Организационная структура¶

Общие сведения¶

В подразделе осуществляется создание и управление организационной структурой подразделений домена. Также в подразделе выполняется назначение прав и ролей структурным подразделениям и управление учетными записями, входящими в состав структурного подразделения.

В подразделе в качестве корневого подразделения отображается домен. Структурные подразделения добавляются в домен в иерархическом виде.

При переходе в подраздел отображается поле поиска подразделений и контроллер домена.

Для поиска подразделения следует начать вводить в поле поиска название, результат поиска будет выводиться по мере ввода.

Для раскрытия структуры подразделений необходимо нажать на подразделение.

При выделении подразделения вверху страницы отобразятся кнопки управления структурой подразделений (см. разделы Добавление нового подразделения и Редактирование подразделения), а также кнопки добавления нового пользователя (см. Пользователи), новой группы пользователей (см. Группы пользователей) и новой группы компьютеров (см. Группы компьютеров) в состав подразделения.

Добавление нового подразделения¶

Для добавления нового подразделения в структуру нажать кнопку [+ Подразделение], будет открыта карточка нового подразделения.

На карточке на вкладке Основное необходимо заполнить обязательные поля Наименование подразделения и Родительское подразделение. В поле Расположение подразделения в организационной структуре автоматически указывается полный путь выбранного структурного подразделения. В поле Родительское подразделение по умолчанию указывается подразделение, которое было выбрано при нажатии кнопки добавления нового подразделения. Данное значение можно изменить вручную. Также можно заполнить поля Описание и Руководитель подразделения.

Остальные вкладки для редактирования станут доступны после сохранения подразделения (см. editing_unit).

Для сохранения нового подразделения необходимо нажать на кнопку сохранения в правом верхнем углу. После сохранения подразделения будет выполнен переход к структуре подразделений.

Редактирование подразделения¶

Для редактирования подразделения необходимо выделить его в структуре и нажать кнопку [Редактировать] для открытия карточки подразделения.

На карточке подразделения информация приводится на вкладках:

Основное;
Пользователи;
Группы пользователей;
Компьютеры;
Дочерние подразделения;
Групповые политики;
Политики ПО.

Для закрытия карточки подразделения и возврата к структуре подразделений следует нажать на кнопку [Х Закрыть]. В случае закрытия карточки возникнет всплывающее окно для подтверждения закрытия без внесенных изменений, если таковые есть.

Основное¶

На вкладке отображается основная информация о подразделении: наименование подразделения, родительское подразделение, руководитель подразделения, описание и расположение.

Поля Наименование подразделения и Расположение подразделения в организационной структуре не могут быть изменены, остальные поля доступны для редактирования.

Для применения изменений необходимо нажать на кнопку [Сохранить] в правом верхнем углу. И подтвердить действие во всплывающем окне.

Для закрытия карточки и возврата к предыдущему списку следует нажать на кнопку [Х Закрыть]. В случае закрытия карточки возникнет всплывающее окно для подтверждения закрытия без внесенных изменений, если таковые есть.

Для изменения родительского подразделения требуется наличие привилегии Organization units - Modify. Области действия активных ролей с этой привилегией должны включать:

Подразделение, для которого выполняется изменение родительского подразделения;
Старое родительское подразделение;
Новое родительское подразделение.

К подразделению, над которым выполняется операция, не должны быть привязаны роли.

Если к подразделению привязаны роли, для него нельзя изменить родительское подразделение.

Для выполнения операции требуется отвязать от подразделения все роли, и выполнить назначение ролей после перемещения (требуется привилегия Roles - Modify)

Если требуется отвязать от подразделения роли и выполнить привязку после перемещения, то необходима привилегия Roles - Modify.

Области действия активных ролей с этой привилегией должны включать подразделение, для которого выполняется изменение родительского подразделения.

Пользователи¶

На вкладке осуществляется управление штатным составом подразделения.

В списке Пользователи в карточке подразделения отображается блок с данными о сотрудниках: ФИО, логин, должность и состояние.

Для списка пользователей доступен поиск по ФИО и логину. Поиск работает по одному из ключей: имени, фамилии, отчеству или логину. Для поиска в соответствующем поле ввести значение от трех символов, результат поиска будет выводиться после нажатия кнопки лупа. Отображаются только те результаты поиска, у которых в столбце содержится значение, частично или полностью совпадающее со строкой поиска. Если значение некорректно, в результатах поиска появится надпись «Данные отсутствуют».

Столбцы с ФИО и логином поддерживают функцию прямой и обратной сортировки пользователей в алфавитном порядке.

В столбце с ФИО сортировка происходит по фамилии. Если столбец с ФИО заполнен полностью, то для прямого порядка сортировки сначала выводятся результаты на английском языке от A до Z, потом на русском от А до Я, для обратного порядка — наоборот: сначала на русском от Я до А, потом на английском от Z до A.

Столбец с названием должности поддерживает функцию фильтрации по уникальным значениям. При нажатии на кнопку фильтра появится список со значениями. Выбрать необходимое. Если значения отсутствуют (должности не назначены), появится окно с надписью «Без фильтров». Для сброса фильтра нажать [Сбросить], затем [ОК], чтобы применить изменения.

Вертикальная прокрутка таблицы возможна в пределах 25 строк.

В левом нижнем углу списка указано количество учетных записей. При достижении лимита в 2000 пользователей, отобразится надпись «Результатов: 2000, лимит достигнут».

В правом нижнем углу кнопки переключения страниц.

Для добавления пользователей в таблицу подразделения необходимо нажать [+ Добавить]. Появится таблица Добавить записи со списком пользователей. Выбрать нужные учетные записи и нажать [Добавить] в правом нижнем углу таблицы.

В таблице Добавить записи также доступен поиск по ФИО и логину от трех символов.

Для отмены добавления учетных записей пользователей в подразделение нажать [Отмена].

Для добавления пользователя в подразделение требуется наличие привилегии Users - Set organization unit. Области действия активных ролей с этой привилегией должны включать:

подразделение пользователя до выполнения операции;
подразделение, в которое переводится пользователь.

Если на пользователя назначены роли, исполнителю операции потребуются привилегии: Roles — Modify или Roles Membership — Manage.

При наличии ролей, назначенных на пользователя: области действия активных ролей пользователя должны включать новое подразделение, в которое переводится пользователь.

Пользователя нельзя добавить в подразделение, если область действия хотя бы одной из его активных ролей не включает новое подразделение.

При возникновении ошибки о несоответствии областей действия роли пользователя и нового подразделения требуется выполнить одно из действий в отношении роли, вызвавшей ошибку:

изменить привязку роли к подразделению таким образом, чтобы она включала новое подразделение (исполнитель операции должен обладать привилегией Roles - Modify), и повторить операцию добавления пользователя в подразделение;
исключить пользователя из участников роли (исполнитель операции должен обладать привилегией Roles Membership - Manage) и повторить операцию добавления пользователя в подразделение.

Система поддерживает исключение одного или нескольких пользователей одновременно. Для этого необходимо отметить требуемые записи в списке и нажать [- Исключить].

При массовом исключении пользователей появится модальное окно с надписью: «Исключить записи? Будет исключено записей: (выбранное количество)». В окне нажать [Исключить] для подтверждения действия или [Отмена] для прерывания.

Для удаления пользователя из подразделения требуется наличие привилегии Users - Set organization unit. Области действия активных ролей с этой привилегией должны включать:

подразделение пользователя до выполнения операции;
корневое подразделение (пользователь при удалении из подразделения автоматически переносится в корень домена).

Если на пользователя назначены роли, исполнителю операции потребуются привилегии: Roles - Modify или Roles Membership - Manage.

При наличии ролей, назначенных на пользователя: области действия активных ролей пользователя должны распространяться на корень домена.

Пользователя нельзя удалить из подразделения, если область действия хотя бы одной из его активных ролей не распространяется на корень домена

изменить привязку роли к подразделению таким образом, чтобы она включала родительское подразделение (исполнитель операции должен обладать привилегией Roles - Modify), и повторить операцию удаления пользователя из подразделения;
исключить пользователя из участников роли (исполнитель операции должен обладать привилегией Roles Membership - Manage) и повторить операцию удаления пользователя из подразделения.

Компьютеры¶

На вкладке осуществляется управление составом компьютеров подразделения: выбор компьютеров и групп компьютеров, которые будут входить в состав данного подразделения.

В списках Выбранные компьютеры и Выбранные группы указаны компьютеры и группы компьютеров, входящие в состав подразделения.

В списках Все компьютеры и Все группы указаны все компьютеры и группы компьютеров, зарегистрированные в домене.

Список компьютеров соответствует списку в подразделе Компьютеры.

Во всех списках доступен поиск по названию. Для этого в соответствующем поле поиска начать вводить название компьютера/группы компьютеров, результат поиска будет выводиться по мере ввода.

Внизу каждого списка указано количество записей в данном списке.

Для добавления компьютеров в подразделение необходимо в блоке Компьютеры в списке Все компьютеры отметить требуемые записи и перенести их в список Выбранные компьютеры нажатием кнопки [<-].

Для добавления компьютера в подразделение требуется наличие привилегии Computers - Set organization unit. Области действия активных ролей с этой привилегией должны включать:

Подразделение компьютера до выполнения операции;
Подразделение, в которое переносится компьютер.

Для исключения компьютеров из подразделения необходимо в списке Выбранные компьютеры отметить требуемые записи и перенести их в список Все компьютеры нажатием кнопки [→].

Для удаления компьютера из подразделения требуется наличие привилегии Computers - Set organization unit. Области действия активных ролей с этой привилегией должны включать:

Подразделение компьютера до выполнения операции;
Корневое подразделение (после удаления из подразделения компьютер автоматически переносится в корень домена).

Добавление/исключение группы компьютеров выполняется в блоке Группы компьютеров аналогично добавлению/исключению компьютеров.

Для добавления/удаления группы компьютеров требуется наличие привилегии Computer groups - Set organization unit. Для добавления группы компьютеров области действия активных ролей с этой привилегией должны включать:

Подразделение группы компьютеров до выполнения операции;
Подразделение, в которое переносится группа компьютеров.

Для удаления группы компьютеров области действия активных ролей с этой привилегией должны включать:

Подразделение группы компьютеров до выполнения операции;
Корневое подразделение (после удаления из подразделения группа компьютеров автоматически переносится в корень домена).

При нажатии на кнопку [+ Новая группа] будет выполнен переход на карточку создания новой группы компьютеров в подразделе Группы компьютеров.

Дочерние подразделения¶

На вкладке приведен список дочерних подразделений выбранного подразделения.

Для списка доступен поиск по названию. Для этого в поле поиска начать вводить название подразделения, результат поиска будет выводиться по мере ввода.

При нажатии на кнопку слева от поисковой строки [+ Новое подразделение] будет выполнен переход на карточку создания нового подразделения (см. раздел Добавление нового подразделения).

При выборе дочернего подразделения из списка будет открыта карточка подразделения с возможностью редактирования (см. editing_unit).

Внизу списка указано количество дочерних подразделений данного подразделения.

Групповые политики¶

Список групповых политик¶

На вкладке приведен список групповых политик, которые были назначены на подразделение, с указанием их приоритета.

Флаг Включить наследование позволяет включить или отключить наследование параметров, определенных в объектах групповых политик, назначенных на родительские подразделения.

Для списка доступен поиск по названию. Для этого в поле поиска начать вводить название политики, результат поиска будет выводиться по мере ввода.

Справа от поисковой строки расположена кнопка [+ Добавить групповую политику].

Внизу списка указано количество групповых политик, назначенных на подразделение.

Назначение групповой политики¶

Подразделению можно назначить групповые политики, созданные в подразделе Групповые политики (раздел Групповые политики)

Назначенные групповые политики будут применяться к учетным записям пользователей, к компьютерам данного подразделения и объектам его дочерних подразделений.

Для назначения подразделению групповой политики нажать кнопку [Добавить групповую политику], будет выполнен переход на карточку назначения групповой политики. На карточке необходимо из выпадающего списка Групповая политика выбрать групповую политику. В поле Приоритет задать приоритет ее применения. В поле Расположение подразделения в организационной структуре будет автоматически отображаться dn подразделения.

Флаг Наследовать принудительно делает наследование параметров выбранное ГПО обязательным для подразделения и для всех дочерних подразделений, даже если где-то было отключено наследование. (см. инструкцию Наследование и суммирование параметров групповых политик)

Внимание

Приоритет групповой политики должен быть уникальным. Одному подразделению не может быть назначено несколько групповых политик с одинаковым приоритетом.

Изменение приоритета и порядка наследования назначенной групповой политики¶

Для изменения приоритета и порядка наследования назначенной групповой политики необходимо перейти в карточку политики, нажав на нее в списке.

Изменение приоритета определяет порядок применения групповых политик, т.е. какие настройки будут применены к объекту.

Для изменения приоритета применения групповой политики в поле Приоритет групповой политики задать новое значение.

Флаг Наследовать принудительно позволяет сделать наследование параметров соответствующего объекта обязательным для всех дочерних подразделений, даже если где-то наследование отключено. Связанные ГПО, отмеченные флагом Принудительно, применяются после обычных ГПО, поэтому переопределяют их значения.

Для включения принудительного наследования параметров ГПО, необходимо установить флаг Наследовать принудительно.

Отмена назначения групповой политики¶

Для отмены назначения на подразделение групповой политики или одновременно нескольких групповых политик необходимо на вкладке Групповые политики в списке отметить требуемые групповые политики и нажать кнопку [Удалить].

Также отменить назначение на подразделение групповой политики можно из ее карточки: нажать на групповую политику в списке для открытия ее карточки, затем на карточке нажать кнопку [Удалить]. После подтверждения удаления будет выполнен переход к списку групповых политик.

Политики ПО¶

Список групповых политик¶

На вкладке приведен список политик ПО, которые были назначены на подразделение, с указанием их приоритета.

Справа от поисковой строки расположена кнопка [+ Назначить политику ПО].

Внизу списка указано количество политик ПО, назначенных на подразделение.

Назначение политики ПО¶

Подразделению можно назначить политики ПО, созданные в подразделе Политики ПО (раздел Установка и обновление ПО)

Политики ПО определяют перечень программного обеспечения, устанавливаемого на компьютеры данного подразделения и его дочерних подразделений.

Для назначения подразделению политики ПО нажать кнопку [+ Назначить политику ПО], будет выполнен переход на карточку назначения политики. На карточке необходимо из выпадающего списка Имя политики ПО выбрать политику ПО и в поле Приоритет политики ПО задать приоритет ее применения.

Важно

Приоритет политики ПО должен быть уникальным. Одному подразделению не может быть назначено две (или более) политики ПО, которые имеют одинаковый приоритет.

Изменение приоритета назначенной политики ПО¶

Для изменения приоритета назначенной политики ПО необходимо нажать на политику ПО в списке, затем на открывшейся карточке отредактировать поле Приоритет политики ПО.

Отмена назначения политики ПО¶

Для отмены назначения на подразделение политики ПО или одновременно нескольких политик ПО необходимо на вкладке Политики ПО в списке отметить требуемые политики ПО и нажать кнопку [Удалить].

Также отменить назначение на подразделение политики ПО можно из ее карточки: нажать на политику ПО в списке для открытия ее карточки, затем на карточке нажать кнопку [Удалить]. После подтверждения удаления будет выполнен переход к списку групповых политик.

Удаление подразделения¶

Для удаления подразделения необходимо выделить его в иерархической структуре и нажать кнопку [Редактировать]. В открывшейся карточке подразделения нажать кнопку [Удалить]. После подтверждения удаления будет выполнен переход к структуре подразделений домена.

Для удаления подразделения требуется привилегия Organization Units — Delete. Области действия активных ролей с этой привилегией должны включать удаляемое подразделение.

В удаляемом подразделении должны отсутствовать объекты (пользователи, компьютеры, группы компьютеров, группы пользователей).

К подразделению, над которым выполняется операция, не должны быть привязаны роли.

Если к подразделению привязаны роли, его нельзя удалить.

Для удаления подразделения требуется выполнить одно из действий:

переназначить роли на другое подразделение (требуется привилегия Roles — Modify с привязкой к подразделению, на которое выполняется перепривязка ролей);
удалить роли, назначенные на удаляемое подразделение (требуется привилегия Roles — Delete с привязкой к удаляемому подразделению).