《工作手册工程化手册权限及责任区精品》由会员分享,可在线阅读,更多相关《工作手册工程化手册权限及责任区精品(45页珍藏版)》请在金锄头文库上搜索。
1、OPEN3000系统工程化手册之六权限及责任区2006年5月 目 录第八章 权限管理(PRIV_MANAGER)38.1 概述38.1.1 功能38.1.2 特殊属性38.1.3 角色48.1.4 用户48.1.5 组58.2权限管理界面(priv_manager)58.2.1 启动和退出58.2.2 功能的定义与维护88.2.3 角色的定义与维护98.2.4 组的定义与维护128.2.5 用户的定义与维护168.3 权限定义步骤举例24第九章 责任区管理339.1 概述339.2 定义责任区349.2.1启动责任区定义界面349.2.2定义基本责任区349.2.3定义复合责任区419.3 选
2、择责任区(责任区切换)4445第八章 权限管理(priv_manager)8.1 概述为了保证系统的安全性,不同的用户赋予不同的权限,只有被授权的用户才能作相应的操作。而“用户权限定义与管理界面”(priv_manager)就是定义不同用户权限的工具。系统的权限定义采用层次管理的方式。相关的主体有五种:功能、角色、特殊属性、用户和组。下面分别介绍这五个概念。8.1.1 功能“功能”是最小的不可再分的权限单位。“功能”的定义原则是尽量简单化和单一化。一个“功能”只实现一种目的,两个不同的“功能”之间不能有权限重合的部分。权限管理中的功能是系统里设置了控制权限的功能。例如,“查看前置报文”,在权限
3、管理中就没有该功能,因此,“查看前置报文”就没有权限控制,任何人都可以看前置报文。而权限管理中有“遥控“这个功能,因此,“遥控”功能是受权限控制的,只有具有“遥控”权限的用户才能进行遥控操作。用户不能添加权限定义里的功能。8.1.2 特殊属性与功能一样,特殊属性也是最小的不可再分的权限单位。但特殊属性一定是作用在某一个具体的对象(包括数据表域,报表和图形)之上,用于对该具体对象权限的补充定义。一般来说当定义了“模型定义写”权限的用户可以对所有的表写操作,当然也可以对某些表的某些域或所有域(全表)定义禁止查询/只查询/修改/删除记录/增删改等等特殊属性权限。实际应用是,一般的远动维护人员可以对设
4、备表,参数表等等进行读写操作,但是像PUBLIC/系统类/表信息表,域信息表,菜单表等等数据字典类的表非常关键,如果被误修改可能导致整个系统无法运行,像这些关键的表只能允许系统管理员修改,而普通具有“模型定义写”权限的角色则不能对这些特殊的表修改。可以设计如下,定义角色“系统维护”和角色“系统管理”都具有“模型定义写”功能,在角色“系统维护”里定义数据表域特殊属性,对表表信息表,域信息表菜单表等等定义“只查询”,这样仅拥有“系统维护”角色的用户只能对上述定义了特殊属性的表(表信息表,域信息表。菜单表)查询,而不能写,而拥有“系统管理” 角色的用户则可以对所有的表进行写操作,这样就增加了系统的安
5、全性。同样,可以对某个角色(用户)定义某张具体的图形的“禁止读取/只读/可编辑”特殊属性,对某张具体的报表定义“读取/只读/可编辑”的特殊属性。8.1.3 角色角色由一个或多个功能以及一个或多个特殊属性组成。角色定义的原则是:组成角色的功能之间应该具有横向或纵向的协作关系,完全没有关系的功能不应放入同一个角色之中,具有相反权限的功能也不应放入同一个角色之中,角色的定义应该尽量最小化,如果一个角色中有两类功能组合,最好定义成两个角色。例如,可以定义系统运行角色,系统维护角色和数据库管理员角色,系统运行角色包括“画面挂牌”,“画面遥测封锁”,“遥控”等等运行类功能,系统维护角色包括“告警方式定义”
6、、“曲线定义”、“采样定义”、“画面文件写”、“报表文件写”、“公式修改”,“模型定义写”等等维护的功能,数据管理员角色包括“商用库恢复”、“商用户备份”等等数据库维护方面的功能。8.1.4 用户用户是权限系统中最重要的主体,是用户权限设置的最终体现,一个用户可以定义包含几种角色,那么用户就可以拥有角色的全部权限。还可以单独对用户进行功能定义,比如单独增加角色中没有的功能,或者单独减去角色中的功能。还可以对用户进行特殊属性的设置。例如,定义了角色“系统维护”包括功能 “公式修改”,“模型定义写”,角色“系统维护”,还包括对表“表信息表”只读的特殊属性,角色“数据管理员”包括功能“商用库恢复”、
7、“商用库备份”,定义用户whz,包含角色“系统维护“,“数据管理员“,但是对功能“商用库恢复”定义了“单独减去“,对表“菜单表“定义了只读的特殊属性,则用户whz拥有的全部权限是从角色“系统维护“继承的“公式修改”,“模型定义写”和对“表信息表“只读,还有从角色“数据管理员“继承的“商用户备份”,还有自己单独定义的对表“菜单表”只读,即功能列表如下“公式修改”,“模型定义写”、“商用户备份”和对表“表信息表“、“菜单表”只读。系统中分为三种级别的用户:超级用户、组长、普通用户,不同级别的用户的权限不同。超级用户的权限最大,可以创建、删除用户,创建、删除角色、创建、删除组,以及定义,修改用户权限
8、、角色权限,还可以定义组里的用户,但不能修改普通用户的密码,只能在创建时生成初始密码;组长级别的用户可以修改组员的权限,但不可以修改组员的密码,也不能创建、删除用户;而普通用户除了能浏览本组成员的信息之外只能修改自己的密码。一般情况下超级用户不在界面上显示,只有用特殊参数登录时才显示。但也只能修改超户的密码,不能修改其它属性。8.1.5 组组的引入是为了对用户进行分类,组本身不是权限的载体。组和用户的关系,类似于文件夹和文件的关系。一个用户可以不属于任何组,或者只能属于一个组,但不能同时属于多个组。8.2权限管理界面(priv_manager)8.2.1 启动和退出权限定义与维护管理界面的启动
9、方法有两种:方法一:在总控台选择“用户权限定义与维护管理”图标按钮;方法二:在命令窗口下执行priv_manager命令。无论执行上面两种方法的哪一种,都要先登录,由于不同级别的用户权限不同,因此启动用户权限定义与维护管理界面也是不同的。在登录对话框中输入用户名称、密码,以超级用户身份启动“用户权限定义与管理界面”,如图6-1(a)所示,可以看到定义的所有的组和用户。图 6-1 (a) 用户权限定义与维护管理系统界面(超级用户)以普通用户(属于“自动化维护”组)身份启动“用户权限定义与管理界面”后,只能看到自己所属的组,界面如图6-1(b)所示。图 6-1 (b) 用户权限定义与维护管理系统界
10、面(普通用户)用户权限定义与维护管理系统界面分为两大部分,第一部分是左边树状列表区显示当前已有的各类权限实体,主要有功能、角色、组以及特殊属性,第二部分是图6-1的右边显示当前选中信息区域,比如在树状列表显示区选中功能选项,则在右边就会列出所有的功能。从图6-1(a)(b)可以看出普通用户与超级用户的区别,在左侧的树状列表中,图6-1(b)只显示了“自动化维护”组以及组员的信息,这是因为登录时的普通用户ems属于“自动化维护”组,而普通用户除了修改自身密码之外只能浏览本组成员的信息,所以其它组的信息就是不可见的。在图6-1中的最下方显示当前用户名以及用户级别(超级用户还是普通用户),“重登录”
11、工具允许用户重新以另外一种用户登录,“退出”工具退出权限定义与维护管理系统应用程序。用户权限定义与维护管理系统的退出方法有两种: 方法一:点击界面左边的“-”,选择其中的关闭选项;方法二:在图6-1的右下角选择“退出”按钮。8.2.2 功能的定义与维护功能的定义和维护允许新建、修改和删除功能,用户一般只需查看功能,由工程人员新建、修改和删除。新系统中最多允许定义200个功能(编号从1到200),每个功能有一个唯一的编号、名称和定义。在图6-1左侧树状列表中,当”功能”树节点获得焦点时(选中功能选项),在右侧的列表视图中显示当前全部功能的详细信息。其中”被角色使用”列表示是否已经有角色使用了当前
12、功能作为组成部分,“”表示该功能已经有某个角色拥有了这个功能,”被用户使用”列表示是否已经有用户使用了当前功能作为组成部分。“”表示该功能已经被某个用户单独定义了,功能即可以被角色使用,也可以被用户单独使用。(缺图,标注”被角色使用”, ”被用户使用”)在任何一个功能上单击鼠标右键,就会弹出如图6-2所示的下拉菜单,可以进行功能的添加、修改和删除以及察看被授予者。实际上功能处在最底层,每个功能都对应一个宏,一般情况下,是不允许用户修改与编辑的。图 6-2 功能操作下拉菜单4 察看被授予者在图6-2中选择“察看被授予者”,查看包含当前功能的全部角色和用户的名单。如图6-7所示就是执行察看被授予者
13、功能之后的显示信息一个例子。图6-7 察看功能被授予者显示信息8.2.3 角色的定义与维护1 与角色权限有关的表角色的定义和维护允许用户新建、修改和删除角色。新系统中最多允许定义31个角色(编号从1到31),角色可以由1至200个功能组成。每个角色有一个唯一的编号、名称。2 添加角色当”角色”树节点获得焦点时,在右侧的列表视图中显示当前全部角色的概要信息,包括角色是否已经被用户包含的信息。当某一个具体角色的树节点获得焦点(在图6-1左侧选中角色)时,在右侧显示该角色的全部详细信息,并可以对该角色的属性进行编辑。在图6-1中,打开角色前面的“+”,就会显示所有的角色,在任何一个角色上单击鼠标右键
14、,就会弹出如图6-8所示的下拉菜单:图 6-8 角色操作对话框在图6-8中的下拉菜单中,选择“添加新的角色”选项,就会弹出如图6-9所示的对话框:图 6-9 添加新的角色对话框系统自动从未分配的角色编号中选出最小的一个赋给新角色。由角色的定义可以看出,角色包括1到多个功能和0到多个特殊属性组成,因此添加新的角色包括两部分,添加功能和添加特殊属性。一个角色必须至少包含一个功能图6-9中右侧的中间部分为添加功能部分,从“系统中已有的功能”列表中选择功能通过“添加”按钮,添加到“当前角色包含的功能”列表。也可以从“当前角色包含的功能”列表中 选择功能通过“移除”按钮删除当前角色所包含的功能。图6-9
15、中右侧的下部为添加特殊属性部分,特殊属性分为对数据表域、图形、报表的操作。而数据表的可用权限分为禁止查询、只查询、修改、增删记录、增删改五种,数据域的可用权限分为禁止查询、只查询、修改三种;图形的可用权限分为禁止读取、只读、可编辑三种;报表的可用权限分为禁止读取、只读、可编辑三种。选择数据表(或者域)、图形、报表然后再选择相应的可用权限,通过“添加”按钮添加到“当前角色具有的特殊属性”列表中;也可以在“当前角色具有的特殊属性”列表中选择特殊属性,通过“移除”按钮删除当前角色的特殊属性。点击“应用”按钮将根据输入的信息更新角色定义表,点击“还原”按钮将撤消所作的输入工作。因为是新角色,因此在更新数据库时不需要去检查是否有用户包含了该角色。3 修改角色在图6-1中左侧的树状列表中选择一个角色,右侧显示当前角色的所有信息,包括角色编号、角色描述以及当前角色所包含的功能与特殊属性。用户不能修改角色编号,可以修改角色所包含的功能与特殊属性。对当前角色所包含的功能和特殊属性的编辑(添加或者移除)与“添加新的角色”过程相同。注:如果当前修改的角色没有被任何用户所包含,
