更新时间：2026-05-14 GMT+08:00

用户

一个用户是登录堡垒机系统的一个登录账号。超级管理员admin是系统默认用户，为系统第一个可登录用户，拥有系统最高操作权限，且无法删除和更改权限配置。

管理员在堡垒机系统中创建用户，并为用户分配不同的角色，根据角色权限的不同，各用户拥有不同的系统操作和访问权限。

超级管理员admin和其他拥有“用户”模块操作权限的人员，可以新建和管理用户。

用户类型

用户类型	说明
本地用户	认证源为本地认证，通过堡垒机新建或导入创建的用户。
LDAP用户	认证源为LDAP，通过LDAP认证源同步到堡垒机的用户。
AD用户	认证源为AD，通过AD认证源同步到堡垒机的用户。
RADIUS用户	认证源为RADIUS，通过RADIUS认证源同步到堡垒机的用户。
CAS用户	认证源为CAS，通过CAS认证源同步到堡垒机的用户。
SAML2用户	认证源为SAML2，通过SAML2认证源同步到堡垒机的用户。
JWT用户	认证源为JWT，通过JWT认证源同步到堡垒机的用户。
钉钉用户	认证源为钉钉，通过钉钉认证源同步到堡垒机的用户。
企业微信用户	认证源为企业微信，通过企业微信认证源同步到堡垒机的用户。

新建用户

方式一：手动创建单个用户

登录堡垒机系统。
单击，将控制台切换到“管理控制台”模式。
在左侧导航树，选择“用户 > 用户管理”。

单击“新建”，设置用户信息。

图1 添加用户

表1 创建用户参数说明
分类	参数名称	参数说明
基本信息	用户名	自定义用户名称，全局唯一，设置之后将不可更改。
	平台角色	选择用户角色，包括系统预置的超级管理员、系统管理员、安全管理员、安全审计员、普通用户，或其他自定义角色。单击，可查看各角色拥有的具体权限。
	部门	选择用户所属部门。
	认证源	选择用户认证方式，包括本地认证、RADIUS、AD、LDAP、钉钉、企业微信等。
	同步源	用户使用远程认证时，可自定义选择用户数据的同步来源。
安全配置	状态	设置用户状态。启用（默认）：用户创建成功后，该用户可正常登录堡垒机进行操作。禁用：用户创建成功后，该用户无法登录堡垒机进行操作。
	多因素认证	选择用户多因素认证类型。跟随系统（默认）：该用户的认证方式始终与用户配置中配置的认证方式保持一致。自定义：可指定该用户的认证方式，认证方式包括“密码和第三方USBKEY”、“密码和RADIUS动态口令”、“密码和短信口令”、“密码和手机OTP口令”、“密码”。
	有效期	设置用户有效期。永久（默认）：该用户永久有效自定义：自定义有效期，超出有效期后，该用户将无法登录堡垒机。
更多信息	用户组	选择用户所属用户组。
	手机号	设置用户手机号，用于接收系统通知。
	邮箱	设置用户邮箱，用于接收系统通知。
	备注	用户备注信息。

单击“确定”。
用户创建成功后，您可以在用户列表中查看新建的用户。

方式二：批量导入用户

登录堡垒机系统。
单击，将控制台切换到“管理控制台”模式。
在左侧导航树，选择“用户 > 用户管理”。
单击“新建”旁边的下拉框，然后单击“导入用户”。
单击“下载模板文件”，将模板文件下载到本地。
按模板填入用户信息后，上传文件。

按需设置导入参数。

表2 导入用户参数说明
参数名称	参数说明
更新已有同名用户	勾选后，如果导入的用户名与系统中已有的用户名相同，则会覆盖更新。不勾选情况下，如果导入的用户名与系统中已有的用户名相同，则不会导入该用户。
导入成功后，自动发送密码至用户邮箱或手机	勾选后，导入成功会自动将密码发送至用户配置的邮箱或手机。发送至邮箱：需确保已配置邮件服务器且用户需要配置邮箱，邮件服务器配置操作请参见邮件配置。发送至手机：需确保系统已配置短信网关且用户需要配置手机号，短信网关配置操作请参见短信配置。

单击“导入”。

编辑用户

方式一：编辑单个用户
可修改表1中除“用户名”以外的所有用户信息。
1. 登录堡垒机系统。
2. 单击，将控制台切换到“管理控制台”模式。
3. 在左侧导航树，选择“用户 > 用户管理”。
4. 在目标用户所在行的“操作”列，单击“编辑”。
  图2 编辑单个用户
1. 在弹出的编辑用户页面中，修改用户信息后，单击“确定”。
方式二：批量编辑用户
仅可修改表1中部分用户信息。
1. 登录堡垒机系统。
2. 单击，将控制台切换到“管理控制台”模式。
3. 在左侧导航树，选择“用户 > 用户管理”。
4. 在用户列表中勾选需要修改的一个或多个用户后，单击列表上方的“编辑”。
  图3 批量编辑
5. 在弹出的编辑用户页面中，修改用户信息后，单击“确定”。