| Действие                                                              | Необходимые привилегии | Коментарии                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         |
| :------------------------------------------------------------------------------ | :------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Создать новую роль и сохранить ее            | Roles - Add                                      | При создании роли надо определить подразделение, к которому эта роль будет привязана. Подразделение новой роли должно входить в ограничение области действия по подразделениям (с учетом признака "Включая дочерние подразделения") всех привилегий Roles - Add у текущего пользователя                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                             |
| Добавить привилегии в роль                             | Role Privileges - Add                       | Достаточно наличия привилегии Role Privileges - Add у исполнителя. Для удаления привилегий потребуется привилегия Role Privileges - Delete                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                             |
| Добавить связанные привилегии                      | Role Privileges - Add                       | Достаточно наличия привилегии Role Privileges - Add у исполнителя. Операция должна быть выполнена до активации роли                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    |
| Указать привязки привилегий к сайтам     | Role Privileges - Modify                    | Достаточно наличия привилегии Role Privileges - Modify у исполнителя                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  |
| Назначить пользователей на роль              | Roles Membership -  Manage             | Достаточно наличия привилегии Roles Membership - Manage у исполнителя. Эта привилегия дает право на назначение роли как пользователям, так и группам пользователей.  Этот пункт может не выполняться, если необходимо добавлять пользователей в активную роль                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                |
| Активировать роль                                             | Roles - Modify                                   | - Привязка к подразделению активной роли пользователя с привилегией Roles - Modify включает в себя область действия активируемой роли - Подразделения всех без исключения пользователей, назначенных на роль, попадают  в область действия активной роли пользователя с привилегией Roles Membership - Manage - Подразделения всех без исключения пользователей, входящих в состав групп, назначенных на роль,  попадают в область действия активной роли пользователя с привилегией Roles Membership - Manage.  Принадлежность групп пользователей к подразделениям не учитывается - Подразделения всех без исключения пользователей, входящих в состав групп, назначенных на роль,  попадают в область действия активируемой роли - Подразделения всех без исключения пользователей, назначенных на роль,  попадают в область действия активируемой роли - Для исключения возможности эскалации привилегий добавлены следующие ограничения при активации роли:        * Пользователь, выполняющий активацию, обладает всеми привилегиями  (суммарно по всем назначенным ему активным ролям), которые входят в состав активируемой роли        * Привязки к сайтам привилегий в составе активируемой роли соответствуют привязкам к сайтам  привилегий в активных ролях пользователя, выполняющего активацию |
| Добавить пользователей в активную роль | Roles Membership - Manage                   | - Область действия активной роли пользователя с привилегией Roles Membership - Manage включает в себя область действия роли, над которой выполняется действие - Подразделение пользователя, назначаемого на роль (исключаемого из роли), попадает в область действия  активной роли пользователя с привилегией Roles Membership - Manage- Подразделения всех без исключения пользователей, входящих в состав группы, назначаемой на роль  (исключаемой из роли), попадают в область действия активной роли пользователя с привилегией  Roles Membership - Manage. Принадлежность групп пользователей к подразделениям не учитывается                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          |
