上网对象和访问权限策略在设备上都是独立的元素，需要将它们关联起来访问策略才会起作用。查看设备的用户和给特定的用户添加权限策略的方法如下描述。

点击策略列表中的一条策略，在[策略设置/适用对象]中，可以看到策略可关联的上网对象，如下图。

对象包括四种类型：用户、位置、终端类型和目标区域。

用户：指用户的类型，包含所有用户、本地用户、用户属性组、源IP。

位置：通过不同的IP段、无线网络或VLAN三种方式划分不同的位置。

终端类型：指识别的类型：移动终端、PC、共享终端、IOT终端、医疗设备。

目标区域：指访问的目标IP范围。

：

IOT终端和医疗设备适用于避免哑终端暴露在外网的风险并针对其做访问权限策略防止外联的场景。

其中用户类型的分类有：本地用户、域用户、域安全组、域属性、用户属性、源IP。

• 本地用户：是指同步到本地、认证策略添加到本地、本地创建的用户，这些用户可以直接在“本地用户”下进行选择。

• 域用户：中会以OU组的组织方式，列出已配置的所有LDAP服务器，可以在这里对OU或域用户进行选择。

• 域安全组：以OU组的组织方式，列出已配置的所有LDAP服务器，但是这里只能选择安全组，不能选择域用户以及OU组。

• 域属性：LDAP服务器上符合指定属性的用户。

• 源IP：内网用户的源IP范围。

在域属性页面，点击<新增>定义属性条件，一条规则可以设置最多5个条件，多个条件之间是“与”的关系。

“用户属性组”指符合指定属性的用户。在用户属性组页面，点击<新增>，定义属性条件，一条规则可以设置最多5个条件，多个条件之间是与的关系。

：

在用户管理中添加访问权限策略

步骤1.进入[接入管理/用户管理/本地组/用户]管理页面，在组织结构中选择需要添加策略的用户组如“工程师”。

步骤2.在右边[组织成员及权限策略设置]页面中点击<策略列表>。

步骤3.点击<添加策略>，选择需要关联的权限策略“工程师权限策略”，勾选[递归应用到子组]表示添加的策略同时关联给子组，不勾选则表示当前子组不会添加该策略，但当前组的直属用户以及后续新增子组默认会添加该策略。设置完成后点击<确定>。

步骤4.返回策略列表页面，查看用户组关联的策略列表。[应用于全部用户及子组用户]用于显示该策略是否被所有子组用户及直属用户引用。

在线用户管理中添加策略（需要单独对某个在线用户更改策略时）

步骤1.在[全网监控/入网用户管理/在线用户管理]页面，在在线用户列表中选择需要添加/编辑策略的用户“zuoml”。

步骤2.点击用户名，进入该用户编辑页面。

步骤3.在策略列表点击<添加策略>，选择需要关联的访问权限策略和审计策略。

步骤4.通过在线用户列表编辑和修改在线用户上网策略时，只能对非临时用户进行操作。如果是临时用户上线，点击在线用户列表中的用户名，只能查看该用户的策略结果集，无法在直接在在线用户列表中修改上网策略。