有效权限
权限规则确定受影响的人员(组集、组或用户),以及他们的哪些能力的状态为“已允许”、“已拒绝”或“未指定”。尽管简单地设置一个权限规则并将其作为全部似乎很简单,但是由于用户属于多个组以及站点角色和所有权与权限规则之间的相互作用,用户是否具有该功能可能并不清楚。
系统按特定顺序对多个因素进行评估,从而生成针对一部分内容的有效权限。
提示:为了让事情尽可能简单,我们建议 (1) 为组而不是用户设置权限规则,(2) 管理锁定在项目级别的权限而不是为单个内容设置权限,以及 (3) 删除“所有用户”组的权限规则或将所有能力设置为“无”。
仅当以下三个条件全部得到满足时,才会为用户允许某项能力:
- 该能力在其站点角色的范围内。
- 他们拥有该能力:
- 基于特定用户方案(例如是内容所有者或项目主管,或者他们是管理员站点角色),
或者 - 他们已被允许作为用户使用该能力,
或者 - 因为他们都位于已允许使用该能力的组中,并且没有规则拒绝他们作为用户或其他组的成员使用该能力。
- 基于特定用户方案(例如是内容所有者或项目主管,或者他们是管理员站点角色),
- 在另一个优先的内容级别没有冲突的权限设置。
任何其他情况拒绝用户使用该能力。
将鼠标光标悬停在能力上会显示一个说明有效权限的工具提示。下面是一些常见的例子,说明为何有效权限(用户实际上可执行或无法执行什么操作)看起来可能与给定权限规则规定的权限不同:
- 用户可能具有在权限规则中被拒绝的能力,原因是其站点角色包括该能力(管理员)。
- 用户可能具有在权限规则中被拒绝的能力,原因是他们的用户方案允许该能力(因为他们拥有内容,或者是项目所有者或主管)。
- 用户可能缺少在权限规则中被允许的能力,原因是其站点角色不允许该能力。
- 用户可能缺少在权限规则中被允许的能力,原因是存在冲突的组或用户规则拒绝了该能力。
- 用户可能缺少在权限规则中的某一内容级别(例如工作簿)允许的能力,原因是另一个内容级别(例如视图)拒绝了该能力。
评估权限规则
Tableau 中的权限是限制性的。除非将能力授予用户,否则将拒绝用户的权限。以下逻辑评估某项能力对于某个人是允许还是拒绝:
- 站点角色:如果站点角色不允许某项能力,则会拒绝用户。如果用户的站点角色允许该能力,则会评估特定用户方案。
- 例如,Viewer(查看者)站点角色无法进行 Web 编辑。有关每个站点角色可执行的操作的详细信息,请参见允许每个站点角色所具有的一般能力。
- 特定用户方案:
- 如果用户是管理员,则他们对所有内容具有所有能力。
- 如果用户是项目所有者或项目主管,则他们对其项目中的所有内容具有所有能力。
- 如果用户是内容所有者,则他们对自己的内容具有所有能力。
- 如果这些方案不适用于用户,则评估用户规则。
*例外情况:在权限已锁定的项目中,内容所有者将没有“设置权限”能力。只有管理员、项目所有者和项目主管才能在锁定的项目中设置权限规则。
- 用户规则:如果拒绝用户使用某项能力,则拒绝该能力。如果允许用户使用某项能力,则允许该能力。如果能力为未指定,则评估组规则。
- 组规则:如果拒绝任何组中的用户使用某项能力,则拒绝该能力。如果用户在允许某项能力的组中(并且不在拒绝该能力的任何组中),则允许该能力。
- 也就是说,如果用户是两个组中的成员,其中一个组被允许拥有某项能力,另一个组被拒绝拥有同一能力,则拒绝行为对于该用户为优先行为,并且用户会被拒绝。
- 组集规则:如果用户是组集中某个组的成员,则组集中任何被拒绝功能的组都将被拒绝。
- 如果以上条件都不适用,则拒绝用户拥有该能力。实际上,这意味着保留为未指定的能力将导致被拒绝。
因此,在三种情况下会出现“已允许”最终有效权限:
- 被站点角色(服务器管理员、站点管理员 Creator、站点管理员 Explorer)允许
- 由于用户是内容所有者、项目所有者或项目主管而被允许
- 被组、组集或用户规则允许(并且未被更高优先级的规则拒绝)
在三种情况下会出现“已拒绝”:
- 被站点角色拒绝
- 被规则拒绝(并且未被更高优先级的规则允许)
- 未由任何规则授予
评估在多个级别设置的权限
如果“资产权限”设置为“可自定义”,则可以在多个地方配置权限规则。有一些用于确定对内容应用什么权限的特定规则。
- 如果存在嵌套项目,则在子级别设置的权限优先于在父级别设置的权限。
- 不会为现有内容强制实施在项目级别权对权限进行的更改。
- 如果在发布期间或发布后对内容(工作簿、数据源或流程)设置了权限,则这些权限优先于在项目级别设置的规则。
- 如果工作簿未显示工作表标签,则对项目级别权限所做的任何更改将不会由视图继承,并且任何权限更改必须在视图上完成。
- 将工作簿配置为显示导航工作表标签将覆盖现有视图级别权限,并将其与工作簿级别权限同步。请参见显示或隐藏工作表标签。
视图的权限
在未处于锁定项目中并且不将工作表显示为用于导航的标签的工作簿中,视图(工作表、仪表板、故事)在发布时会继承工作簿权限,但必须对单独的视图进行任何权限规则更改。“查看”能力与适用于工作簿的那些能力相同,但“覆盖”、“下载工作簿/保存副本”和“移动”除外,这些能力仅在工作簿级别可用。
建议尽可能显示导航工作表标签以便视图继续从工作簿继承其权限。有关详细信息,请参见显示或隐藏工作表标签。