[comment]: # translation:outdated

[comment]: # ({d04b1088-6705152d})
# 2 用户角色

[comment]: # ({/d04b1088-6705152d})

[comment]: # ({2d9e8112-58a614ec})
#### 概述

在*用户 → 用户角色*部分，您可以创建用户角色。

用户角色允许基于最初选择的用户类型（*用户*、*管理员*、*超级管理员*）创建细化的权限。

选择用户类型后，所有可用的权限都会被授予（默认情况下已选中）。

权限只能从用户类型可用的子集中撤销；不能扩展超出用户类型可用的范围。

不可用权限的复选框是灰色的；即使用户通过浏览器输入该元素的直接 URL，也无法访问该元素。

用户角色可以分配给系统用户。每个用户只能分配一个角色。

[comment]: # ({/2d9e8112-58a614ec})

[comment]: # ({8488361e-61e00095})
#### 默认用户角色

默认情况下，Zabbix 配置了四种用户角色，每种角色都有预定义的权限集合：

- 访客角色
- 用户角色
- 管理员角色
- 超级管理员角色

![](../../../../../assets/en/manual/web_interface/user_roles.png){width="600"}

这些角色基于 Zabbix 中的主要用户类型。显示了分配给各个角色的所有用户列表。属于禁用组的用户以红色显示。*访客角色*是一种用户类型角色，只有查看部分前端页面的权限。

::: noteclassic
默认的 *超级管理员角色* 不能被修改或删除，因为在 Zabbix 中至少必须存在一个具有无限权限的超级管理员用户。*超级管理员* 用户可以修改其自身角色的设置，但不能修改用户类型。
:::

[comment]: # ({/8488361e-61e00095})

[comment]: # ({b2d3fc90-61ab39c3})
#### 配置

要创建一个新角色，请点击右上角的 *创建用户角色* 按钮。要更新现有角色，请点击角色名称以打开配置表单。

![](../../../../../assets/en/manual/web_interface/user_role.png){width="600"}

显示了可用的权限。要撤销某个权限，请取消其复选框的选中状态。

下面描述了 Zabbix 中每个预配置用户角色的可用权限及其默认设置。

[comment]: # ({/b2d3fc90-61ab39c3})

[comment]: # ({ee764ff3-a18513bb})
#### 默认权限

**访问UI元素**

菜单部分的默认访问权限取决于用户类型。[详细信息](/manual/config/users_and_usergroups/permissions#user_types)，请参阅权限页面。

**访问其他选项**

| | | | | | | |
|-|----------|-----------------------------|----|----|----|----|
|**参数**|<|**描述**|**默认用户角色**|<|<|<|
| |<|<|*超级管理员角色*|*管理员角色*|*用户角色*|*访客角色*|
|*默认访问新UI元素*|<|启用/禁用对自定义UI元素的访问。如果存在模块，将在下面列出。|是|是|是|是|
|**访问服务**|<|<|<|<|<|<|
| |服务的读写访问|选择服务的读写访问：<br>**无** - 完全没有访问权限<br>**全部** - 所有服务的读写访问<br>**服务列表** - 选择具有读写访问权限的服务<br><br>如果授予读写访问权限，则优先于只读访问设置，并由子服务动态继承。|全部|全部|无|无|
|^|具有标签的服务的读写访问|指定标签名称，并可选择指定值，以额外授予对匹配该标签的服务的读写访问权限。<br>此选项在“服务的读写访问”参数中选择“服务列表”时可用。<br>如果授予读写访问权限，则优先于只读访问设置，并由子服务动态继承。|^|^|^|^|
|^|服务的只读访问|选择服务的只读访问：<br>**无** - 完全没有访问权限<br>**全部** - 所有服务的只读访问<br>**服务列表** - 选择具有只读访问权限的服务<br><br>只读访问不优先于读写访问，并由子服务动态继承。|^|^|全部|全部|
|^|具有标签的服务的只读访问|指定标签名称，并可选择指定值，以额外授予对匹配该标签的服务的只读访问权限。<br>此选项在“服务的只读访问”参数中选择“服务列表”时可用。<br>只读访问不优先于读写访问，并由子服务动态继承。|^|^|^|^|
|**访问模块**|<|<|<|<|<|<|
| |<模块名称>|允许/拒绝访问特定模块。仅显示已启用的模块。目前无法授予或限制对已禁用模块的访问。|是|是|是|是|
|^|*默认访问新模块*|启用/禁用对将来可能添加的模块的访问。|^|^|^|^|
|**访问API**|<|<|<|<|<|<|
| |*已启用*|启用/禁用对API的访问。|是|是|是|否|
|^|*API方法*|选择“允许列表”以允许，或选择“拒绝列表”以拒绝在搜索字段中指定的API方法。请注意，不可能允许某些API方法并拒绝其他方法。<br><br>在搜索字段中开始输入方法名称，然后从自动完成列表中选择该方法。<br>您还可以按选择按钮，从可用的完整列表中选择此用户类型的方法。请注意，如果“访问操作”块中的某些操作未选中，用户将无法使用与此操作相关的API方法。<br><br>支持通配符。例如：`dashboard.*`（'dashboard.' API服务的所有方法） `*`（任何方法）， `*.export`（所有API服务中带'.export'名称的方法）。<br><br>如果未指定任何方法，则*允许/拒绝列表*规则将被忽略。|^|^|^|^|
|**访问操作**|<|<|<|<|<|<|
| |创建和编辑仪表板|取消选中此复选框也将撤销使用`.create`, `.update` 和 `.delete` 对应元素的API方法的权限。|是|是|是|否|
|^|创建和编辑地图| |^|^|^|^|
|^|创建和编辑维护|^|^|^|否|^|
|^|添加问题评论|取消选中此复选框也将撤销通过`event.acknowledge` API方法执行相应操作的权限。|^|^|是|^|
|^|更改严重性| |^|^|^|^|
|^|确认问题|^|^|^|^|^|
|^|抑制问题|^|^|^|^|^|
|^|关闭问题|^|^|^|^|^|
|^|执行脚本|取消选中此复选框也将撤销使用`script.execute` API方法的权限。|^|^|^|^|
|^|管理API令牌|取消选中此复选框也将撤销使用所有`token.` API方法的权限。|^|^|^|^|
|^|管理计划报告|取消选中此复选框也将撤销使用所有`report.` API方法的权限。|^|^|否|^|
|^|管理SLA|启用/禁用管理[SLA](/manual/web_interface/frontend_sections/services/sla)的权限。|^|^|^|^|
|^|在只读主机上调用“立即执行”|允许在只读主机的最新数据项中使用“立即执行”选项。|^|^|是|^|
|^|更改问题排名|允许将问题排名从原因更改为症状，反之亦然。|^|^|^|^|
|^|默认访问新操作|启用/禁用对新操作的访问。|^|^|^|^|

另请参见：

-   [配置用户](/manual/config/users_and_usergroups/user)

[comment]: # ({/ee764ff3-a18513bb})