角色权限管理
云空间管理端默认内置了 系统管理员、运维管理员、代运维管理员、租户管理员、终端用户 5种用户角色。
系统管理员可以根据实际场景需求创建更多自定义的用户角色,并进一步细化其权限。
一、 命名空间与账号隔离
系统设计采用了 “2 + N” 个独立的命名空间,这是理解账号体系的关键:
- 系统管理员命名空间:包含内置的“系统管理员”、“运维管理员”和“代运维管理员”。
- 租户管理员命名空间:包含“租户主管理员”和“租户子管理员”。
- 终端用户命名空间 (N个):每个租户均拥有一个完全独立的终端用户命名空间。
重要提示:
- 重名处理:不同命名空间内的用户名可以重复(例如不同租户可以有相同的终端用户名),但同一空间内必须唯一。
- 登录入口:由于系统管理员与租户管理员可能重名,登录时必须严格区分入口:
- 系统控制台:
https://主管理节点IP/admin- 租户控制台:
https://主管理节点IP/tenant或https://主管理节点IP:44331- 登录标识:企业版终端用户登录时,需同时提供 租户名 和 用户名。
二、 内置角色职责说明
系统提供 5 种内置角色,其权限仅供查看,不可编辑:
- 系统管理员:负责系统级别的部署、版本管理、系统参数设置等核心工作。
- 运维管理员:负责日常的系统级管理与维护。
- 代运维管理员:一种特殊设计。虽属于“系统管理员命名空间”,但职责是辅助或替代租户管理员进行租户内务管理。
- 权限边界:系统管理员默认无法直接管理租户内的桌面、用户、策略组等资源。
- 开启方式:需赋予“代运维管理员”角色,并关联指定的代运维租户后,方可进入租户内操作。
- 租户管理员:负责所属租户内的资源管理。
- 终端用户:归属于各租户,仅拥有使用桌面资源的权限。
三、 进阶配置建议
- 自定义角色:一般情况下,建议优先使用内置角色。除非有极特殊的权限细分需求,否则不建议创建自定义角色,以避免权限范围设置不当导致的运维混乱。
- 三员管理(合规性):系统支持开启 “三员管理” 模式(系统管理员、安全保密员、安全审计员)。
- 不可逆性:一旦开启三员管理,系统将不允许回退到普通模式。
- 开启流程:如需开启,请联系厂商技术人员进行操作。