Skip to content

角色与权限

GuardMDM 内置了三个角色,用于控制用户在组织内可以查看和执行的操作。

角色概览

角色访问级别主要能力
Owner(所有者)完全管理账单、删除组织、邀请/移除用户、更改角色、拥有 Admin 的所有能力
Admin(管理员)写入管理设备、分组、蓝图、邀请用户、编辑组织设置
Read Only(只读)查看浏览设备、分组、蓝图和设置 — 无法创建、编辑或删除

Owner(所有者)

所有者拥有无限制的访问权限。只有所有者可以:

  • 更改其他用户的角色(包括将某人提升为 Owner)
  • 删除组织
  • 管理账单和订阅
  • 移除任何用户(其他 Owner 和 Superadmin 除外)

组织中必须始终至少有一位 Owner。

Admin(管理员)

管理员负责日常管理:

  • 注册、取消注册和擦除设备
  • 创建和编辑设备分组
  • 创建和编辑蓝图
  • 邀请新用户加入组织
  • 编辑组织显示名称和设置

管理员无法管理账单、删除组织或更改用户角色。

Read Only(只读)

只读用户可以查看所有内容,但无法修改任何内容。此角色适用于审计人员、只需查看设备状态的支持人员,或希望获得可见性但不想因误操作造成风险的干系人。

更改用户角色

  1. 前往 设置 > 人员
  2. 在列表中找到该用户。
  3. 点击其姓名旁的角色下拉菜单。
  4. 选择新角色。
  5. 更改立即生效 — 不会显示确认对话框。

只有拥有 Owner 角色的用户才能更改角色。

角色保护

某些用户受到保护,无法被删除或降级:

  • Owner:Owner 无法被其他 Owner 移除或降级。要转移所有权,当前 Owner 必须先提升另一用户为 Owner,然后原 Owner 才能被移除。
  • Superadmin:系统级别的 Superadmin(显示在人员列表中)无法被任何组织级别的用户删除或更改角色。Superadmin 在组织外部进行管理。

尝试删除或降级受保护的用户将显示错误消息。

角色对界面的影响

界面会根据用户的角色进行调整:

  • Read Only 用户可以看到所有页面,但编辑/删除按钮、操作菜单和内联编辑控件会被隐藏。表单以只读视图呈现。
  • Admin 用户可以看到除账单和用户管理操作之外的所有控件。
  • Owner 用户可以看到所有内容。

这种基于角色的界面隐藏也在服务端强制执行 — API 会拒绝来自没有相应角色的用户的写入请求,因此客户端隐藏是一种便利措施,而非安全边界。

基于 MIT 许可证发布