Windchill 权限介绍

1、Windchill 权限介绍权限介绍站点、组织、产品权限层级站点、组织、产品权限层级站点组织产品/存储库/(Root)DemoProjectPDM华为华为ProjectPDMSystemDefaultPrivateDefaultFolder核心网产品线核心网产品线Folder在列表筐中显示的是Windchill系统中的域，以树状结构显示，每个域接点分为：域名和显示名称，例如：Default(站点) 域名：Default，显示名称：站点 一般在Default、PDM、Project域中创建和修改访问控制规则；创建新的域，不推荐在非(Default、PDM、Project)域中创建新的域。更新存在

2、的域，同样不推荐更新非(Default、PDM、Project)域。权限权限l权限是由与对象相关联的一组规则定义的策略，它规定了承担者（何人）对权限是由与对象相关联的一组规则定义的策略，它规定了承担者（何人）对存储在特定区域（何处）并处于某阶段（何时）的存储在特定区域（何处）并处于某阶段（何时）的数据（何物）所拥有的各数据（何物）所拥有的各项操作功能及限制（项操作功能及限制（如何）如何） 权限权限l研发活动多以项目的形成展开，而项目的特征是具有一定的时间性，各成员研发活动多以项目的形成展开，而项目的特征是具有一定的时间性，各成员是阶段性的参与项目（灵活的进行访问策略的授予和收回）是阶段性的参与

3、项目（灵活的进行访问策略的授予和收回）l研发活动所积累的知识和经验需要得到继承和传递，后期的研发需要对历史研发活动所积累的知识和经验需要得到继承和传递，后期的研发需要对历史的经验进行参考和借鉴（充分的进行共享、传播）的经验进行参考和借鉴（充分的进行共享、传播）l研发管理追求过程一致性，保证活动研发管理追求过程一致性，保证活动可以得到重复执行可以得到重复执行（各岗位职责（而非（各岗位职责（而非人员的职责）需要清晰的定义和固化）人员的职责）需要清晰的定义和固化）l基于基于B/S架构的各信息系统，用户只需通过架构的各信息系统，用户只需通过IE即可实现对服务器进行访问。即可实现对服务器进行访问。结果可

4、以便捷的访问系统，同时也造成了对安全控制更高要求（非法区域登结果可以便捷的访问系统，同时也造成了对安全控制更高要求（非法区域登陆、下载、打印陆、下载、打印） 访问控制策略访问控制策略l为了确保适当的承担者能够对所需的对象进行恰当的访问，必须定义一些规为了确保适当的承担者能够对所需的对象进行恰当的访问，必须定义一些规则。则。Windchill系统提供了丰富的权限定义方式和规则组合，能够方便、快捷系统提供了丰富的权限定义方式和规则组合，能够方便、快捷对各种对象进行细化的权限配置。对各种对象进行细化的权限配置。 部件 成品 CAD文档 文档 文件夹 受管理的基线 问题报告 变更请求 企业变更通告 实

5、施计划 容器（库）Windchill系系统统受受权权限管理的限管理的对对象列表，上述象列表，上述对对象所衍生的象所衍生的软类软类型同型同样样可可进进行行权权限的控制限的控制访问控制策略访问控制策略lWindchill系统系统提供了非常精细的权限操作功能，能够对各类型的对象进行灵提供了非常精细的权限操作功能，能够对各类型的对象进行灵活、便捷的权限控制活、便捷的权限控制并非所有的并非所有的权权限控制功能都适用于全部的限控制功能都适用于全部的对对象象类类型，例如型，例如“ “下下载载” ”权权限是用于限是用于将将对对象的象的实实体内容下体内容下载载到用到用户户本地的操作功能，而部件本地的操作功能，而

6、部件类类型的型的对对象是通象是通过过一一组组属性来描述零部件特征，它本身并没有属性来描述零部件特征，它本身并没有实实体内容可供下体内容可供下载查载查看，所以看，所以“ “下下载载” ”权权限不适用于部件限不适用于部件类类型型 C_创建 R_读取 M_修改 D_删除 L_下载 X_修订 P_升级 S_设置状态 OC_修改内容 CD_变更域 CB_通过移动创建 CC_变更上下文 OI_修改标识 A_管理 NV_新建视图版本 CE_变更权限访问控制策略访问控制策略l权权限合并限合并计计算：算：在企在企业岗业岗位位设设置中，通置中，通过过会由一个用会由一个用户户担任多个担任多个职责职责或属于多或属于多

7、个个组组，所以他所，所以他所拥拥有的有的权权限会限会发发生重叠、合并生重叠、合并权权限合并限合并计计算算过过程中遵循程中遵循谨谨慎原慎原则则，以拒，以拒绝权绝权限限为优为优先先如果未定如果未定义义的的权权限，默限，默认为认为拒拒绝绝用户用户组组1 权限权限组组2 权限权限组组3 权限权限最终权限最终权限备注备注张工张工C、R、MC、R、MC、R、M一般情况下权限按并一般情况下权限按并集进行赋予集进行赋予杨工杨工R、M、DC、R、-(D)R、DC、R、M拒绝权限优于正向权拒绝权限优于正向权限限李工李工R、M-(M)R拒绝权限优于正向权拒绝权限优于正向权限限访问控制策略访问控制策略通常根据授权对象

8、类型及授权方式的不同，通过将权限归纳为通常根据授权对象类型及授权方式的不同，通过将权限归纳为静态权限和动态静态权限和动态权限二大类权限二大类：u 静态权限静态权限在系统的策略管理器对域进行授权在系统的策略管理器对域进行授权 ，可以按类型进行批量的权，可以按类型进行批量的权限授予。在创建容器（或文件夹）时选择已定义权限的域，承担者在容器内限授予。在创建容器（或文件夹）时选择已定义权限的域，承担者在容器内就能够继承预先所定义的权限规则；就能够继承预先所定义的权限规则；u 动态权限动态权限通过对生命周期（或工作流）进行授权，当生命周期状态到达通过对生命周期（或工作流）进行授权，当生命周期状态到达预定

9、阶段时权限被自动授予给承担者，当生命周期状态状态发生变更后权限预定阶段时权限被自动授予给承担者，当生命周期状态状态发生变更后权限被自动中止；被自动中止；静静态态与与动态权动态权限限发发生重叠、全并生重叠、全并时时，遵循，遵循动态权动态权限限优优于静于静态权态权限的原限的原则则动态权动态权限（工作流程限（工作流程权权限）限）动态权动态权限（生命周期限（生命周期） ）静静态权态权限（域限（域权权限限） ）静态权限静态权限控制静态权限控制静态权限控制方式是对域进行访问控制、通知策略、索引建立规则实现的。域静态权限控制方式是对域进行访问控制、通知策略、索引建立规则实现的。域与特定的上下文级别相关联，在

10、创建上下文的同时也会生成一个对应的域，即与特定的上下文级别相关联，在创建上下文的同时也会生成一个对应的域，即每个上下文都可以拥有自己的域和域策略。其中子项域会继承父项域的策略，每个上下文都可以拥有自己的域和域策略。其中子项域会继承父项域的策略，包括根级别的初始策略及组织层域的策略：包括根级别的初始策略及组织层域的策略：站点组织产品/存储库/(Root)DemoProjectPDM华为华为ProjectPDMSystemDefaultPrivateDefaultFolder核心网产品线核心网产品线Folder静态权限控制静态权限控制根据企业岗位职责分工、组织形式等因素，静态权限静态权限控制可以分

11、为根据企业岗位职责分工、组织形式等因素，静态权限静态权限控制可以分为对组织（组）授权、对容器授权（角色对组织（组）授权、对容器授权（角色）、对文件夹授权三种模式）、对文件夹授权三种模式:通通过过我我们们建建议议在在组织层组织层或容器或容器层进层进行域策略的控制行域策略的控制站点组织产品/存储库/(Root)DemoProjectPDM华为华为ProjectPDMSystemDefaultPrivateDefaultFolder核心网产品线核心网产品线Folder静态权限控制静态权限控制_组组对组授权：对组授权：预先在策略管理器中对组织层（对组预先在策略管理器中对组织层（对组）进行权限的定制和分

12、配）进行权限的定制和分配+在组织按组对成在组织按组对成员进行划分，创建容器时选择继承组织域并在容器团队中维护成员（不需对应员进行划分，创建容器时选择继承组织域并在容器团队中维护成员（不需对应到具体的角色或组，只需添加为成员即可），成员即可拥有预选所定义的权限到具体的角色或组，只需添加为成员即可），成员即可拥有预选所定义的权限规则；规则；适用情况：按职能领域（横向适用情况：按职能领域（横向）分工，各岗位职责定义）分工，各岗位职责定义较清晰（一个成员通常较清晰（一个成员通常只会属于一个角色，而同一个角色会有多个成员），规模比较大，成员同时参只会属于一个角色，而同一个角色会有多个成员），规模比较大，

13、成员同时参与的项目较多；与的项目较多；优点：优点：当需要对权限策略进行定义（调整）时，只需要在组织层进行一次调整，当需要对权限策略进行定义（调整）时，只需要在组织层进行一次调整，各容器就能够获取权限策略，简便易于维护各容器就能够获取权限策略，简便易于维护；缺点：由于缺点：由于Windchill9.0及以后版本的工作流程采用自动解析团队成员的方式，及以后版本的工作流程采用自动解析团队成员的方式，如果在组织如果在组织组中维护了成员还需要在容器团队中再维护一次（否则流程无法解组中维护了成员还需要在容器团队中再维护一次（否则流程无法解析到所需的评审成员），造成重复工作；析到所需的评审成员），造成重复工

14、作；如果启如果启动动自自动动搜索成搜索成员员的方式添加的方式添加评审评审活活动动的参与者，可以考的参与者，可以考虑虑此种此种权权限控制限控制方式方式静态权限控制静态权限控制_角色角色对角色授权：对角色授权：利用利用OOTB模板模板预先创建一个模板容器，在策略管理器中对模板容器上下文（角预先创建一个模板容器，在策略管理器中对模板容器上下文（角色色）进行权限的定制和分配，将模板容器另存为容器模板。创建容器时选择容）进行权限的定制和分配，将模板容器另存为容器模板。创建容器时选择容器模板，并在新创建的容器团队按角色维护成员，成员即可拥有预选所定义的器模板，并在新创建的容器团队按角色维护成员，成员即可拥

15、有预选所定义的权限规则；权限规则；适用情况：按职能领域（横向适用情况：按职能领域（横向）分工不足，同一个成员会承担多个岗位职责）分工不足，同一个成员会承担多个岗位职责（一个成员通常会属于多个角色，而同一个角色会有多个成员）（一个成员通常会属于多个角色，而同一个角色会有多个成员），规模不大，规模不大，成员同时参与的项目较少；成员同时参与的项目较少；优点：适应优点：适应Windchill9.0及以后版本工作流程中自动解析团队成员的方式，维及以后版本工作流程中自动解析团队成员的方式，维护团队较简便、快捷护团队较简便、快捷；缺点：当需要对权限策略进行调整（追加）时，需要为每个已创建的容器进行缺点：当需

16、要对权限策略进行调整（追加）时，需要为每个已创建的容器进行权限的调整，工作量繁重且容易遗漏权限的调整，工作量繁重且容易遗漏；考考虑虑到已到已实现实现了客制化开了客制化开发进发进行行权权限的替限的替换换和和导导入，此种入，此种权权限控制方式的缺点限控制方式的缺点可以忽略不可以忽略不计计，重点推荐此种方式，重点推荐此种方式静态权限控制静态权限控制_文件夹文件夹对文件夹授权：对文件夹授权：创建一个新的域，参考对角色授权的方式创建域策略。利用创建一个新的域，参考对角色授权的方式创建域策略。利用OOTB模板模板预先创建预先创建一个模板容器，在模板容器中创建文件夹并选择预先定义的域，再一个模板容器，在模板

17、容器中创建文件夹并选择预先定义的域，再将模板容器将模板容器另存为容器模板另存为容器模板 （可同时创建多个域并维护多个不同的域策略，以便可以创建（可同时创建多个域并维护多个不同的域策略，以便可以创建多个类型文件夹多个类型文件夹） 。创建容器时选择容器模板，并在新创建的容器团队按角色。创建容器时选择容器模板，并在新创建的容器团队按角色维护成员，即可实现文件夹权限的控制（例如机械文件夹只能创建机械图纸类维护成员，即可实现文件夹权限的控制（例如机械文件夹只能创建机械图纸类的文档，而电子文件夹只能存放原理图、的文档，而电子文件夹只能存放原理图、PCB图）；图）；适用情况：需要按文件夹来规划存储区域和权限

18、，安全级别要求比较高；适用情况：需要按文件夹来规划存储区域和权限，安全级别要求比较高；优点：实现对数据存储和权限精细的控制，满足严格的权限控制要求；优点：实现对数据存储和权限精细的控制，满足严格的权限控制要求；缺点：权限下定义的过程较复杂，发生变更时维护工作量较大缺点：权限下定义的过程较复杂，发生变更时维护工作量较大；除非客除非客户户能明确、固化能明确、固化权权限限规则规则，否，否则则不建不建议议采用此种采用此种权权限管理方式限管理方式静态权限配置静态权限配置在上下文域在上下文域中对角色进行权限的授予中对角色进行权限的授予选择授权的对象为文档类型100选择授权的对象的生命周期状态为正在工作指定

19、权限的承担者为质量工程师角色给予的权限为创建只给予创建权限，而不给予更高的权限，如修改、删除静态权限配置静态权限配置检查已配置好的权限检查已配置好的权限域策略中可以看到承担者质量工程师拥有对100类型文档正在工作状态时创建的权限练习一 静态权限1. 新建产品库，然后在产品团队中增加“设计工程师”，“测试工程师”两个角色，在域策略中为测试工程师配置对WTPart对象的“只读”权限，对“设计工程师”配置对Wtpart对象的“创建，读，修改”权限，然后分别用这两个角色的用户登录系统，观察在改产品库下有什么不同2. 用户用户设计组权限设计组权限评审组权限评审组权限协同设计协同设计组组 权限权限最终权限

20、最终权限备注备注张工张工C、R、MC、R、MC、R、M一般情况下权限按并一般情况下权限按并集进行赋予集进行赋予杨工杨工R、M、DC、R、-(D)R、DC、R、M拒绝权限优于正向权拒绝权限优于正向权限限李工李工R、M-(M)R拒绝权限优于正向权拒绝权限优于正向权限限在系统中按下表创建“张工，杨工，李工”三个用户和“设计组，评审组，协同设计组”三个组，并创建如下针对Wtdocument对象的权限，然后观察三个组权限综合后的最终权限有什么特点？动态权限动态权限控制动态权限控制动态权限控制方式根据实现方式的不同，可分为工作流动态权限和生命周期动动态权限控制方式根据实现方式的不同，可分为工作流动态权限和

21、生命周期动态权限控制二种模式，而生命周期权限又可细分为转变条件和访问控制二个部态权限控制二种模式，而生命周期权限又可细分为转变条件和访问控制二个部分组成：分组成：选择“站点(组织、产品，存储库)”下的“实用程序”下的“生命周期管理器”；创建、更新或者查看生命周期模板； 动态权限动态权限-基于生命周期的访问控制策略基于生命周期的访问控制策略1、如果生命周期的类型为“基本”，应该改为“高级”；2、选择状态，例如：“原型”，选择“角色”，将需要指定权限的角色从 “可用角色” 添加到 ”选定角色“动态权限动态权限-基于生命周期的访问控制策略基于生命周期的访问控制策略选择“访问控制”选项卡，在“选定角色

22、”中就出现了在“角色”选项卡中选定的角色，分别为这些角色指定权限(权限的定义和前面的一样)，被添加进的角色默认具有“读取”权限。动态权限动态权限-基于生命周期的访问控制策略基于生命周期的访问控制策略动态权限控制动态权限控制动态权限控制方式根据实现方式的不同，可分为工作流动态权限和生命周期动动态权限控制方式根据实现方式的不同，可分为工作流动态权限和生命周期动态权限控制二种模式，而生命周期权限又可细分为转变条件和访问控制二个部态权限控制二种模式，而生命周期权限又可细分为转变条件和访问控制二个部分组成：分组成：比较从建立访问控制规则的两中方式可以看出，它们有一些差异： 基于域建立访问控制规则：它可以分别为“组”、“用户”、“角色”、“组织”建立访问控制规则，但是角色必须要被添加进团队，在建立访问控制规则是需要指定对象类型； 基于生命周期建立访问控制规则：它只能够为角色指定访问控制规则，角色不一定