смысл в назначении разных прав разным пользователям. И НЕ ПОЛУЧАЮТ никаких привелегий сверх того, что им разрешено, т.к. не знают enable пароля.
А это тут причём?
Для общего развития рассмотрите организацию с сотней-другой железок и десятком админов разной заточки, которые до кучи ещё и увольняются и нанимаются новые. Чтобы не иметь гемороя с перенастройкой пары сотен железок при увольнении/наёме и повышении/понижении статуса про enable просто забывают а юзеров-пароли-привелегии хранят или в фирменном tacacs или в кросплатформенном radius. И всё файн. Наняли/уволили, на сервере реквизиты поменяли и всё.
Ну и про локального бекдор пользователя забывать не надо, в то при обрыве связи локально с ноутбука будет не попасть. Вот локальному пользователю enable и пригодится, чтобы "перескочить" сложные политики доступа, оставшиеся на ставшем таким недоступным сервере, и сразу стать самым-самым. И приступить к траблшуту.
Эти рассуждения верны для классического IOS. В ASA же принципиально нельзя обеспечить вход админа с уровнем привилегий 15 (хоть что будет написано в username). Если прописать пользователя 15, то ему при входе на ASA всё-рано придётся вводить пароль enable, единый для всех юзеров. И пароль этот такаксом не сменить. Т.е., получается, что при понижении роли админа - надо всем менять пароль enable.
откройте уже для себя команду login. поставьте очень длинный enable пароль.
и гляньте в сторону
aaa authorization exec LOCAL auto-enable
