在任何 ERP 系統裡，**存取權限（Access Rights）***都是守護資料安全與流程穩定的第一道防線。

Odoo 的權限模型以「群組＋應用程式等級＋技術層級（Record Rules、Model Access）」三層結構組成：先用群組定義角色，再以各 App 的等級細分可見範圍，最後透過技術層級做精準控管。

妥善設計能達到「最小必要權限」、降低誤操作與資料外洩風險；反之，錯誤變更不僅影響日常作業，甚至可能造成**無效管理員（Impotent Admin）**而無法再調整權限。

本篇將用實務導向的方式，說明從「成為管理員」到「設定群組與技術權限」以及「入口網站（Portal）」的安全開放策略，協助你以可維護的方式建立企業級權限架構。

什麼是存取權限（Access Rights）

存取權限決定「使用者可以存取與編輯哪些內容與應用程式」。

在 Odoo 中，權限可套用於個別使用者或使用者群組，以確保資料安全與系統穩定性。

為什麼權限管理很重要

• 資料安全保護：僅授權必要人員，避免不當檢視／編輯／刪除。

• 系統穩定性：明確權限邊界，降低誤操作風險。

重要：**只有管理員（Administrator）**可以變更存取權限設定。

權限變更的風險與警告

• 系統影響：不當調整可能影響資料庫行為。

• 無效管理員（Impotent Admin）：若誤移除所有能管理權限的帳號，將無人可再調整權限。

• 建議：重大變更前，優先諮詢 Odoo 業務分析師或支援團隊。

成為管理員的前置條件與設定路徑

• 前置條件：目標使用者的個人檔案中，需於 Administration 欄位給予相對應管理權限。

• 導航路徑：Settings → Manage Users → 選擇使用者 → Access Rights 標籤 → Administration 區段

設定管理員權限：操作步驟

1. 以現有管理員身分登入。

2. 前往 Settings → Manage Users，點選要調整的使用者。

3. 在 Access Rights 標籤找到 Administration 欄位。

4. 權限等級調整為 Access Rights（完整權限管理）。

5. Save 儲存並生效。

提醒：變更後請立即以該帳號重新登入確認，避免日後出現權限不足或鎖帳情況。

管理使用者權限：介面與等級

使用者的權限在建立時指定，之後可隨時回到個人檔案調整：
Settings → Manage Users → 選擇使用者 → Access Rights 標籤

權限等級選項（各 App）

針對每個應用程式，使用下拉選單選擇適合的等級。

管理欄位（Administration）選項

管理特定／技術權限（需開發者模式）

若需更精細的權限控制（例如編輯群組與技術層級權限），請先啟用開發者模式（Developer Mode）。

操作路徑：
Settings → Manage Users → 選擇使用者 → Technical Access Rights 標籤

這裡可檢視／編輯：

• Selected groups：由 Access Rights 標籤所選的群組清單（明確權限）。

• Groups added automatically：因「隱含（Implied）」關係而自動附加的群組。

範例（權限繼承）：指派 Sales Administrator 可能自動繼承 Canned Responses Administrator；這些會同時反映在 Selected groups 與 Groups added automatically。

群組清單顏色與樣式意義

• 綠色：此權限由其他權限「提供」或「包含」。

• 紅色：權限衝突，無法同時啟用。

• 斜體：由 Selected group 所「隱含」的權限（通常亦見於 Groups added automatically）。

新增或移除群組權限

• 新增：在 Selected groups 內點 Add a line，加入所需群組。

• 移除：點該列末尾 cancel 以移除。

警告：自 Selected groups 移除，可能同時影響 Groups added automatically 的繼承結果。

建立與修改群組（Groups）

群組是「應用程式特定的權限集合」，用於大量使用者共同權限管理。可建立新群組或修改現有群組，以定義模型（Model）的存取規則。

路徑（需 Developer Mode）：
Settings → Users & Companies → Groups

• 建立新群組：點 Create → 選擇 Application → 完成表單。

• 修改群組：點列表中的現有群組 → 編輯表單。

重要：變更後務必「測試」是否正確套用到目標使用者。

群組表單重點標籤

• Users：列出當前群組的使用者。黑色＝有管理權限；藍色＝無管理存取權限。

• Inherited：被繼承的群組。加入此群組的使用者，也會自動被加入此標籤列出的群組。

• Menus：定義群組可存取哪些模型相關選單，Add a line 以新增。

• Views：定義群組可存取哪些檢視，Add a line 以新增。

存取權限與記錄規則

Access Rights（第一層：模型權限）

• Read：可讀取現有值

• Write：可編輯現有值

• Create：可建立新紀錄

• Delete：可刪除紀錄

Record Rules（第二層：可見性與細化）

• 可覆寫或細化群組的存取權限，並可分別勾選：Apply for Read / Write / Create / Delete。

入口網站存取（Portal Access）

適用於需要「僅讀／檢視」資料的外部對象（如客戶）。Portal 使用者無法編輯資料。

常見可讀取的內容範圍

• 銷售：Leads/Opportunities、Quotations/Sales Orders

• 採購：Purchase Orders

• 財務：Invoices & Bills、Subscriptions、Signatures

• 專案與服務：Projects、Tasks、Timesheets、Tickets

授予入口網站存取：操作步驟

1. 從主儀表板開啟 Contacts。

2. 建立或選擇聯絡人（Create 如尚未存在）。

3. 於 Action 下拉選單點 Grant Portal Access。

4. 輸入 Email、勾選 In Portal 後 Apply。
   系統會寄出通知信，該聯絡人將成為此資料庫的 Portal 使用者。

結論

權限管理的核心在於角色導向、最小授權、可回溯：

• 以群組為單位設計角色，再指派給使用者，避免個別權限散落難以維護。

• 各 App 採用User: Own / All / Admin的清晰分層，技術層級以 Model Access＋Record Rules 進行精準補強。

• 重要調整一律先在測試庫驗證，並保留獨立的超級管理員帳號與資料庫備份，防止出現無效管理員。

• 變更後立即用目標帳號重登檢核，定期稽核群組與成員，確保權限未因人員流動而失控。

• 對外則以 Portal 提供只讀查詢，將編輯權限留在內部系統。

當你依據職能劃分群組、以最小權限開放、並建立測試—發布—稽核—備援的流程，Odoo 的權限就能兼顧安全性、可用性與擴充性，讓日常營運與合規要求都更放心。