上个月底，公司临时请了两个实习生帮忙整理三年来的培训签到表。这事本来不归我管，但因为要用内网系统导数据，最后还是落到了我头上。

我叫林晓，是行政部门的‘系统对接人’——这个头衔是我自己贴在工位上的便利贴，上面还写着‘谁动系统找我，出了事算我的’。其实没人正式任命我，只是每次新系统上线、流程改版，大家总在群里@我，慢慢就成了‘懂系统的人’。

这次也一样。我给两个实习生各建了个账号，照惯例勾选了‘只读权限’，能看不能改。可第二天早上，技术部老吴就冲过来问我：‘昨天是不是有人删了“入职培训”分类？’

我一头雾水。查了操作日志，发现是实习生A的账号，在晚上8点多执行了一次‘批量清除标签’的操作。问题是，他的权限根本不该有这功能。

我们用的是蓝点通用管理系统，当初选它就是因为‘权限可以像乐高一样拼’。大多数系统给用户分个‘管理员’‘编辑’‘查看者’就完了，但在蓝点里，你可以细到‘能不能看到导出按钮’‘能不能修改某一个字段’‘能不能发起特定流程’。

可即便如此，我还是百思不得其解。直到翻到那个实习生提交的一条反馈：‘系统提示“标签太多影响加载”，建议我“清理无效标签”，我就点了’。

原来问题出在UI设计上。那个‘清理无效标签’的按钮，虽然属于高级功能，但前端判断逻辑有个漏洞：只要用户能进入标签管理页，按钮就显示，哪怕点完会报错。而实习生点的那一刻，系统正在更新权限缓存，短暂地给了他一次执行窗口。

这事说大不大，说小不小。但让我后怕的是，如果删的不是培训记录，而是合同归档分类，或者员工档案关联字段，恢复起来至少得两天。

于是我和IT商量，干脆把权限模型重新跑一遍。蓝点有个‘沙盒测试环境’，可以复制当前配置，随便试错。我们试着把权限拆得更碎：比如‘只能查看培训记录’和‘能查看但不能进标签管理页’变成两个独立开关。还加了个‘临时工模板’角色，预设所有可能的风险操作都关闭，连‘导出为Excel’都要额外申请。

最让我满意的是它的‘操作前置拦截’功能。以前很多系统都是等你点了才弹窗说‘没权限’，但现在蓝点能在页面加载时就判断‘你不能看这个按钮’，直接不渲染。实习生再想误触，也没机会了。

后来我们还做了个‘权限快照’机制。每季度自动保存一次所有人角色配置，一旦发现异常变更，立刻邮件提醒。毕竟人总会流动，今天是实习生，明天可能是外包财务，权限不能靠记忆维护。

上周另一个部门的同事来找我，说他们用的OA系统最近总有人乱改审批流，问我有没有什么办法。我问他：‘你们能限制谁可以拖动流程节点吗？’他说不能，最多设个‘主管才能发布’。

我说，那你们迟早也会遇到‘临时工删库’的事，只是早晚而已。

其实管理系统的本质，不是让好人做对事，而是防止坏操作被执行——哪怕执行者根本没恶意。权限不该是一堵墙，而应该是一张筛子，把不该通过的东西自然滤掉。

现在我们公司新员工入职，第一件事不再是发邮箱账号，而是先在蓝点里走一遍‘角色匹配’。HR选岗位类型，系统自动推荐权限组合，再由部门负责人微调。实习生、外包、短期项目成员，都有对应的‘最小可用权限包’。

前两天实习生B离职前问我：‘为什么我一直没法看到“组织架构图”按钮？’

我说：‘因为你不需要。’

他笑了：‘我还以为是我们账号低人一等。’

我说：‘不是低人一等，是系统知道你不会用错。’