User Group

Panduan membuat User Group di Mikrotik.

Gambar di atas menunjukkan sebuah group (misal: group-web) yang memiliki izin terbatas — hanya beberapa policy dicentang untuk membatasi akses user yang bergabung pada group ini.

🎯 Tujuan

Membuat group user yang aman untuk tugas manajemen terbatas (mis. untuk staff web atau operator) tanpa memberikan izin penuh (policy). Group ini hanya diberikan policy: read, write, api, dan sensitive (sesuai gambar).

🖱️ Langkah (Winbox / WebFig)

1. Buka Winbox atau WebFig dan login sebagai user dengan hak admin.

2. Pergi ke menu System → Users → tab Groups.

3. Klik + (Add) untuk membuat group baru.

4. Isi Name misal group-web.

5. Pada bagian Policies centang hanya:

   • read
   • write
   • api
   • sensitive

   (Biarkan checkbox lain tidak tercentang — policy, telnet, ssh, winbox, password, web, dll. tidak dicentang.)

6. Klik OK atau Apply.

7. Untuk menambahkan user ke group ini, buka tab Users → Add dan set Group ke group-web.

💻 Langkah (CLI) — contoh perintah

Berikut perintah CLI yang setara. Salin dan jalankan pada terminal Mikrotik (Winbox Terminal atau SSH).

# 1) Tambah group baru dengan policies terbatas
/user group add name=group-web policies=read,write,api,sensitive comment="Group untuk web/operator"
 
# 2) Tambah user dan gabungkan ke group
/user add name=weboperator password=StrongPass123! group=group-web comment="User untuk operasi web"
 
# 3) (Opsional) Ubah policies group jika perlu
/user group set [find name=group-web] policies=read,write,api,sensitive
 
# 4) Hapus group (jika ingin rollback)
/user group remove [find name=group-web]

Catatan: policies= menerima daftar koma tanpa spasi. Gunakan perintah /user group print untuk melihat group yang tersedia.

🔎 Penjelasan singkat tiap policy yang dicentang

• read : Mengizinkan user melihat konfigurasi (read-only upaya tertentu).
• write : Mengizinkan user melakukan perubahan konfigurasi pada objek yang diizinkan.
• api : Mengizinkan akses via API (berguna untuk integrasi/remote tools yang memakai API).
• sensitive : Mengizinkan akses ke data sensitif (mis. some credentials); hati-hati memberikan ini.

sensitive memberi akses ke bagian yang biasanya tersembunyi; hanya berikan jika benar-benar diperlukan.

✅ Tes setelah pembuatan

1. Login menggunakan user yang baru dibuat (weboperator) via Winbox/WebFig/SSH.
2. Pastikan user bisa melihat dan mengubah object sesuai kebutuhan tetapi tidak dapat melakukan tindakan yang tidak diinginkan (mis. mengubah user admin lain jika tidak diperlukan).
3. Cek ulang daftar policies:

/user group print
/user print

⚠️ Tips Keamanan

• Jangan berikan policy kecuali user benar-benar butuh (policy memberikan akses luas untuk mengubah policy sendiri).
• Hindari memberikan password atau winbox policy kecuali diperlukan.
• Pertimbangkan menonaktifkan API jika tidak diperlukan, atau batasi akses API lewat firewall dan IP whitelist.
• Gunakan password kuat dan rotasi password secara berkala.
• Catat dan audit perubahan yang dibuat oleh user dengan logging.

🧾 Ringkasan (Quick Reference)

• Nama group: group-web
• Policies yang dicentang: read,write,api,sensitive
• Perintah cepat:

/user group add name=group-web policies=read,write,api,sensitive
/user add name=weboperator group=group-web password=StrongPass123!

Jika mau, saya bisa juga menambahkan screenshot kecil atau contoh konfigurasi pengguna lain (mis. membatasi API hanya dari IP tertentu). Mau saya tambahkan juga contoh IP whitelist untuk API atau logging step-by-step?

Selesai — halaman User Group sudah dibuat di app/mikrotik-tutorial/user-group/page.mdx.