角色

Vulnerability Protection 趋势科技服务器深度安全防护系统使用基于角色的访问控制来限制用户对 Vulnerability Protection 趋势科技服务器深度安全防护系统各个部分的访问。安装 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心后，应为每个用户创建单独的帐户并为每个用户分配一个角色，该角色将限制除那些完成其职责所必需的活动外的所有活动。

Vulnerability Protection 趋势科技服务器深度安全防护系统随附了两个预先配置的角色：

完全访问权限：“完全访问权限”角色可以授予用户有关管理 Vulnerability Protection 趋势科技服务器深度安全防护系统的所有可能的权限，包括创建、编辑和删除计算机、计算机组、策略、规则、恶意软件扫描配置以及其他项。
审计员：“审计员”角色可以为用户提供在 Vulnerability Protection 趋势科技服务器深度安全防护系统中查看所有信息的功能，但不能修改除其个人设置（例如密码、联系信息、控制台布局首选项以及其他设置）之外的所有设置。

管理中心界面中的控件的状态可以为“可见且可更改”、“仅可见但已禁用”或“已隐藏”，具体取决于授予的访问权限级别。有关预先配置的角色中授予的权限列表以及创建新角色时的缺省权限设置，请参阅用户管理。

您可以创建新角色来限制用户编辑甚至查看 Vulnerability Protection 趋势科技服务器深度安全防护系统的对象（例如，特定计算机、安全规则的属性或系统设置）。

创建用户帐户之前，请确定用户将拥有的角色，并详细列举这些角色需要访问的 Vulnerability Protection 趋势科技服务器深度安全防护系统对象以及访问权限的性质（查看、编辑、创建等）。创建角色后，则可以开始创建用户帐户并为其分配特定角色。

请勿通过复制然后修改完全访问权限角色来创建新角色。要确保新角色仅授予所需的权限，请通过单击工具栏中的新建来创建新角色。缺省情况下，新角色的权限设置具有最强的限制性。然后，可继续仅授予所需的权限。如果复制完全访问权限角色，然后应用限制，则会存在授予一些不需要的权限的风险。

在主页面上可以执行下列操作：

创建新角色 ()
查看或修改现有角色的属性 ()
复制（然后修改）现有角色 ()
删除角色 ()

单击新建 () 或属性 () 将显示角色属性窗口，该窗口包括六个选项卡（常规、计算机权限、策略权限、用户权限、其他权限和已分配给）。

常规

常规信息

此角色的名称和描述。

访问类型

选择具有此角色的用户是有权访问 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心的基于 Web 的用户界面权限，或者有权访问 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心的 Web 服务 API，还是同时具有这两种访问权限。

要启用 Web 服务 API，请转至管理 > 系统设置 > 高级 > SOAP Web 服务 API。

计算机权限

计算机和组权限

使用计算机和组权限面板可以将查看、编辑、删除、解除警报和事件标记的权限授予具有某角色的用户。这些权限可应用到所有计算机和计算机组中，也可以将其仅限制到某些计算机。如果希望限制访问权限，请选择选定的计算机单选按钮并选中具有此角色的用户有权访问的计算机组和计算机旁边的框。

这些权限限制不仅影响用户对 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心内的计算机的访问权限，还会影响可见的信息（包括事件和警报）。此外，只有电子邮件通知与用户有权访问的数据相关时，才会发送电子邮件通知。

提供以下四个基本选项可供选择：

允许查看未选定的计算机和数据：如果限制了具有此角色的用户的编辑/删除/解除警报权限，您仍可以通过选中此框来允许他们查看（但不能更改）有关其他计算机的信息。
允许查看与计算机无关的事件和警报：设置此选项可允许具有此角色的用户查看与计算机无关的信息（例如，系统事件，如当前已锁定的用户、创建的新防火墙规则、删除的 IP 列表等）。
前两种设置影响用户可以访问的数据。虽然已限制用户更改计算机，但这两种设置控制用户是否可以查看与其不可以访问的计算机相关的信息。这包括接收与这些计算机相关的电子邮件通知。
允许在选定组中创建新的计算机：设置此选项可允许具有此角色的用户在其有权访问的计算机组中创建新的计算机。
允许在选定组中添加/移除子组：设置此选项可允许具有此角色的用户在其有权访问的计算机组中创建和删除子组。

高级权限

允许导入计算机文件：允许具有此角色的用户使用通过 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心的导出计算机选项创建的文件来导入计算机。
允许添加、移除和同步目录：允许具有此角色的用户添加/移除和同步使用基于 LDAP 的目录（如 MS Active Directory）管理的计算机。
允许添加、移除和同步 VMware vCenter：允许具有此角色的用户添加、移除和同步 VMware vCenter。
允许添加、移除和同步云提供程序：允许具有此角色的用户添加、移除和同步云提供程序。

策略权限

确定具有特定角色的用户拥有的创建、删除、修改或导入策略的权限。

策略权限

使用策略权限面板可以将查看、编辑和删除的权限授予具有某角色的用户。这些权限可应用到所有策略，或者这些权限仅限于某些策略。如果希望限制访问权限，请选择选定的策略单选按钮，然后选中具有此角色的用户有权访问的策略旁边的框。

向具有子策略的策略授予权限后，用户也会自动获得子策略的权限。

提供以下两个基本选项可供选择：

允许查看未选定的策略：如果限制了具有此角色的用户的编辑/删除权限，您仍可以通过选中此框来允许他们查看（但不能更改）有关其他策略的信息。
允许创建新策略：设置此选项可允许具有此角色的用户创建新的策略。

高级权限

允许策略导入：允许具有此角色的用户使用通过 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心的策略选项卡上的导出选项创建的文件来导入策略。

用户权限

利用用户权限选项卡上的选项可设置具有此角色的用户对其他用户所拥有的权限类型。

仅更改自身密码和联系信息：具有此角色的用户仅能更改自身密码和联系信息。
创建和管理具有同等或较低访问权限的用户：具有此角色的用户可创建和管理具有同等或较低访问权限的所有用户。即使仅有一项权限超出具有此角色的用户的权限，具有此角色的用户也无法创建或管理它们。
完全控制所有角色和用户：具有此角色的用户可以无限制地创建和编辑用户或角色。
请谨慎使用这最后一个选项。如果将此选项分配给一个角色，则可能为具有受限权限的用户提供以下能力：创建对 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心所有方面都具有非限制访问权限的用户，然后以该用户身份登录。

定制权限

您可以选择定制然后使用定制权限面板中的选项，进一步限制用户查看/创建/编辑/删除用户和角色的能力。如果选择了仅可操控具有同等或较低权限的用户选项，一些用户的某些选项可能受限制（请参阅下面内容）。

委派授权

选择仅可操控具有同等或较低权限的用户选项时，将限制具有此角色的用户的授权。他们仅能实现与其具有同等或较低权限的用户的更改。

选择此选项后，具有此角色的用户将不能创建、编辑或删除角色。

选择此选项还会对定制权限区域中的某些选项进行限制：

可以创建新用户：仅能创建具有同等或较低权限的用户。
可以编辑用户属性：仅能编辑具有同等或较低权限的用户（或设置/重置密码）。
可以删除用户：仅能删除具有同等或较低权限的用户。

其他权限

可以针对角色可控制的 Vulnerability Protection 趋势科技服务器深度安全防护系统对象来对角色进行限制。对于每个元素，新角色的缺省设置为“仅查看”或“隐藏”，但这些权限可扩展到“完全控制”，或通过从下拉列表中选择“定制”对其进行定制。

已分配给

已分配给选项卡显示已分配有此角色的用户列表。