根据将全网域权限委派给服务帐号，服务帐号只能访问与该帐号共享的任何内容：

G Suite 网域

管理员可以授权应用代表 G Suite 网域中的用户访问用户数据

这意味着服务帐户只能访问应用程序模拟的帐户中的数据。

在您的情况下，使用单位部门无法满足您的要求。

这些控件必须在应用程序级别实现。又名你。

执行此操作的方法之一是，在模拟任何帐户之前，使用服务帐户查询该帐户属于哪个组织单位，然后基于该允许或拒绝模拟。

当然，您也可以通过多种方式进行这种类型的过滤。您可以简单地检查您要模拟的帐户是否在黑名单上，如果是这种情况，则可以中止模拟，或者您可以使用其他条件。

希望这有帮助！

首先也是最重要的：从技术上讲，一旦启用了 DWD(网域范围委派(，并且客户端 ID 由 Admin Console 中的任何管理员授权，服务帐号就是超级管理员。

这转化为：服务帐户可以模拟任何用户(包括任何管理员(，并执行声明的范围允许的任何操作。

在这种情况下：具有允许范围 https://www.googleapis.com/auth/calendar.readonly 的服务帐户可以读取任何域日历。

现在有一个有点讨厌的解决方法： 服务帐户基本上是无法访问 Web UI 的 Gmail 帐户。因此，当且仅当启用了外部日历共享时，您确实可以与服务帐户共享日历。然后，您不使用 DWD。在这种情况下，服务帐户只能按照共享权限的规定行事。但是，这不是服务帐户的使用方式。