概述

将一组用户和另一组用户的可用信息单独分离开，这样做通常会更有意义。因为这样可以通过用户进行分组，然后将不同的权限分配给主机组来实现。

一个用户可以属于多个用户组。

配置

通过以下步骤配置用户组：

• 在 Zabbix 前端跳转到管理 → 用户组

• 在表单中编辑用户组属性。

“用户组”标签页包含以下常规的用户组属性：

权限标签页允许你指定用户组访问主机组（和主机组内主机）数据：

主机组的当前权限显示在权限方框内。

如果主机组的当前权限由所有嵌套主机组继承，则由主机组名称后面的括号中的包含的子组文本指示。

• 读写 - 对主机组具有读写权限；

• 只读 - 对主机组具有只读权限；

• 拒绝 - 拒绝对主机组的访问；

• 无 - 不设置任何权限。

使用下面的选择字段选择主机组和对它们的访问级别（请注意，如果组已经在列表中，则选择无将从列表中删除主机组）。 如果要包括嵌套主机组，请选中“包含子组”复选框。 该字段是自动完成的，因此开始键入主机组的名称将提供匹配组的下拉列表。 如果你希望查看所有主机组，请单击选择按钮。

请注意在主机组 Zabbix超级管理员拥有内置主机组同等级别的权限。

Tag filter标签页允许您通过过滤标签名和标签值，来设置用户组查看问题基于标签维度的权限。

选择一个标签过滤某个主机组，点击Select查看完整的已有的主机组列表或输入一个主机组名来获取匹配的主机组的下拉列表。如果您想使用内置的主机组标签，标记Include subgroups复选框。

标签过滤允许分离主机组的访问可能性。

例如，如果一个数据库管理员需要只查看“MySQL”数据库的问题，则需要先创建一个数据管理员用户组，然后配置“Service”标签名的值为“MySQL”。

如果左侧空白处标签名和值都未指定，但是选择了主机组，对应的用户组将可以看到所选主机的所有问题。请确保准确地配置了标签名和标签值，否则对应的用户组将看不到任何问题。

如下是一个用户归属于多个用户组的例子。在本例中涉及到标签过滤的说明。

添加过滤(例如,在主机组名“Templates/Databases”中添加标签)将导致其它的主机组的问题不能够被发现。

来自多个用户组的主机访问

用户可以属于任意数量的用户组。这些组对主机可能具有不同的访问权限。

因此，重要的是要知道非特权用户将能够访问哪些主机。例如，让我们考虑如何在用户组A和B中的用户的各种情况下对 “主机 X ”（在主机组1中）的访问将受到影响。

从 Zabbix 2.2 开始，”读写“ 权限要优先于“只读”权限。

• 在与上述相同的情况下，如果“主机组2”中的“主机 X ”同时拒绝“用户组 A ”或“用户组 B ”，那么“主机 X ”的访问将不可用，尽管“主机组 1 ”有读写权限。

• 如果“用户组 A ”没有定义权限，同时“用户组 B ”具有对“主机组 1 ”的读写权限，那么用户将获得对“主机 X ”的读写访问。

• 如果“用户组 A ”具有对“主机组 1 ”的拒绝权限，同时“用户组 B”具有对“主机组 1 ”的读写权限，则用户访问“主机 X ”将被拒绝。

其他细节

• 当拓扑图为空或者只有图片时，任何非Zabbix超级管理员(包含’guest’)都可以看到网络图。当主机，主机组或者触发器添加到拓扑图中，就要考虑权限问题。同样，屏幕(screens)和幻灯片(slideshows)也如此。不考虑权限的情况下，用户可以看见任何非直接或者间接链接到主机的项。

• 如果一个具有对主机具有读写权限的管理级别用户无法访问Templates主机组，则具有读写访问主机的管理级用户将无法链接或取消链接模板。使用只读访问Templates主机组，他将能够链接或取消链接到主机的模板，但是，模板列表中不会看到任何模板，也不能在其他地方使用模板。