默认组是权限管理的基础单元,决定新用户初始归属、实现权限隔离及多租户逻辑分离;需最小化配置、避免高危权限,并结合动态策略适配业务场景。
系统默认组(Group)是权限管理的基础单元,直接影响用户归属关系和资源访问隔离效果。合理配置默认组,能避免权限混乱、越权访问或功能不可用等问题。
默认组决定新用户的初始归属
当系统启用“自动加入默认组”策略时,新创建的用户会无条件归属到指定的默认组。这种机制简化了批量用户初始化流程,但需注意:一旦设置错误,后续需手动调整每个用户组成员身份。
- 后台通常在「用户管理 > 全局设置」或「认证源配置」中指定默认组
- LDAP/AD同步用户时,若未映射具体组,也会 fallback 到该默认组
- 单点登录(SSO)首次登录用户,常依据此设置分配初始角色范围
默认组是权限隔离的第一道边界
权限模型中,组级策略优先于用户级策略。即使给个别用户单独授权,只要其所属默认组被限制访问某类资源(如数据库、API端点、管理界面),实际访问仍会被拦截。
- 生产环境建议将默认组权限设为最小化(例如仅允许基础登录和只读仪表盘)
- 避免将 admin 或 dev 组设为默认,防止误操作扩散
- 可通过「组权限矩阵表」定期审计,默认组是否意外继承了高危权限项
多租户或部门隔离场景下的默认组设计
在需要逻辑隔离的业务中(如SaaS多客户、企业多事业部),不推荐仅依赖单一默认组。应结合动态组策略或属性规则,让不同来源用户自动进入对应分组。
- 例如:通过邮箱域名(@dept-a.company.com → dept-a-group)自动分配
- 或在用户注册表单中增加「所属部门」字段,后端根据该字段绑定默认子组
- 若系统支持组继承(如 parent-group / child-group),可将通用权限放在父组,差异化策略下放至子组
默认组不是“摆设”,而是权限流的起点。配得准,省去大量后期修正;配得松,隐患藏在每一次新用户接入里。
