管理部门及项目文档空间

丰盘ECM系统引入了「文档空间」的概念，绝大多数文档管理的操作及权限配置，都是由各个空间的管理员自行管理，而不必事事都需要超级管理员的介入，大幅降低了系统超级管理员的维护负担。

对于部门空间来说，由超级管理员指派空间主管理员（即文档空间负责人），如果员工离职或职位变动，也必须由超级管理员在「管理控制台 / 空间管理」 页面进行重新指派；对于项目空间而言，空间主管理员默认为空间的创建者，但系统超级管理员也可以强行指派新的空间主管理员。

产品小贴士

个人空间存储的通常是员工个人私有的文档，因此只支持单用户访问，不具有独立的空间管理的功能。但用户可以仍可以通过 链接分享 功能与其他用户分享个人空间下的资料。

修改空间LOGO及基本信息

当用户切换至某个文档空间后，如果是空间管理员身份的话，那么可以在左侧菜单找到空间管理的入口。在此界面可以修改空间的基本信息，编辑空间成员，调整角色绑定，或修改角色对应的权限，等等。

空间成员管理

在空间成员的标签页下，空间管理员可以添加或移除其他用户到此空间。新添加的用户会默认分配 全体成员 的角色，相应的继承该角色对应的权限。空间管理员也可以手工给该成员绑定其他角色。

RBAC角色权限模型

RBAC全称是Role-Based Access Control，即基于角色的访问权限控制模型。

企业级软件产品的特点之一是权限管控项非常多，而企业内部的新员工入职、老员工离职或者项目组成员变动都是常态，如果管理员直接给每个用户单独分配权限细项，会非常繁琐且难以维护。

RBAC模型将常用的权限组合预先提炼出来命名为 角色，例如架构师、研发工程师、测试经理，技术支持、产品经理等。研发工程师可能拥有研发文档的上传、修改和删除权限，而技术支持可能只拥有部分文档的只读权限。当管理员将用户绑定了研发工程师这个角色，就自动继承该角色的权限了。当研发工程师的权限需要调整的话，管理员也只需要调整角色绑定的权限，所有绑定过的用户的权限会实时变更，而无需修改每个用户的权限，工作量相对较低。

丰盘系统采用RBAC权限模型进行管理，大大简化了空间管理员的权限管理工作。空间管理员只需要提前配置好各个角色的权限项，然后将其绑定到对应的空间成员上即可立即获得该角色对应的权限。多个角色之间的权限取并集，例如角色销售部员工 能读取销售运营资料，角色 销售工程师 能读取技术资料，用户小杨同时绑定了 销售部员工 和 销售工程师 的两个角色，那么他就可以同时查阅销售运营和技术资料。

修改权限细项/创建新的角色

如果对默认权限不满意，空间管理员可访问 「 角色权限 」标签页进行修改。丰盘ECM支持细致的权限管理颗粒度如下所示，如果购买了商业付费插件，则还会有相对应的权限细项，具体可参考具体插件的文档说明页面。

当系统内置的角色不满足我们需求的时候，我们可以通过配置页面增加新的角色，重新编辑权限细项。

特别提醒：开启目录及文件分享的越权风险

开启「分享目录/文件」权限细项之后，用户可针对任意目录或文件开启链接分享。此权限非常大，一旦开启之后，即可脱离项目空间现有权限体系。例如用户小李拥有读取和分享权限，那么他只需要将某个目录分享给其他用户，并设置了完全控制权，那么其他用户将能对该共享目录拥有写入的权限，即使小李本身没有写权限。

考虑到该权限较大，默认仅对空间管理员和文件目录所有者开通，其他用户和角色默认关闭此权限。请空间管理员在配置的时候务必谨慎。

系统内置角色

当文档空间创建之后，系统会内置若干特殊的角色。

项目级空间内置了三个特殊角色，分别是空间管理员、全体成员和目录/文件所有者。其中 空间管理员 角色当前自动绑定了空间管理员用户；全体成员 顾名思义代表的是加入此空间的所有用户，在空间成员添加或移除的时候，系统自动维护用户与角色的绑定关系，无需也不支持手工维护。

高级特性「子管理员」

社区版的「空间管理员」角色只能绑定单一账号，商业版支持「子管理员」高级特性，允许主管理员配置多个成员账号为「子管理员」，辅助其管理本空间的日常事务。详见 高级特性-空间子管理员 。

目录/文件所有者 则是一个虚拟的动态角色，他并不直接绑定某个用户，而是动态判断当前访问的资源是否属于当前用户。例如，当我们希望配置某个目录可以随意上传文件，但只允许删除自己的文件，不可以删除他人的文件，那么我们可以给 全体成员 角色勾选上传文件的权限，同时取消掉删除权限，然后给 目录/文件所有者 角色勾选删除的权限，就可以实现这样的效果了。

对于部门级空间而言，除了项目级空间的三个内置角色之外，还多了两个特殊的内置角色：部门直属成员 和 子部门成员，分别表示部门直接挂靠的员工，和子部门下的员工，丰盘系统会根据超级管理员维护的组织架构信息，自动维护成员与空间的对应关系，即使是部门空间的管理员，也无法调整此绑定关系。