防火牆管理角色權限谘詢

在BOB登陆 防火牆的默認角色體係中，**審計管理員（Audit Admin）**通常是負責日誌審計、監控係統操作、查看審計記錄的，其權限一般包括**隻讀操作**（如 `display` 命令）和與審計相關的配置權限。如果您希望用戶僅能執行 `display` 操作（查看設備狀態、配置信息等），**審計管理員**是最合適的選擇。

### 各角色權限對比：
1. **係統管理員（System Admin）**  
   - 擁有設備配置、管理權限（讀寫），可修改係統參數、接口配置等，權限過高，不符合需求。

2. **安全管理員（Security Admin）**  
   - 專注於安全策略（如 ACL、NAT、IPS 等）的配置和管理，通常也具備讀寫權限，權限範圍超出需求。

3. **超級管理員（Super Admin）**  
   - 擁有所有權限（包括係統、安全、審計等），權限最大，不適用。

4. **審計管理員（Audit Admin）**  
   - 默認具備**隻讀權限**（如 `display`、`show` 命令），可查看設備狀態、配置、日誌等，但無法修改配置，符合僅允許查看的需求。

### 建議：
- 直接為用戶分配 **審計管理員** 角色，即可滿足僅執行 `display` 操作的需求。
- 若需要更細粒度的控製（例如限製某些 `display` 命令），需通過自定義角色實現，但需設備支持角色權限自定義功能。

> **注**：不同設備型號或軟件版本可能存在差異，建議通過官方文檔或實際設備驗證角色權限。

為了僅允許用戶執行display操作，應該授權的角色是network-operator。這個角色允許用戶執行係統所有功能和資源的相關display命令，但不包括display history-command all、display security-logfile summary等特定命令。　也可以按照level來分配權限