刚开始测试/研究OTRS时，可能都会碰到类似的困惑。比如我，也许我的安装步骤不太正确？说说我的安装步骤：

第一步，我是在Windows XP SP2环境下安装了Otrs 3.1.3for windows x86标准版.

第二步，我在此基础上，把所有能够安装的OTRS的免费组件全部安装上了。全部功能见下图：

（我也不是随便乱装的，这些功能对我来说都非常有用。比如，标准版OTRS安装只是一个Help Desk，没有ITSM，也即是没有CMDB（配置管理），而这一块对ITIL实践来说没有怎么行呢。同时，FAQ功能非常有用，对于减少维护量来说也是必备。）

不一一赘述。在这种情况下，由于安装这些模块，差不多都会在系统中建立中建立相应的群组来对应不同的功能，方便以后分配功能角色时做统一的权限控制。所以，在这些模块都装完以后，群组列表中看起来就相当热闹了：

单独这样一个维度看起来没有问题，但是，当给某一个用户分配群组功能时理解起来就不是那么容易了。看看下图：

难在什么地方呢？我们看到，这时候维度增加了，对于每行对应的某一个功能，在每一列上增加了一个该功能模块上的权限的维度。所以，我们在规划用户时，首先要规划好角色，为角色分配具有某些组的权限功能，然后建立用户，并把用户指派为某个角色。

在写这篇博文的时候，正好碰上了群里的管理员CENTOS_3.1.3_ITSMchendw#sggggy.com，他说了一些话很有借鉴价值：

-----------------------------------------------------------------------------------------

角色就是什么一级技术支持啦 技术经理啦 变更经理 配置管理员什么的 把ITIL往里面套就对了。

他本身支持简单的组权限管理 就和活动目录的组一样；

看具体应用了 我建议是用基于角色的 规模大了就能看出优势 如果只有几个人 业务也简单的话 就没这必要了

-----------------------------------------------------------------------------------------

同时，他还翻译过一篇文章，在https://sggggy.wiki.zoho.com/OTRS-Agent-Permissions-Roles-and-Groups.html

说的比较详细，我摘抄在这里：

=========================================================

OTRS Agent权限:角色与群组

OTRS 提供两种级别的支持人员权限控制：群组与角色。

在OTRS中创建支持人员时，需要为新支持人员创建权限集，这样他们才可以开始使用系统。再创建新的支持人员帐号后，系统会自动将你跳转至Agents <-> Groups权限配置页面。在此你可以将新帐号加入现有群组，给帐号授予群组权限。OTRS系统默认会自动创建下列群组：

• admin - 拥有管理面板的所有最大权限
• stats - 拥有统计面板的所有最大权限
• users - 拥有用户面板的所有最大权限

一些群组会在你安装OTRS系统其他额外模块时自动创建。你同样可以为自己不同的队列创建不同的群组。

通过Agents<->Groups来完全定义支持人员的权限，在你只拥有2-3个支持人员与一些队列时，是完全可以实现的，这里不会产生任何问题。但是，当你需要在大型组织中使用OTRS时，将会有数十或数百名支持人员与队列。在这样的情况下，将无法通过手动定义群组权限来解决权限分配的问题。

此时，就要利用角色这个权限配置功能。我们假设现在有五类人在使用这个系统。这些人是管理员(Administrators)，用户服务人员(Customer Service Agents)，技术支持(Technical Support)，工程师(Engineers)以及研发(R&D)。可以为不同类的人群定义具有特定权限的角色，接着再利用Agents<->Roles配置页面，可以将每个人员与适当的角色进行关联，配置操作十分简单。

使用角色来定义权限，还有另外一个优势，当你变更某个队列或创建新队列时，质询要更新对应角色的权限，而不是更新所有独立的支持人员。我们以如下图例来可视化的解释群组与角色之间的差异：

思路方向:

Agents <-> Groups  支持人员<->群组

通过Agents <-> Groups方法来设置此权限，在Admin/Agents面板创建支持人员帐号。当提交支持人员创建请求后，你将被跳转至Agents<->Groups页面，在此为每个支持人员定义群组权限。

Agents <-> Roles  支持人员<->角色

通过Agents <-> Roles方法，在Admin/Roles页面创建角色。在角色创建完成后，进入Admin/Roles <-> Groups，页面，定义每个角色的具体权限。一旦完成了角色权限定义，进入Admin/Roles <-> Agents，便可以轻松为支持人员分配所需的角色。

=========================================================

这样一说，就明白了很多了。你说对吗？

把我们讨论的话题放在下面吧，一为纪念，二为辨析清楚：

阳光(69980173)  22:21:15
OTRS有一个设计我没有搞明白，为什么可以不通过角色直接为用户分配权限？这样做有什么特别的好处吗？
比如，新装好系统以后，一个角色都没有。
阳光(69980173)  22:23:17
这样不是很容易混乱吗？
CENTOS_3.1.3_ITSM<chendw@sggggy.com>  22:24:13
权限有两种设置方法 一种是组 一种是角色
阳光(69980173)  22:24:24
我觉得还是应该角色有某种相对固定的功能权限，然后用户属于指定的角色，从而具有该角色所有的权限，这样似乎更清晰一些。
CENTOS_3.1.3_ITSM<chendw@sggggy.com>  22:24:24
一个角色可能会需要很多个组的权限
咦 我记得我翻过这片文档
阳光(69980173)  22:25:00
组 是一种权限吗？
CENTOS_3.1.3_ITSM<chendw@sggggy.com>  22:25:03
https://sggggy.wiki.zoho.com/OTRS-Agent-Permissions-Roles-and-Groups.html
阳光(69980173)  22:25:23
我怎么觉得组（group）=某个功能呢？
阳光(69980173)  22:27:16
比如，一个 FAQ group ，代表 FAQ的这个功能组件模块。

比如，每行代表一个功能组件
列代表 增删改查 的权限
CENTOS_3.1.3_ITSM<chendw@sggggy.com>  22:28:46
假设 你有一个帮助台的员工 他要 1、2、3、4、5组的权限
阳光(69980173)  22:28:52
这样，某组某列确定 这个 角色 在该功能有该读/写/修改/移动的权限
CENTOS_3.1.3_ITSM<chendw@sggggy.com>  22:28:58
然后你就给他组权限了
但如果来了100个这样的员工 你要怎么搞
阳光(69980173)  22:29:37
对呀，所以，功能权限还是应该划分到 角色上
为上面你说的情况，建立一个 角色
CENTOS_3.1.3_ITSM<chendw@sggggy.com>  22:29:51

角色就是做这事的啊
阳光(69980173)  22:30:15
然后把100个 这样的员工，指定属于这样一个角色
CENTOS_3.1.3_ITSM<chendw@sggggy.com>  22:31:03
对啦 那理解的没错嘛
阳光(69980173)  22:32:18
我的意思是不应该有这个用户直接到组的权限分配设计：

用户必须属于某个角色，
而角色才对应 某些组的功能，似乎更合理一些。

阳光(69980173)  22:33:24
下面这个是我赞同的
中间必须有Role
CENTOS_3.1.3_ITSM<chendw@sggggy.com>  22:34:08
他本身支持简单的组权限管理 就和活动目录的组一样
阳光(69980173)  22:34:26
否则，有可能一个agent，不属于任何Role，但是他在系统中却有权限。
也许这样做更灵活？呵呵
CENTOS_3.1.3_ITSM<chendw@sggggy.com>  22:35:39
看具体应用了 我建议是用基于角色的 规模大了就能看出优势 如果只有几个人 业务也简单的话 就没这必要了
阳光(69980173)  22:36:35
嗯，我赞同你的意见
阳光(69980173)  22:37:46
用户直接找到组，好像员工直接找到老板一样，把部门经理不放在眼里嘛
CENTOS_3.1.3_ITSM<chendw@sggggy.com>  22:40:10
角色就是什么一级技术支持啦 技术经理啦 变更经理 配置管理员什么的 把ITIL往里面套就对了 用一阵再优化优化
磨合磨合就能跑上几年的
阳光(69980173)  22:42:07
嗯，没错。我刚发现一个问题，是我原来理解错了

阳光(69980173)  23:12:29
这个地方的 ”admin“是 管理面板（admin）这个功能。。。。
这个功能在系统中的位置与FAQ，TICKETS，DASHBOARD是平行同级的。
阳光(69980173)  23:14:46
我原来混淆了。

===================================================

这下可以更彻底地明白了吧？

感谢sggggs，我的朋友。他还有OTRS相关的好文章，大家可以参考：

https://sggggy.wiki.zoho.com/OTRS-Agent-Permissions-Roles-and-Groups.html