SuiteCRM 7.5.1-专门用于在SuiteCRM中使用用户，角色和安全组的参考。

因此，我有一个特定的设置，并且仔细阅读并阅读了许多文档，并尽我最大的努力来研究SuiteCRM如何做到这一点。

如何正确实现以下方案？：

假设我有一棵这样的树：



为了便于理解，我们将对这些行进行编号：1、2、3和4。然后，我们将要成为员工的Administrators加入其中。

管理员几乎可以处理所有记录，除了使用工作流，处理代码或处理一些自定义模块外，它们几乎没有限制，也无需遵守任何下线规则。

然后我们遵循下线：

第1个人可以看到其下线和其领土内的所有第2个人，3和4个人。他们看不到其他任何人1的期间。他们看不到不在其下线或区域内的任何2、3和4。他们也看不到管理员或分配给他们的任何内容。

第2个人可以看到其特定下线和地区内的所有第3个人和第4个人，而看不到任何第1个人或第2个人的时间段。他们无法在其区域或下线之外看到任何第3个人或第4个人。他们也看不到管理员或分配给他们的任何内容。

第3个人可以看到其特定下线和地区内的所有4，而看不到任何第1个人，2或其他3的时段。他们无法在其区域或下线之外看到任何第4个人。他们也看不到管理员或分配给他们的任何内容。

4人只能看到分配给他们的记录。

在此示例中，在现实世界中只有4个深层管理员，实际上，实际上有12个深层管理员加管理员，再加上我超级管理员。

我该如何解决这个问题？

我写了SecuritySuite，您所需要的是非常典型的。可能会有很大的学习曲线来解决这个问题，因此我在这里为3个深层次结构编写了一个示例设置，以尝试提供一些帮助：https://www.sugaroutfitters.com/docs/securitysuite/example-of-a-typical-setup。

您的示例是一个4层深层次结构，但它非常相似。关键是为最低级别创建组。在您的情况下，这将是4级人员。因此，人员4a，4b，4c都将在组A中。将仅具有所有者权限的角色直接分配给组A，以便4a / 4b / 4c仅可以访问其自己的记录。

人员3a将在组A中，但是将创建具有组访问权限的“经理”角色，并将其直接分配给人员3a。人员3a的组A成员资格将被标记为不可继承，以便在人员3a创建记录时不会将组A直接分配给它。 3a人也将与3b / 3c / 3d人一起进入AA组（根据上图）。

人员2b（上图中第二层的第二人）将在组A和组AA中，都标记为不可继承。人员2b将直接分配“经理”角色。

人员1将直接通过“所有”访问权限分配一个角色，因为此人可以看到所有人。