角色与权限
GuardMDM 内置了三个角色,用于控制用户在组织内可以查看和执行的操作。
角色概览
| 角色 | 访问级别 | 主要能力 |
|---|---|---|
| Owner(所有者) | 完全 | 管理账单、删除组织、邀请/移除用户、更改角色、拥有 Admin 的所有能力 |
| Admin(管理员) | 写入 | 管理设备、分组、蓝图、邀请用户、编辑组织设置 |
| Read Only(只读) | 查看 | 浏览设备、分组、蓝图和设置 — 无法创建、编辑或删除 |
Owner(所有者)
所有者拥有无限制的访问权限。只有所有者可以:
- 更改其他用户的角色(包括将某人提升为 Owner)
- 删除组织
- 管理账单和订阅
- 移除任何用户(其他 Owner 和 Superadmin 除外)
组织中必须始终至少有一位 Owner。
Admin(管理员)
管理员负责日常管理:
- 注册、取消注册和擦除设备
- 创建和编辑设备分组
- 创建和编辑蓝图
- 邀请新用户加入组织
- 编辑组织显示名称和设置
管理员无法管理账单、删除组织或更改用户角色。
Read Only(只读)
只读用户可以查看所有内容,但无法修改任何内容。此角色适用于审计人员、只需查看设备状态的支持人员,或希望获得可见性但不想因误操作造成风险的干系人。
更改用户角色
- 前往 设置 > 人员。
- 在列表中找到该用户。
- 点击其姓名旁的角色下拉菜单。
- 选择新角色。
- 更改立即生效 — 不会显示确认对话框。
只有拥有 Owner 角色的用户才能更改角色。
角色保护
某些用户受到保护,无法被删除或降级:
- Owner:Owner 无法被其他 Owner 移除或降级。要转移所有权,当前 Owner 必须先提升另一用户为 Owner,然后原 Owner 才能被移除。
- Superadmin:系统级别的 Superadmin(显示在人员列表中)无法被任何组织级别的用户删除或更改角色。Superadmin 在组织外部进行管理。
尝试删除或降级受保护的用户将显示错误消息。
角色对界面的影响
界面会根据用户的角色进行调整:
- Read Only 用户可以看到所有页面,但编辑/删除按钮、操作菜单和内联编辑控件会被隐藏。表单以只读视图呈现。
- Admin 用户可以看到除账单和用户管理操作之外的所有控件。
- Owner 用户可以看到所有内容。
这种基于角色的界面隐藏也在服务端强制执行 — API 会拒绝来自没有相应角色的用户的写入请求,因此客户端隐藏是一种便利措施,而非安全边界。
