高风险预设
2 个System Admin
边界固定本周预设变更
需复核用户组预设库
按预设查看默认权限、默认范围和禁止继承的动作。
Regular User默认 Internal Requester + Related;可创建申请、查看允许范围、启动自己已批准且在窗口内的仿真。
ReviewerRegular User + Gate 1 和/或 Gate 2;Gate 2 不能审批自己创建的申请。
Report Publisher发布 Story 2 / Story 3 客户报告,确认客户收件人和下载权限。
Resource Manager管理内部目标、攻击目录、内部通知联系人、客户报告收件人。
Access Administrator管理用户、用户组预设、权限类型、可见范围、active/inactive;不能修改自己的访问权限。
System Administrator只等于 Resource Manager + Access Administrator;不默认拥有审核、启动、发布权限。
没有匹配的用户组预设清空搜索,或按 Reviewer、Access Administrator、System Administrator 等关键词查找。
预设治理规则
这里定义预设能做什么,不能做什么。
分配提速,不替代判定
用户保存后必须有独立的 Permission Type、Visibility Scope 和 Active State 字段。
Access Administrator 不能自改
即便预设允许访问管理,提交自己的权限变更也会被拒绝。
System Administrator 不继承敏感动作
审核、启动、报告发布必须单独授予对应 Permission Type。
客户查看者独立
Customer Report Viewer 只能查看已发布且绑定本客户/合同的报告。
预设默认值矩阵
默认值只在创建或重置用户时填充;具体用户可被显式收窄或扩展。
| User Group | 默认 Permission Type | 默认 Visibility Scope | 默认 Active | 必须明确拒绝 | 最近证据 |
|---|---|---|---|---|---|
| Regular User | Internal Requester | Related / Team | Active | 审批、发布、资源维护、访问管理 | RBAC-2406-017 |
| Reviewer | Internal Requester, Gate 1, Gate 2 | Team | Active | 审批自己创建的申请 | RBAC-2406-028 |
| Report Publisher | Report Publisher, Customer Report Viewer | Customer / Contract | Active | Gate 审批、启动仿真 | RBAC-2406-020 |
| Resource Manager | Resource Manager | Team | Active | Gate 审批、报告发布 | RBAC-2406-012 |
| Access Administrator | Access Administrator | Global | Active | 修改自己的访问权限 | RBAC-2406-031 |
| System Administrator | Resource Manager, Access Administrator | Global | Active | 审核、启动、发布 | RBAC-2406-033 |