【全员角色】的妙用，全员自动化：设置单据字段默认无权查看和编辑，除非管理员特别授权；以及自动授予新员工费用报销权限。

哈喽，小伙伴们，大家好啊！对，又是我，今天呢，我来分享一下，在金蝶云星空系统中，灵活运用[全员角色]与字段权限的实践技巧。希望大家能喜欢哦。

1 业务背景及需求说明

1.1 业务背景

（1）字段授权全员自动化及特权处理：自动屏蔽所有用户及后续新用户的单据字段查看或编辑权限，同时允许管理员针对部分特权用户解除屏蔽。例如，某张业务单据上有敏感字段，需要批量设置系统所有用户均不允许查看或编辑，而后续新增的系统用户，也需要自动设置字段不允许查看或编辑。同时，企业部分特权用户允许对敏感字段进行查看或编辑，需要支持管理员授权对特权用户开放敏感字段的查看或编辑。

（2）功能授权全员自动化：针对几乎所有用户都需要使用到的功能， 自动对系统所有用户及后续新增用户进行[业务对象功能授权]。最常见的例子，就如费用申请单、费用报销单。

本文将描述如何实现以上两点需求，重点讲述“字段授权全员自动化及特权处理”需求的实现，通过对该需求实现过程的解读，看官老爷们也将能够掌握“功能授权全员自动化”需求的实现方法。

2 效果展示及应用说明

还是要先给大伙儿展示一下最终实现效果，得勾起看官老爷的兴趣，以下是效果展示动图GIF（鼠标点击可放大）：

2.1所有人屏蔽客户字段查看权限

2.2 部分人给予客户字段查看特权

2.3 收回部分人的客户字段查看特权

3 实现步骤

3.1 总体思路

利用系统【全员角色】+授予字段[禁止]权限，即可实现需求。

3.1.1 核心原理（先仔细看完并且确定已理解）

详细说明请点击： 字段授权 - 金蝶云产品手册

3.1.2 核心原理重点说明（先仔细看完并且确定已理解）

如果你已经理解了以上截图。那么，当我们需要默认屏蔽掉某些敏感字段的查看权限时，我们只需要把所有用户都加入到[全员角色]中；然后，再通过系统的《字段授权》功能，把单据上某些敏感字段的[禁止]权限授予给[全员角色]，只需要如此设置，所有人都会被[禁止]查看敏感字段了。

这里有点反直觉，请务必正确理解，本文所展示的案例，其实就是【通过给[全员角色]授予某些字段的[禁止]权限，再把所有用户加入到[全员角色]中】来实现的。当我们还需要屏蔽某些敏感字段的编辑权限时，原理是一致的，请看官老爷们举一反三。

最后，当我们需要允许部分特权用户，允许他们查看和编辑已经被默认屏蔽的敏感字段时，只需要把这些特权用户从[全员角色]中移除，就可以满足需求了。

至于实现“自动化”，以尽量减少管理员后续手工操作的工作量，在下方的实现步骤中有讲到，请关注。此外，在本文最末尾，还提到了“当1个[全员角色]不够用时”的解决方案，结合我提供的《用户》表单插件，再给角色编码定为成指定前辍，即可实现。

3.2 实现步骤

3.2.1 “未来新增云星空用户，自动加入[全员角色]中”的设置方法：

步骤1：先解决掉金蝶[全员角色]的小BUG，BUG描述请见以下两张截图：

注：产品经理已经知道此问题了，说下个版本会修复。各位看官还遭遇这样的问题，自助解决BUG的操作方法，请参见以下动图，按动图操作即可解决（鼠标点击可放大）：    

步骤2：正经开始设置“新增的金蝶云星空系统用户，自动加入全员角色”

操作路径：administrator登录系统>>查询角色>>查询并打开【全员角色】>>再点开右上角的[选项]>>勾选[自动新增全员角色]>>保存。具体操作如下（鼠标点击可放大）：

3.2.2“将云星空系统当前全部的用户，批量加入到[全员角色]中”的设置方法：

请按以下动图仔细操作（鼠标点击可放大）：  

3.2.3“通过《字段授权》功能，禁止[全员角色]某些字段的查看和编辑权限”的设置方法：

请按以下两张动图仔细操作（鼠标点击可放大）：  

效果如下：

3.3.3“通过批量移除部分特权用户的[全员角色]，来实现字段查看和编辑特权”的设置方法：

请按以下动图仔细操作（鼠标点击可放大）： 

       截图+文字进一步辅助说明： 

4 注意事项

1、给[全员角色]进行《业务对象功能授权》，授予费用报销单、费用申请单等费用报销模块常用单据的增删改查提交审核的权限，即可实现本文开头提到的1.2点需求。这是系统管理员一项最常规操作，有手就行，本文就不再赘述了。

2、文尾附件为本人录制的视频教程，结合本文食用，会更加直观易懂。

3、文尾附件《视频下：全员角色的妙用。外加附送自定义全员角色插件.zip》中，有我给看官老爷们的惊喜献礼。关键词是“人为再造几个自定义的类似于全员角色的角色，解决一个全员角色不够用的问题”：

（1）把我写的插件DLL【ZSB.UserAndRoleManageExtendPlugIn.dll(用户新增时自动添加编码前辍为ZSB_AutoAddRole_”的角色)】覆盖到金蝶云星空服务端……\K3Cloud\WebSite\bin目录；在BOSIDE找到《用户》业务对象（它的唯一标识是SEC_User_ERP），扩展《用户》，找到[表单插件]选项，注册我写的表单插件，记得保存。最后，重启IIS。

（2）看官老爷们现在可以自定义类似于全员角色的角色了，角色的编码前辍一定要是【ZSB_AutoAddRole_】开头，只要满足这个条件，当你们新增用户时，这些前辍的角色，也会像[全员角色]那样，自动添加到用户的角色列表中。