系统管理员手册 - 组织架构配置

本章节指导系统管理员配置企业的组织架构，包括部门结构、角色权限和用户账号管理。

---

1.1 部门结构设置

部门是数据权限控制的基础单位，合理的部门结构有助于权限管理和数据隔离。

访问路径

系统管理 → 组织架构 → 部门管理

前端路由: /auth/dept

为什么需要设置部门

• 数据权限控制：不同部门只能看到自己部门的数据
• 组织结构清晰：反映企业真实的组织架构
• 便于管理：按部门管理用户和权限
• 统计分析：按部门统计业绩和数据

创建部门

步骤1：创建顶级部门

1. 进入部门管理页面
2. 点击页面右上角的 "新增部门" 按钮
3. 在弹出的对话框中填写部门信息

必填信息：

字段	说明	示例
部门名称	部门的显示名称	销售部
部门标识	英文标识（创建后不可修改）	sales_dept
上级部门	顶级部门选择"无"	无
排序	显示顺序，数字越小越靠前	1

可选信息：

字段	说明	示例
负责人	部门负责人（从用户列表选择）	张经理
联系电话	部门联系方式	021-12345678
邮箱	部门邮箱	sales@company.com

4. 点击 "确定" 保存

步骤2：创建子部门

1. 在部门列表中，找到父部门
2. 点击父部门行的 "新增子部门" 按钮
3. 填写子部门信息（同上）
4. 上级部门 会自动填充为父部门
5. 点击 "确定" 保存

部门结构示例

建议根据企业实际情况创建部门结构，以下是典型示例：

公司总部
│
├── 销售部 (sales_dept)
│   ├── 华东区销售 (sales_east)
│   ├── 华南区销售 (sales_south)
│   └── 华北区销售 (sales_north)
│
├── 市场部 (marketing_dept)
│   ├── 品牌市场 (marketing_brand)
│   └── 数字营销 (marketing_digital)
│
├── 技术部 (tech_dept)
│   ├── 研发组 (tech_rd)
│   └── 运维组 (tech_ops)
│
├── 培训部 (training_dept)
│   ├── 课程研发 (training_course)
│   └── 讲师管理 (training_teacher)
│
└── 行政部 (admin_dept)
    ├── 人事 (admin_hr)
    └── 财务 (admin_finance)

管理部门

编辑部门

1. 在部门列表中找到要编辑的部门
2. 点击操作列的 "编辑" 按钮
3. 修改部门信息
4. 点击 "确定" 保存

⚠️ 注意：部门标识创建后不可修改

删除部门

1. 找到要删除的部门
2. 点击操作列的 "删除" 按钮
3. 确认删除

⚠️ 删除前必须满足：

• 该部门下没有子部门
• 该部门下没有用户（需要先转移用户）
• 该部门没有被角色的数据权限引用

调整部门顺序

1. 在部门列表中，找到要调整的部门
2. 点击 "编辑" 按钮
3. 修改 "排序" 字段的数值
4. 数字越小，显示越靠前
5. 保存

最佳实践

部门层级建议：

• ✅ 建议：2-3 层
• ⚠️ 可接受：4 层
• ❌ 不推荐：5 层以上（会导致权限管理复杂）

部门标识命名规范：

• 使用英文小写字母
• 多个单词用下划线连接
• 示例：sales_dept、marketing_digital

部门负责人设置：

• 建议为每个部门设置负责人
• 负责人通常具有该部门的"本部门及以下"数据权限

---

1.2 角色权限配置

角色是权限的载体，通过角色可以批量管理用户的功能权限和数据权限。

访问路径

系统管理 → 权限管理 → 角色管理

前端路由: /auth/role

角色的作用

• 批量授权：一次配置，多个用户共享
• 权限分离：不同角色有不同的功能和数据访问权限
• 灵活组合：一个用户可以拥有多个角色
• 易于管理：修改角色权限，所有拥有该角色的用户同步生效

角色类型

系统支持两种角色：

类型	说明	特点
超级管理员角色	is_admin=True	拥有所有权限，可以管理所有数据
普通角色	is_admin=False	根据配置拥有特定权限

⚠️ 重要：系统中至少保留一个超级管理员角色

创建角色

步骤1：基本信息配置

1. 进入角色管理页面
2. 点击 "新增角色" 按钮
3. 填写基本信息

必填字段：

字段	说明	示例
角色名称	显示名称	销售员
权限字符	唯一标识（英文）	sales_staff
是否超级管理员	是否拥有所有权限	否（普通角色勾选"否"）
排序	显示顺序	10
状态	启用/禁用	启用

可选字段：

字段	说明	示例
备注	角色说明	负责日常销售工作的员工

步骤2：配置数据权限范围

数据权限范围决定角色可以看到哪些数据。

范围等级	名称	说明	适用场景
0	仅本人数据	只能看到自己创建/负责的数据	普通员工
1	本部门数据	可以看到本部门所有人的数据	部门成员
2	本部门及以下	可以看到本部门和下级部门的数据	部门经理
3	自定义部门	可以看到指定部门的数据	跨部门协作
4	全部数据	可以看到所有数据	总监、VP

选择建议：

公司组织架构：
├── 销售总监 → 数据范围：4（全部数据）
├── 销售部经理 → 数据范围：2（本部门及以下）
├── 华东区主管 → 数据范围：1（本部门数据）
└── 销售员 → 数据范围：0（仅本人数据）

步骤3：配置数据操作权限

数据操作权限控制对数据可以执行哪些操作。

权限值	权限	可执行操作
1	只读	查看数据列表、查看详情
2	编辑	修改数据
4	删除	删除数据
3	读+编辑	查看和修改（推荐）
7	全部权限	查看、修改、删除（管理员）

常见组合：

• 普通员工：3（读+编辑）- 可以管理自己的数据
• 部门经理：7（全部权限）- 可以管理部门数据
• 审计人员：1（只读）- 只能查看数据

步骤4：分配菜单权限

勾选该角色可以访问的菜单和功能。

菜单权限示例：

☑ CRM管理
  ☑ 企业管理
    ☑ 企业列表 (crm.company.list)
    ☑ 创建企业 (crm.company.create)
    ☑ 编辑企业 (crm.company.update)
    ☐ 删除企业 (crm.company.delete) ← 不勾选，销售员不能删除
  ☑ 客户管理
    ☑ 客户列表 (crm.customer.list)
    ☑ 创建客户 (crm.customer.create)
    ☑ 客户跟进 (crm.customer.follow)
    ☑ 客户编辑 (crm.customer.update)
  ☑ 线索管理
    ☑ 线索列表 (crm.clue.list)
    ☑ 创建线索 (crm.clue.create)
    ☑ 线索转化 (crm.clue.transform) ← 核心权限
  ☑ 商机管理
    ☑ 商机列表 (crm.business.list)
    ☑ 商机编辑 (crm.business.update)
    ☑ 商机绑定客户 (crm.business.bind_customer) ← 核心权限

权限分配建议：

• 勾选整个模块：该角色可以访问模块下所有功能
• 勾选部分功能：精细化控制，只授予必要权限
• 遵循最小权限原则：只给必需的权限

步骤5：分配部门权限（仅等级3需要）

如果数据权限范围选择了 "3 - 自定义部门"，需要指定可访问的部门。

1. 在角色编辑页面，找到 "部门权限" 区域
2. 勾选该角色可以访问的部门
3. 为每个部门设置操作权限：
   • 只读（1）
   • 读+编辑（3）
   • 全部权限（7）
4. 保存

应用场景：跨部门协作角色

示例：方案支持角色
- 数据权限范围：3（自定义部门）
- 可访问部门：
  ☑ 销售部 - 只读（1）
  ☑ 培训部 - 读+编辑（3）
  ☑ 技术部 - 只读（1）
- 用途：可以查看销售部的商机，为培训部提供方案支持

步骤6：保存角色

点击 "确定" 保存角色配置。

常用角色配置示例

示例1：销售员

角色名称：销售员
权限字符：sales_staff
是否超级管理员：否

数据权限：
- 数据范围：0（仅本人数据）
- 操作权限：7（全部权限）

菜单权限：
☑ 工作台
☑ CRM管理
  ☑ 企业管理（增删改查）
  ☑ 客户管理（增删改查）
  ☑ 线索管理（增删改查、转化）
  ☑ 商机管理（增删改查、绑定客户）
  ☑ 跟进记录（增删改查）
  ☐ 合同管理（只读）
☑ 智能体管理
  ☑ 我的应用（使用AI应用）
☑ 文档管理（查看、上传）
☑ 任务链管理
  ☑ 我的任务（执行任务）

示例2：销售经理

角色名称：销售经理
权限字符：sales_manager
是否超级管理员：否

数据权限：
- 数据范围：2（本部门及以下）
- 操作权限：7（全部权限）

菜单权限：
☑ 工作台
☑ CRM管理（全部功能）
  ☑ 统计分析（查看报表）
☑ 智能体管理
  ☑ 应用管理（配置应用）
  ☑ 我的应用（使用应用）
☑ 文档管理（全部功能）
☑ 任务链管理
  ☑ 任务链（创建、分配）
  ☑ 我的任务（执行）

示例3：AI应用管理员

角色名称：AI应用管理员
权限字符：ai_admin
是否超级管理员：否

数据权限：
- 数据范围：4（全部数据）
- 操作权限：7（全部权限）

菜单权限：
☑ 智能体管理（全部功能）
  ☑ 应用管理
  ☑ 应用分组
  ☑ 应用分配
  ☑ 知识库管理
☑ 文档管理（全部功能）
☐ CRM管理（不需要）

示例4：培训讲师

角色名称：培训讲师
权限字符：trainer
是否超级管理员：否

数据权限：
- 数据范围：0（仅本人数据）
- 操作权限：3（读+编辑）

菜单权限：
☑ 工作台
☑ 智能体管理
  ☑ 我的应用（使用课程生成器等AI应用）
☑ 文档管理（查看培训文档、上传课件）
☑ 任务链管理
  ☑ 我的任务（执行培训任务）
☐ CRM管理（不需要）

管理角色

编辑角色

1. 在角色列表中找到要编辑的角色
2. 点击 "编辑" 按钮
3. 修改角色配置
4. 保存

⚠️ 注意：角色权限修改后，所有拥有该角色的用户权限立即生效

禁用角色

1. 找到要禁用的角色
2. 点击 "禁用" 按钮
3. 确认禁用

禁用后：

• 用户不再拥有该角色的权限
• 但角色配置保留，可以随时重新启用

删除角色

1. 找到要删除的角色
2. 点击 "删除" 按钮
3. 确认删除

⚠️ 删除前必须满足：

• 该角色没有被用户使用
• 不是超级管理员角色（至少保留一个）

最佳实践

角色设计原则：

1. 按职能划分：根据工作职能创建角色（如：销售员、经理）
2. 最小权限：只给必要的权限，不给额外权限
3. 分层管理：基层、中层、高层权限分级
4. 避免过度细分：角色不宜过多（建议5-10个）

权限分配建议：

高层（总监/VP）
├── 数据范围：4（全部数据）
└── 操作权限：7（全部权限）

中层（部门经理）
├── 数据范围：2（本部门及以下）
└── 操作权限：7（全部权限）

基层（员工）
├── 数据范围：0（仅本人）或 1（本部门）
└── 操作权限：3（读+编辑）或 7（全部）

---

1.3 用户账号管理

用户账号是系统访问的基础，每个使用系统的人都需要一个账号。

访问路径

系统管理 → 用户管理 → 用户列表

前端路由: /auth/user

创建用户

步骤1：填写基本信息

1. 进入用户管理页面
2. 点击 "新增用户" 按钮
3. 填写用户信息

必填字段：

字段	说明	注意事项
姓名	用户真实姓名	中文全名
手机号	登录账号	必须唯一，用于登录
邮箱	用户邮箱	可用于找回密码
初始密码	首次登录密码	建议首次登录后修改

可选字段：

字段	说明	示例
昵称	显示名称	张三
性别	男/女	男
头像	用户头像图片	上传图片

步骤2：分配部门

1. 在 "所属部门" 区域
2. 勾选用户所属的部门
3. 一个用户可以属于多个部门

部门分配说明：

• 至少选择一个部门
• 多部门用户会继承所有部门的权限
• 数据权限范围为"本部门"时，会看到所有所属部门的数据

示例：

用户：张三
部门：☑ 销售部
     ☑ 市场部（兼职）

结果：张三可以看到销售部和市场部的数据

步骤3：分配角色

1. 在 "角色" 区域
2. 勾选用户的角色
3. 一个用户可以有多个角色

角色分配说明：

• 至少选择一个角色
• 多角色用户的权限 = 所有角色权限的并集
• 数据权围取最大值

示例：

用户：李四
角色：☑ 销售员（数据范围：0 - 仅本人）
     ☑ 培训讲师（数据范围：1 - 本部门）

结果：李四的数据范围 = 1（本部门）- 取最大值
     李四的菜单权限 = 销售员权限 + 讲师权限的并集

步骤4：设置状态

字段	说明	选项
是否激活	控制能否登录	是/否
是否为员工	标记员工身份	是/否

⚠️ 注意：只有"是否激活"设为"是"的用户才能登录系统

步骤5：保存

点击 "确定" 创建用户。

创建成功后：

• 用户可以使用手机号 + 初始密码登录
• 建议通知用户首次登录后修改密码

管理用户

编辑用户信息

1. 在用户列表中找到要编辑的用户
2. 点击 "编辑" 按钮
3. 修改用户信息、部门、角色
4. 保存

重置密码

用户忘记密码时：

1. 找到该用户
2. 点击 "重置密码" 按钮
3. 系统生成新密码（或手动输入）
4. 确认重置
5. 将新密码告知用户

禁用用户

员工离职或临时停用账号：

1. 找到该用户
2. 点击 "禁用" 按钮
3. 确认禁用

禁用后：

• 用户无法登录系统
• 用户数据保留
• 可以随时重新启用

启用用户

重新启用已禁用的用户：

1. 找到被禁用的用户
2. 点击 "启用" 按钮
3. 确认启用

删除用户

⚠️ 谨慎操作：删除用户会影响数据统计

1. 找到要删除的用户
2. 点击 "删除" 按钮
3. 确认删除

删除后果：

• 用户账号被删除
• 用户创建的数据保留（但owner_user_id指向已删除用户）
• 无法恢复

建议：员工离职时使用"禁用"而非"删除"

批量操作

系统支持批量管理用户：

批量分配部门

1. 勾选多个用户
2. 点击 "批量分配部门" 按钮
3. 选择目标部门
4. 确认分配

批量分配角色

1. 勾选多个用户
2. 点击 "批量分配角色" 按钮
3. 选择目标角色
4. 确认分配

批量启用/禁用

1. 勾选多个用户
2. 点击 "批量启用" 或 "批量禁用" 按钮
3. 确认操作

批量导入用户

从Excel批量创建用户：

1. 点击 "导入用户" 按钮
2. 下载模板文件
3. 按模板填写用户信息
4. 上传填好的Excel文件
5. 系统校验并导入

模板字段：

• 姓名（必填）
• 手机号（必填）
• 邮箱（必填）
• 部门标识（必填）
• 角色标识（必填）
• 初始密码（可选，不填则系统生成）

查看用户登录记录

访问路径

系统管理 → 日志管理 → 登录日志

前端路由: /system/record/login

可查看信息：

• 登录时间
• 登录IP地址
• 登录设备
• 登录结果（成功/失败）
• 失败原因

用途：

• 审计用户登录行为
• 排查登录问题
• 发现异常登录

最佳实践

用户命名规范：

• 使用真实姓名
• 避免使用昵称或英文名（除非公司文化要求）

初始密码设置：

• 使用复杂密码（字母+数字+符号）
• 或统一使用简单密码（如：123456），要求首次登录修改

部门和角色分配：

• 新员工入职：立即创建账号并分配
• 员工调岗：及时更新部门和角色
• 员工离职：立即禁用账号

定期审查：

• 每季度审查用户列表
• 清理长期未登录的账号
• 检查权限配置是否合理

---

1.4 数据权限说明

理解数据权限的工作原理，有助于正确配置角色和排查权限问题。

数据权限如何工作

权限计算流程

用户访问数据（如：查看客户列表）
    ↓
系统获取用户的所有角色
    ↓
取所有角色中最大的 data_range（数据权限范围）
    ↓
根据 data_range 和用户所属部门，计算可访问的用户ID列表
    ↓
过滤数据：WHERE owner_user_id IN (可访问的用户ID列表)
    ↓
返回用户可以看到的数据

数据权限范围详解

范围 0：仅本人数据

计算规则：

可访问的用户ID = [当前用户ID]

示例：

用户：张三（ID=10）
角色：销售员（数据范围=0）
部门：销售部

可访问数据：
- 线索：WHERE owner_user_id = 10
- 商机：WHERE owner_user_id = 10
- 客户：WHERE owner_user_id = 10

结果：张三只能看到自己负责的线索、商机、客户

适用场景：普通员工，各管各的

范围 1：本部门数据

计算规则：

可访问的用户ID = [当前用户所在部门的所有用户ID]

示例：

用户：李四（ID=20）
角色：部门主管（数据范围=1）
部门：华东区销售（部门内有5个人：ID 20, 21, 22, 23, 24）

可访问数据：
- 线索：WHERE owner_user_id IN (20, 21, 22, 23, 24)
- 商机：WHERE owner_user_id IN (20, 21, 22, 23, 24)
- 客户：WHERE owner_user_id IN (20, 21, 22, 23, 24)

结果：李四可以看到华东区销售部所有人的数据

适用场景：部门主管、需要查看团队数据

范围 2：本部门及以下

计算规则：

可访问的用户ID = [当前用户所在部门 + 所有下级部门的所有用户ID]

示例：

用户：王五（ID=30）
角色：销售经理（数据范围=2）
部门：销售部
    ├── 华东区销售（5人）
    ├── 华南区销售（4人）
    └── 华北区销售（6人）

可访问的用户ID = 销售部全部人员（15人）

结果：王五可以看到销售部及下属所有区域的数据

适用场景：部门经理，管理整个部门

范围 3：自定义部门

计算规则：

可访问的用户ID = [角色配置的指定部门的所有用户ID]

示例：

用户：赵六（ID=40）
角色：方案支持（数据范围=3）
配置的部门：
  - 销售部（只读）
  - 培训部（读+编辑）

可访问的用户ID = 销售部所有人 + 培训部所有人

结果：赵六可以看到销售部和培训部的数据

适用场景：跨部门协作、特殊职能

范围 4：全部数据

计算规则：

无限制，可以访问所有数据

示例：

用户：孙七（ID=50）
角色：销售总监（数据范围=4）

可访问数据：全部数据，无限制

结果：孙七可以看到公司所有人的数据

适用场景：高层管理者、总监、VP

特殊数据权限规则

CRM模块的特殊规则

CRM的数据权限基于 owner_user_id（负责人）而非 create_user_id（创建人）。

示例：

线索A：
- create_user_id = 10（张三创建）
- owner_user_id = 20（李四负责）

数据权限判断：
- 基于 owner_user_id = 20
- 只有能访问用户ID=20的人才能看到这条线索
- 创建人张三如果没有权限访问ID=20，也看不到这条线索

为什么这样设计：

• 数据转移后，权限跟随负责人变化
• 更符合业务实际（谁负责谁管理）

公海数据

公海线索规则：

owner_user_id = 0 的线索为公海线索
公海线索：所有人都可以查看

示例：

线索B：
- owner_user_id = 0（公海线索）

数据权限判断：
- 任何人都可以查看
- 任何人都可以转化（转化后归属转化人）

多角色权限合并

当用户有多个角色时，权限如何计算：

数据范围：取最大值

用户：张三
角色A：销售员（数据范围=0）
角色B：培训讲师（数据范围=1）

最终数据范围 = max(0, 1) = 1（本部门数据）

菜单权限：取并集

用户：李四
角色A：销售员
  - 可访问：CRM管理、我的应用
角色B：培训讲师
  - 可访问：文档管理、我的应用

最终菜单权限 = CRM管理 + 文档管理 + 我的应用

操作权限：取并集（位或运算）

用户：王五
角色A：操作权限=3（读+编辑）= 011
角色B：操作权限=5（读+删除）= 101

最终操作权限 = 3 | 5 = 7（全部权限）= 111

权限问题排查

用户看不到某些数据

排查步骤：

1. 检查用户的角色

   • 路径：系统管理 → 用户管理
   • 查看用户分配的角色

2. 检查角色的数据范围

   • 路径：系统管理 → 角色管理
   • 查看角色的 data_range 设置

3. 检查用户的部门

   • 查看用户所属部门
   • 确认部门层级关系

4. 检查数据的负责人

   • 查看数据的 owner_user_id
   • 确认负责人是否在权限范围内

示例排查：

问题：张三看不到线索A

排查：
1. 张三的角色：销售员（数据范围=0，仅本人）
2. 张三的ID：10
3. 线索A的owner_user_id：20（李四）
4. 原因：张三只能看自己（ID=10）的数据，看不到李四（ID=20）的数据

解决方案：
- 方案1：将线索A转移给张三
- 方案2：提升张三的数据范围（改为本部门数据）
- 方案3：线索A放入公海（owner_user_id=0）

用户看不到某些菜单

排查步骤：

1. 检查用户的角色

2. 检查角色的菜单权限

   • 路径：系统管理 → 角色管理 → 编辑角色
   • 查看菜单权限配置

3. 检查菜单是否被隐藏

   • 某些菜单可能在特定条件下隐藏

解决方案：

• 为角色添加对应的菜单权限
• 或为用户添加拥有该菜单权限的角色

最佳实践

权限配置原则：

1. 最小权限原则：只给必要的权限
2. 按需分配：根据工作职能分配权限
3. 定期审查：每季度审查权限配置
4. 及时调整：员工调岗时及时更新权限

常见配置模式：

基层员工：
- 数据范围：0（仅本人）
- 操作权限：7（全部）
- 可以完全管理自己的数据

部门主管：
- 数据范围：1（本部门）
- 操作权限：7（全部）
- 可以查看和管理团队数据

部门经理：
- 数据范围：2（本部门及以下）
- 操作权限：7（全部）
- 可以管理整个部门

高层管理：
- 数据范围：4（全部数据）
- 操作权限：7（全部）
- 可以查看和管理所有数据

---

本章小结

本章介绍了组织架构配置的三个核心内容：

配置顺序

1. 创建部门结构
   └─ 反映企业真实的组织架构

2. 配置角色权限
   └─ 定义不同职能的权限范围

3. 创建用户账号
   └─ 分配部门和角色

关键要点

✅ 部门是数据权限的基础单位 ✅ 角色是权限的载体，批量管理用户权限 ✅ 用户通过部门和角色获得权限 ✅ 数据权限基于 owner_user_id 和 data_range 计算 ✅ 多角色用户的权限取并集，数据范围取最大值

配置检查清单

完成本章配置后，请确认：

• [ ] 部门结构已创建完成（2-3层为宜）
• [ ] 至少创建了3个角色（管理员、经理、员工）
• [ ] 每个角色的数据范围配置正确
• [ ] 每个角色的菜单权限分配合理
• [ ] 已为团队成员创建用户账号
• [ ] 每个用户已分配部门和角色
• [ ] 测试了不同角色的数据访问权限
• [ ] 理解了数据权限的计算规则

下一步

完成组织架构配置后，请继续：

• 第2章：系统设置管理 - 配置系统基础参数
• 第3章：字典数据管理 - 配置CRM业务字典
• 第4章：AI应用接入管理 - 接入AI应用

---

本章完成！ 您已经掌握了 iTrainer 的组织架构配置方法。