防火墙管理角色权限咨询

在新华三防火墙的默认角色体系中，**审计管理员（Audit Admin）**通常是负责日志审计、监控系统操作、查看审计记录的，其权限一般包括**只读操作**（如 `display` 命令）和与审计相关的配置权限。如果您希望用户仅能执行 `display` 操作（查看设备状态、配置信息等），**审计管理员**是最合适的选择。

### 各角色权限对比：
1. **系统管理员（System Admin）**  
   - 拥有设备配置、管理权限（读写），可修改系统参数、接口配置等，权限过高，不符合需求。

2. **安全管理员（Security Admin）**  
   - 专注于安全策略（如 ACL、NAT、IPS 等）的配置和管理，通常也具备读写权限，权限范围超出需求。

3. **超级管理员（Super Admin）**  
   - 拥有所有权限（包括系统、安全、审计等），权限最大，不适用。

4. **审计管理员（Audit Admin）**  
   - 默认具备**只读权限**（如 `display`、`show` 命令），可查看设备状态、配置、日志等，但无法修改配置，符合仅允许查看的需求。

### 建议：
- 直接为用户分配 **审计管理员** 角色，即可满足仅执行 `display` 操作的需求。
- 若需要更细粒度的控制（例如限制某些 `display` 命令），需通过自定义角色实现，但需设备支持角色权限自定义功能。

> **注**：不同设备型号或软件版本可能存在差异，建议通过官方文档或实际设备验证角色权限。

为了仅允许用户执行display操作，应该授权的角色是network-operator。这个角色允许用户执行系统所有功能和资源的相关display命令，但不包括display history-command all、display security-logfile summary等特定命令。　也可以按照level来分配权限