
如果您向服务账号应用了预先构建的 Groups Admin 角色,则还可以在企业群组审核日志中查看相关操作记录。服务账号管理员可能会列在事件说明或用户下方。有关详情,请参阅 Groups Enterprise 日志事件。
相关主题
您为某用户分配角色后,该用户下次登录时会直接进入管理控制台首页。更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
取消分配角色
您无法取消分配给自己的角色。
在“管理员角色”页面上,为多位用户或某个服务账号取消分配角色。
-
- 在管理控制台中,依次点击“菜单”图标 帐号 管理员角色。
- 将光标指向要取消分配的角色,然后点击右侧的分配管理员角色。
- 根据需要选择操作步骤:
- 勾选您所需的每位用户或服务账号旁边的复选框。
- 要取消分配所有用户和服务账号的角色,请选中管理列标题旁边的复选框。
- 点击取消分配角色 取消分配角色进行确认。
后续步骤
管理员可以为自己的账号添加恢复选项。