公司新上了套网络管理平台,IT小张刚配完用户账号,第二天就发现市场部同事能进设备配置页改SNMP参数——这可不是闹着玩的。权限管理不是点几下‘保存’就完事,配得松了容易出事,配得太死又天天被同事催着开后门。
权限不是越细越好,而是要贴着角色走
别一上来就给每个按钮单独设开关。先想清楚:谁在什么场景下需要做什么。比如运维工程师要能重启交换机、查看端口流量;行政人员只需看带宽使用趋势图;财务同事可能只关心某几台服务器的在线状态。按‘角色’建组比按人设权限更省心,后期加人删人,拖进拖出就行。
默认拒绝,显式授权
很多平台默认勾选“继承上级权限”,结果新来的实习生账号一建好,顺手就把核心路由器策略删了。建议关掉自动继承,新建角色时先清空所有权限,再一条条加上真正需要的。比如只允许访问 /monitor/traffic 页面,禁止进入 /config/device 和 /system/user。
常见权限粒度参考(以主流平台为例)
● 设备视图:仅查看 / 可刷新 / 可导出图表
● 配置管理:只读 / 编辑(不含下发) / 编辑并下发
● 告警处理:查看 / 确认 / 关闭 / 自定义规则
● 用户管理:无 / 查看列表 / 重置密码 / 新建子账号特别注意‘批量操作’类权限,比如‘一键重启全部接入层交换机’,这种按钮最好单独隔离,连管理员组都不默认开启,要用时临时申请。
别忘了时间维度
权限还能限时。外包团队帮忙做季度巡检?给他一个有效期7天的‘临时运维组’,到期自动降权。夜班值班同事需要临时开通防火墙策略调试权限?用平台自带的‘时效工单’功能,填个理由、选两小时窗口,审批通过后权限自动生效、超时回收,不留尾巴。
日志不是摆设,得真有人看
把‘用户登录’‘权限变更’‘关键配置下发’这三类日志打开,并设置邮件告警。上周有家公司就是靠一条‘非工作时间,账号admin_03修改了核心路由BGP邻居地址’的日志,及时拦下了误操作。日志存够90天,硬盘不紧张,排查起来才有底气。
权限管理不是一锤子买卖。每季度翻一遍角色列表,删掉半年没登录的测试账号;新业务上线前,先拉上业务方一起过一遍他们实际要的操作路径,再反向补权限——这样配出来的系统,才既守得住底线,又不至于让同事天天跑你工位喊‘帮我点一下那个按钮’。