[comment]: # translation:outdated

[comment]: # ({46adf407-46adf407})
# 3 Lietotāju grupas

[comment]: # ({/46adf407-46adf407})

[comment]: # ({c89b1f9d-f58db4c9})
#### Pārskats

Lietotāju grupas ļauj grupēt lietotājus gan organizatoriskiem mērķiem, gan piekļuves tiesību piešķiršanai datiem.
Piekļuves tiesības hostu grupu un veidņu grupu datu skatīšanai un konfigurēšanai tiek piešķirtas lietotāju grupām, nevis atsevišķiem lietotājiem.

Bieži ir lietderīgi nodalīt, kāda informācija ir pieejama vienai lietotāju grupai un kāda — citai.
To var panākt, grupējot lietotājus un pēc tam piešķirot atšķirīgas piekļuves tiesības hostu un veidņu grupām.

Lietotājs var piederēt jebkuram skaitam grupu.

[comment]: # ({/c89b1f9d-f58db4c9})

[comment]: # ({bb300024-fe6bb4a1})
#### Konfigurācija

Lai konfigurētu lietotāju grupu:

-   Dodieties uz *Users > User groups*
-   Noklikšķiniet uz *Create user group* (vai uz grupas nosaukuma, lai rediģētu esošu grupu)
-   Rediģējiet grupas atribūtus formā

Cilnē **User group** ir ietverti vispārīgie grupas atribūti:

![](../../../../assets/en/manual/config/user_group.png){width=600}

Visi obligātie ievades lauki ir atzīmēti ar sarkanu zvaigznīti.

|Parameter|Description|
|--|--------|
|*Group name*|Unikāls grupas nosaukums.|
|*Users*|Lai pievienotu lietotājus grupai, sāciet rakstīt esoša lietotāja vārdu. Kad parādās nolaižamais saraksts ar atbilstošajiem lietotāju vārdiem, ritiniet uz leju, lai atlasītu.<br>Alternatīvi varat noklikšķināt uz pogas *Select*, lai atlasītu lietotājus uznirstošajā logā.|
|*Frontend access*|Kā grupas lietotāji tiek autentificēti.<br>**System default** - izmantot noklusējuma autentifikācijas metodi (iestatīta [globāli](/manual/web_interface/frontend_sections/users/authentication))<br>**Internal** - izmantot Zabbix iekšējo autentifikāciju (pat ja LDAP autentifikācija tiek izmantota globāli).<br>Tiek ignorēts, ja HTTP autentifikācija ir globālais noklusējums.<br>**LDAP** - izmantot LDAP autentifikāciju (pat ja iekšējā autentifikācija tiek izmantota globāli).<br>Tiek ignorēts, ja HTTP autentifikācija ir globālais noklusējums.<br>**Disabled** - piekļuve Zabbix lietotāja saskarnei šai grupai ir aizliegta|
|*LDAP server*|Atlasiet, kuru [LDAP serveri](/manual/web_interface/frontend_sections/users/authentication/ldap#configuration) izmantot lietotāja autentificēšanai.<br>Šis lauks ir iespējots tikai tad, ja *Frontend access* ir iestatīts uz LDAP vai System default.|
|*Multi-factor authentication*|Atlasiet, kuru daudzfaktoru autentifikācijas [metodi](/manual/web_interface/frontend_sections/users/authentication/mfa#method-configuration) izmantot lietotāja autentificēšanai:<br>**Default** - izmantot MFA konfigurācijā kā noklusējumu iestatīto metodi; šī opcija pēc noklusējuma ir atlasīta jaunām lietotāju grupām, ja MFA ir iespējota;<br>**\<Method name\>** - izmantot atlasīto metodi (piemēram, "Zabbix TOTP");<br>**Disabled** - MFA šai grupai ir atspējota; šī opcija pēc noklusējuma ir atlasīta jaunām lietotāju grupām, ja MFA ir atspējota.<br>Ņemiet vērā: ja lietotājs pieder vairākām lietotāju grupām ar iespējotu MFA (vai vismaz vienai grupai ir iespējota MFA), tiek piemēroti šādi autentifikācijas noteikumi: ja kādā grupā tiek izmantota MFA metode "Default", tā autentificēs lietotāju; pretējā gadījumā autentifikācijai tiks izmantota pirmā metode (sakārtota alfabētiskā secībā).|
|*Enabled*|Lietotāju grupas un grupas dalībnieku statuss.<br>*Atzīmēts* - lietotāju grupa un lietotāji ir iespējoti<br>*Neatzīmēts* - lietotāju grupa un lietotāji ir atspējoti|
|*Debug mode*|Atzīmējiet šo izvēles rūtiņu, lai lietotājiem aktivizētu [atkļūdošanas režīmu](/manual/web_interface/debug_mode).|

Cilne **Template permissions** ļauj norādīt lietotāju grupas piekļuvi veidņu grupas (un līdz ar to arī veidnes) datiem:

![](../../../../assets/en/manual/config/user_group_templates.png){width="600"}

Cilne **Host permissions** ļauj norādīt lietotāju grupas piekļuvi hostu grupas (un līdz ar to arī hostu) datiem:

![](../../../../assets/en/manual/config/user_group_hosts.png){width="600"}

Noklikšķiniet uz ![](../../../../assets/en/manual/config/add_link.png){class="nozoom"}, lai izvēlētos veidņu/hostu grupas (gan vecākgrupu, gan ligzdotu grupu) un piešķirtu tām atļaujas.
Sāciet rakstīt grupas nosaukumu (parādīsies nolaižamais saraksts ar atbilstošajām grupām) vai noklikšķiniet uz *Select*, lai atvērtu uznirstošo logu ar visu grupu sarakstu.

Pēc tam izmantojiet opciju pogas, lai piešķirtu atļaujas izvēlētajām grupām.
Iespējamās atļaujas ir šādas:

-   **Read-write** - lasīšanas un rakstīšanas piekļuve grupai
-   **Read** - tikai lasīšanas piekļuve grupai
-   **Deny** - piekļuve grupai liegta

Ja viena un tā pati veidņu/hostu grupa tiek pievienota vairākās rindās ar atšķirīgi iestatītām atļaujām, tiks piemērota stingrākā atļauja.

Ņemiet vērā, ka lietotājs *Super admin* var piespiest ligzdotajām grupām izmantot tādu pašu atļauju līmeni kā vecākgrupai; to var izdarīt [hostu](/manual/config/hosts/host_groups)/[veidņu](/manual/config/templates/template_groups) grupas konfigurācijas formā.

Cilnes **Template permissions** un **Host permissions** atbalsta vienu un to pašu parametru kopu.

Pašreizējās atļaujas grupām tiek parādītas blokā *Permissions*, un tās var modificēt vai noņemt.

:::noteclassic
Ja lietotāju grupai ir **Read-write** atļaujas hostam un **Deny** vai nav atļauju veidnei, kas ir saistīta ar šo hostu, šīs grupas lietotāji nevarēs rediģēt no veidnes atvasinātos vienumus hostā, un veidnes nosaukums tiks parādīts kā *Inaccessible template*.
:::

Cilne **Problem tag filter** ļauj iestatīt uz tagiem balstītas atļaujas lietotāju grupām, lai skatītu problēmas, kas filtrētas pēc taga nosaukuma un vērtības:

![](../../../../assets/en/manual/config/user_group_tags.png){width=600}

Noklikšķiniet uz ![](../../../../assets/en/manual/config/add_link.png){class="nozoom"}, lai izvēlētos hostu grupas.
Lai atlasītu hostu grupu, kurai piemērot taga filtru, noklikšķiniet uz *Select*, lai iegūtu pilnu esošo hostu grupu sarakstu, vai sāciet rakstīt hostu grupas nosaukumu, lai parādītos nolaižamais saraksts ar atbilstošajām grupām.
Tiks parādītas tikai hostu grupas, jo problēmu taga filtru nevar piemērot veidņu grupām.

Taga nosaukumus bez vērtībām var pievienot, bet vērtības bez nosaukumiem nevar.
Blokā *Permissions* tiek parādīti tikai pirmie trīs tagi (ar vērtībām, ja tādas ir); ja to ir vairāk, tos var apskatīt, noklikšķinot uz ![](../../../../assets/en/manual/config/items/itemtypes/dependent_item_button.png){class="nozoom"} ikonas vai uzvedot kursoru virs tās.

Taga filtrs ļauj nošķirt piekļuvi hostu grupai no iespējas skatīt problēmas.

Piemēram, ja datubāzes administratoram ir jāredz tikai "MySQL" datubāzes problēmas, vispirms ir jāizveido lietotāju grupa datubāzes administratoriem, pēc tam jānorāda taga nosaukums "target" un vērtība "mysql".

![](../../../../assets/en/manual/config/user_group_tag_filter_2.png){width=600}

Ja ir norādīts taga nosaukums "target", bet vērtības lauks ir atstāts tukšs, lietotāju grupa redzēs visas problēmas ar taga nosaukumu "target" izvēlētajai hostu grupai.

Pārliecinieties, ka taga nosaukums un taga vērtība ir norādīti pareizi, pretējā gadījumā lietotāju grupa neredzēs nevienu problēmu.

Apskatīsim piemēru, kad lietotājs ir vairāku atlasītu lietotāju grupu dalībnieks.
Šajā gadījumā filtrēšana izmantos OR nosacījumu tagiem.

|   |   |   |   |   |   |   |
|---|---|---|---|---|---|---|
|**User group A**|<|<|**User group B**|<|<|**Visible result for a user (member) of both groups**|
|*Tag filter*|<|<|<|<|<|^|
|*Host group*|*Tag name*|*Tag value*|*Host group*|*Tag name*|*Tag value*|^|
|Databases|target|mysql|Databases|target|oracle|target:mysql or target:oracle problēmas redzamas|
|Nav konfigurēts **Problem tag filter**|<|<|Databases|target|oracle|target:oracle problēmas redzamas|

[comment]: # ({/bb300024-fe6bb4a1})

[comment]: # ({206dd6d2-e74e2150})
#### Piekļuve no vairākām lietotāju grupām

Lietotājs var piederēt jebkuram skaitam lietotāju grupu.
Šīm grupām var būt atšķirīgas piekļuves atļaujas hostiem vai veidnēm.

Tāpēc ir svarīgi zināt, kādām vienībām nepriviliģēts lietotājs rezultātā varēs piekļūt.
Tālāk redzamajā piemērā aplūkots, kā dažādās situācijās tiks ietekmēta piekļuve hostam **X** (Hostu grupā 1) lietotājam, kurš ir lietotāju grupās A un B.

-   Ja grupai A ir tikai *Lasīšanas* piekļuve Hostu grupai 1, bet grupai B ir *Lasīšanas-rakstīšanas* piekļuve Hostu grupai 1, lietotājs saņems **Lasīšanas-rakstīšanas** piekļuvi hostam 'X'.

::: noteimportant
"Lasīšanas-rakstīšanas" atļaujām ir prioritāte pār "Lasīšanas" atļaujām.
:::

-   Tajā pašā scenārijā kā iepriekš, ja 'X' vienlaikus atrodas arī Hostu grupā 2, kas grupai A vai B ir **liegta**, piekļuve hostam 'X' būs **nav pieejama**, neskatoties uz *Lasīšanas-rakstīšanas* piekļuvi Hostu grupai 1.
-   Ja grupai A nav definētu atļauju un grupai B ir *Lasīšanas-rakstīšanas* piekļuve Hostu grupai 1, lietotājs saņems **Lasīšanas-rakstīšanas** piekļuvi hostam 'X'.
-   Ja grupai A ir *Liegt* piekļuve Hostu grupai 1 un grupai B ir *Lasīšanas-rakstīšanas* piekļuve Hostu grupai 1, lietotājam piekļuve hostam 'X' tiks **liegta**.

[comment]: # ({/206dd6d2-e74e2150})

[comment]: # ({a4f343e7-931529bc})
#### Cita informācija

-   Admin līmeņa lietotājs ar *Read-write* piekļuvi hostam nevarēs piesaistīt/atsaistīt veidnes, ja viņam nav piekļuves veidņu grupai, kurai tās pieder.
Ja viņam ir *Read* piekļuve veidņu grupai, viņš varēs piesaistīt/atsaistīt veidnes hostam, taču neredzēs nevienu veidni veidņu sarakstā un nevarēs veikt darbības ar veidnēm citās vietās.
-   Admin līmeņa lietotājs ar *Read* piekļuvi hostam neredzēs šo hostu konfigurācijas sadaļas hostu sarakstā; tomēr hosta trigeri būs pieejami IT pakalpojumu konfigurācijā.
-   Jebkurš lietotājs, kas nav Super Admin (ieskaitot 'guest'), var redzēt tīkla kartes, kamēr karte ir tukša vai tajā ir tikai attēli.
Kad kartei tiek pievienoti hosti, hostu grupas vai trigeri, tiek ievērotas piekļuves tiesības.
-   Zabbix serveris nesūtīs paziņojumus lietotājiem, kas definēti kā darbības operāciju saņēmēji, ja piekļuve attiecīgajam hostam ir nepārprotami "denied".

[comment]: # ({/a4f343e7-931529bc})