概述

将一组用户和另一组用户的可用信息单独分离开，这样做通常会更有意义。这可以通过对用户进行分组，然后将不同的权限分配给主机组来实现。

一个用户可以属于任意数量的组。

配置

通过以下步骤配置用户组：

• 转到 管理 → 用户组

• 在表单中编辑组的属性。

用户组 选项卡包含了以下一般的组属性：

红色星号标记的为必填字段。

权限 选项卡允许您指定用户组对主机组（和组内主机）数据的访问权限：

当前对主机组的权限显示在 权限 块中。

如果所有嵌套的主机组都继承了主机组的当前权限，则主机组名称后括号中的 包括子组 文本表示该主机组。

• 读写 - 对主机组具有读写权限；

• 只读 - 对主机组具有只读权限；

• 拒绝 - 拒绝对主机组的访问；

• 无 - 不设置任何权限。

使用下面的选择字段选择主机组和对它们的访问级别（注意：如果主机组已经在列表中，选择 无 会将该主机组从列表中移除）。如果要包括嵌套主机组，请选中 包括子组 复选框。该字段是自动完成的，因此在开始键入主机组名称时，将会提供一个匹配组的下拉列表。如果你希望查看所有主机组，请单击 选择 按钮。

请注意，主机组 中的Zabbix超级管理员可以对嵌套主机组执行与父主机组相同级别的权限。

标签过滤器 选项卡允许您为用户组设置基于标签的权限，来查看使用标签名称及其值过滤的问题：

要选择一个标签过滤器应用于的主机组，点击 选择 查看现有主机组的完整列表或输入一个主机组的名称来获取匹配主机组的下拉列表。如果您想将标记过滤器应用于嵌套的主机组，使用内置的主机组标签，请选中 包括子组 复选框。

标签过滤器允许将对主机组的访问与发现问题的可能性分开。

例如，如果一个数据库管理员只需查看“MySQL”数据库的问题，则需要先创建一个数据管理员的用户组，然后配置“Service”标签名的值为“MySQL”。

如果指定了“Service”标签名，value字段为空，则相应的用户组将看到标签名称为“Service”的所选主机组的所有问题。

请确保准确地配置了标签名和标签值，否则对应的用户组将看不到任何问题。

让我们来看一个例子：用户是多个用户组的成员。在这种情况下，过滤器将对标签使用OR条件。

添加过滤器（例如，在主机组名“Templates/Databases”中添加标签）将导致无法看到其他主机组的问题。

来自多个用户组的主机访问

一个用户可以属于任意数量的用户组。这些组可能对主机具有不同的访问权限。

因此，了解非特权用户最终能够访问哪些主机是很重要的。例如，让我们考虑一下对于用户组A和B中的用户，在不同情况下对主机X(在主机组1中)的访问将受到怎样的影响。

从Zabbix 2.2开始，“读写”权限优先于“读”权限。

• 在与上述相同的场景中，如果’X’同时也在主机组2中，并且 拒绝 了用户组A和B，那么对’X’的访问将 不可用，尽管对主机组1具有 读写 权限。

• 如果用户组 A没有定义权限，同时用户组 B具有对主机组 1 的 读写 权限，那么用户将获得对’X’的 读写 访问权限。

• 如果用户组 A 具有对主机组 1的 拒绝 访问权限，而用户组 B具有对主机组 1的 读写 权限，则用户将被拒绝 访问’X’。

其他细节

• 具有对主机 读写 权限的管理员级别用户，如果没有访问 templates组的权限，就不能链接/取消链接模板。有了对 Templates 组的读访问权限，他将能够将模板链接到主机，但是，在模板列表中看不到任何模板，并且不能对其他地方的模板进行操作。

• 具有对主机 读 权限的管理员级别用户，将不会在配置页面的主机列表中看到主机；但是，在IT服务配置中可以访问主机触发器。

• 如果明确拒绝访问相关主机，Zabbix Server将不会向定义为动作操作接收者的用户发送通知。