Пользователи

Список пользователей

В подразделе осуществляется управление учетными записями пользователей.

В подразделе приведен список всех учетных записей пользователей с указанием имени пользователя, имени учетной записи (логина), подразделения, должности и состояния учетной записи.

Для списка пользователей доступен поиск по ФИО и логину. Поиск работает по одному из ключей: имени, фамилии, отчеству или логину. Для поиска в соответствующем поле ввести значение от трех символов, результат поиска будет выводиться после нажатия кнопки лупа. Отображаются только те результаты поиска, у которых в столбце содержится значение, частично или полностью совпадающее со строкой поиска. Если значение некорректно, в результатах поиска появится надпись «Данные отсутствуют».

Столбцы с ФИО и логином поддерживают функцию прямой и обратной сортировки пользователей в алфавитном порядке.

В столбце с ФИО сортировка происходит по фамилии. Если столбец с ФИО заполнен полностью, то для прямого порядка сортировки сначала выводятся результаты на английском языке от A до Z, потом на русском от А до Я, для обратного порядка — наоборот: сначала на русском от Я до А, потом на английском от Z до A.

Столбцы с названием подразделения и должности поддерживают функцию фильтрации по уникальным значениям.

При нажатии на кнопку фильтра появится список со значениями. Выбрать необходимое. Если значения отсутствуют (подразделение или должность не назначены), появится окно с надписью «Без фильтров». Для сброса фильтра нажать [Сбросить], затем [ОК], чтобы применить изменения.

Вертикальная прокрутка таблицы возможна в пределах 25 строк.

В левом нижнем углу списка указано количество учетных записей. При достижении лимита в 2000 пользователей, отобразится надпись «Результатов: 2000, лимит достигнут».

В правом нижнем углу кнопки переключения страниц.

Добавление пользователя

Для добавления нового пользователя необходимо нажать на кнопку [+ Создать], будет выполнен переход на карточку нового пользователя.

На карточке на вкладке Основное ввести данные о пользователе и его учетной записи. Обязательные для заполнения поля отмечены соответствующим образом. Новый пароль должен соответствовать политике паролей по умолчанию.

Остальные вкладки карточки пользователя станут доступны после сохранения информации (см. раздел Редактирование информации о пользователе)

Для добавления пользователя нажать на кнопку сохранения в правом верхнем углу. Будет выполнен переход к списку пользователей.

Для закрытия карточки и возврата к списку пользователей нажать на кнопку [X Закрыть].

Важно

Учетная запись, которой не присвоен ни один системный тип администратора не имеет допуска к функциям Системы. Управление системными типами администратора осуществляется:

  • из карточки типа администратора подраздел Типы администратора в системе раздела Роли и права доступа;

  • из карточки пользователя (вкладка “Назначенные роли”)

Редактирование информации о пользователе

Редактирование информации о пользователе осуществляется на его карточке. Для перехода на карточку необходимо в списке нажать на пользователя.

На карточке информация о пользователе размещается на вкладках:

  • Основное;

  • Группы;

  • Дополнительные сведения;

  • Групповые политики;

  • Расширенные настройки;

  • Роли;

  • МРД.

Для закрытия карточки пользователя и возврата к списку пользователей нажать на кнопку [Х Закрыть].

Для изменения подразделения пользователя требуется наличие привилегии Users - Set organization unit.

Области действия активных ролей с этой привилегией должны включать:

  • Подразделение пользователя до выполнения операции;

  • Подразделение, в которое переводится пользователь.

При наличии ролей, назначенных на пользователя: области действия активных ролей пользователя должны включать новое подразделение, в которое переводится пользователь.

Пользователю нельзя изменить подразделение, если область действия хотя бы одной из его активных ролей не включает новое подразделение.

При возникновении ошибки о несоответствии областей действия роли пользователя и нового подразделения требуется выполнить одно из действий в отношении роли, вызвавшей ошибку:

  • изменить привязку роли (исполнитель операции должен обладать привилегией Roles - Modify) и повторить операцию изменения подразделения пользователя;

  • отменить назначение роли пользователю (исполнитель операции должен обладать привилегией Roles Membership - Manage) и повторить операцию изменения подразделения пользователя.

Области действия активных ролей с этими привилегиями также должны включать:

  • Подразделение пользователя до выполнения операции;

  • Подразделение, в которое переводится пользователь.

Основное

Информация о пользователе

На вкладке приведена информация о пользователе и о его учетной записи. Не доступно для редактирования имя учетной записи (логин) и дата окончания действия пароля, остальные поля доступны для изменения.

Информация о пользователе размещается в соответствующих блоках:

  • Персональные данные — ФИО, отображаемое имя пользователя и его фотография;

  • Учетная запись — идентификатор учетной записи и логин, смена пароля и управление состоянием учетной записи;

  • Организационные данные — подразделение, расположение в организационной структуре и должность пользователя, а также его руководитель;

  • Контактная информация — адрес электронной почты, номера рабочего и мобильного телефонов пользователя;

  • Расположение — адрес пользователя;

  • Сертификаты пользователя — управление сертификатами пользователя;

  • Открытые ключи SSH — управление открытыми ключами пользователя.

При выборе подразделения пользователя открывается модальное окно с вложенной иерархической структурой и поиском.

Для сохранения изменений в карточке необходимо нажать на кнопку [Сохранить] в правом верхнем углу. И подтвердить действие во всплывающем окне.

Для закрытия карточки и возврата к предыдущему списку следует нажать на кнопку [Х Закрыть]. В случае закрытия карточки возникнет всплывающее окно для подтверждения закрытия без внесенных изменений, если таковые есть.

Сброс пароля пользователя

На карточке пользователя на вкладке Основное задать новый пароль в полях Пароль и Подтверждение пароля и нажать кнопку [Сбросить пароль]. Новый пароль должен соответствовать его политике паролей. Исключение составляет параметр «Минимальный срок действия», который игнорируется при сбросе пароля.

Управление сертификатами пользователя

Для добавления сертификата необходимо ввести его в поле Сертификат в формате base64 или PEM и нажать на кнопку [Добавить].

Для пользователя можно добавить несколько сертификатов. Для добавление второго и последующих сертификатов необходимо в пустом поле Сертификат в формате base64 или PEM ввести новый сертификат и нажать на кнопку [Добавить еще].

Для удаления сертификата нажать кнопку [Удалить] рядом с соответствующим сертификатом.

Управление открытыми ключами пользователя

Для добавления открытого ключа SSH необходимо ввести его в поле Ключ в формате SSH и нажать на кнопку [Добавить].

Для пользователя можно добавить несколько открытых ключей SSH. Для добавление второго и последующих открытых ключей необходимо в пустом поле Ключ в формате SSH ввести новый открытый ключ SSH и нажать на кнопку [Добавить еще].

Для удаления открытого ключа SSH нажать кнопку [Удалить] рядом с соответствующим ключом.

Группы

На вкладке задаются группы пользователей, в которых будет состоять учетная запись пользователя.

В блоке Состоит в группах в списке Выбранные группы указаны группы пользователей, в которых состоит данная учетная запись. В списке Все группы указаны все группы пользователей домена.

Во всех списках доступен поиск по названию. Для этого в соответствующем поле поиска начать вводить название группы, результат поиска будет выводиться по мере ввода.

Внизу каждого списка указано количество записей в данном списке.

Для включения пользователя в состав группы необходимо в списке Все группы отметить группы, в состав которых требуется включить пользователя, и перенести их в список Выбранные группы нажатием кнопки [<-].

Для добавление пользователя в группу требуется наличие привилегии User groups - Set group membership.

Области действия активных ролей с этой привилегией должны включать:

  • Подразделение пользователя;

  • Подразделение группы, в которую добавляется пользователь.

Если на группу назначены роли, исполнителю операции потребуются привилегия Roles Membership - Manage.

Области действия активных ролей с этой привилегией должны включать:

  • Подразделение пользователя;

  • Подразделения всех ролей, назначенных на группу.

При добавлении в группу пользователь наследует все роли, назначенные на группу.

Для исключения пользователя из состава групп необходимо в списке Выбранные группы отметить требуемые записи и перенести их в список Все группы нажатием кнопки [→].

Для удаления пользователя из группы требуется наличие привилегии User groups - Set group membership.

Области действия активных ролей с этой привилегией должны включать:

  • Подразделение пользователя;

  • Подразделение группы, из которой исключается пользователь.

Если на группу, из которой удаляется пользователь, назначены роли, исполнителю операции потребуется привилегия Roles Membership - Manage.

Области действия активных ролей с этой привилегией должны включать:

  • Подразделение пользователя;

  • Подразделения всех ролей, назначенных на группу.

При исключении из группы пользователь лишается ролей, унаследованных от группы (требуется привилегия Roles Membership - Manage с привязкой к подразделению пользователя)

При нажатии на кнопку [+ Новая группа] будет выполнен переход на карточку создания новой группы в подразделе Группы пользователей.

В блоке Состоит в группах непрямое наследование приведен список всех групп, которые входят в состав групп, в которые включена просматриваемая группа.

Для сохранения изменений в карточке необходимо нажать на кнопку [Сохранить] в правом верхнем углу. И подтвердить действие во всплывающем окне.

Для закрытия карточки и возврата к предыдущему списку следует нажать на кнопку [Х Закрыть]. В случае закрытия карточки возникнет всплывающее окно для подтверждения закрытия без внесенных изменений, если таковые есть.

Дополнительные сведения

На вкладке приводятся дополнительные сведения о пользователе. Поля дополнительных сведений настраиваются на вкладке Атрибуты пользователей в подразделе Пользователи и группы (раздел Управление доменом)

Все поля на вкладке доступны для редактирования.

Для сохранения изменений в карточке необходимо нажать на кнопку [Сохранить] в правом верхнем углу. И подтвердить действие во всплывающем окне.

Для закрытия карточки и возврата к предыдущему списку следует нажать на кнопку [Х Закрыть]. В случае закрытия карточки возникнет всплывающее окно для подтверждения закрытия без внесенных изменений, если таковые есть.

Групповые политики

На левой вкладке приводится список назначенных параметров групповых политик, которые могут быть применены к данному пользователю. Групповые политики назначаются на подразделение в подразделе Групповые политики (раздел Групповые политики) или на вкладке Групповые политики карточки подразделения в подразделе Организационная структура (раздел Пользователи и компьютеры).

Внимание

Данный список представляет собой моделирование результатов применения групповых политик. Это значит, что не все политики из данного списка могут быть применены к конкретному пользователю и не все параметры могут быть отображены в данном списке. Чтобы групповая политика применилась к пользователю, необходимо соблюдение требований к операционной системе и заполнение значений атрибутов.

Внизу списка указано количество параметров групповых политик, применяемых к данному пользователю.

Настройки параметра выводятся в правой панели Настройка параметра <имя параметра>. Здесь отображается общая информация о параметре: объект групповой политики, подразделение, расположение подразделения в организационной структуре, требования к ОС и настройки атрибутов.

Расширенные настройки

Заполнение информации на вкладке формирует псевдонимы почтового ящика пользователя: основной адрес почты и дополнительные адреса (proxyAddresses).

Данные атрибуты используются для взаимодействия с почтовым сервисом.

Для заполнения информации о дополнительных адресах (proxyAddresses) необходимо заполнить поле Основной адрес. Данное поле заполняется в SMTP формате: SMTP:<регистрационное имя>@<домен получателя>

Пример

SMTP:a.ivanov@ald.pro

Для добавления дополнительных адресов необходимо перейти в блок Дополнительные адреса (proxyAddresses) и заполнить поле Адрес. Данное поле доступно для заполнения в одном из следующих форматов:

  • для формата smtp: smtp:<регистрационное имя>@<домен получателя>

Пример

smtp:alex_ivanov@ald.pro

  • для формата x500: x500:/o=<имя организации>/ou=<имя сайта>/cn=Recipients/cn=<псевдоним>

Пример

x500:/o=ALDPro/ou=Департамент разработки/cn=Recipients/cn=a.ivanov

  • Для формата sip:

  1. sip:<имя пользователя>@<имя домена>

Пример

sip:a.ivanov@ald.pro

  1. sip:<регистрационное имя>@<имя хоста>

Пример

sip:a.ivanov@client01.aldpro

  1. sip:<регистрационное имя>@<IР-адрес хоста>

Пример

sip:a.ivanov@10.11.1.8

  1. sip:<№ телефона пользователя>@<имя шлюза>

Пример

sip:+74952232343@192.168.31.254

После заполнения поля необходимо нажать на кнопку [Добавить]. Для сохранения изменений необходимо нажать на кнопку [Сохранить] в правом верхнем углу и подтвердить действие во всплывающем окне.

Для закрытия карточки и возврата к предыдущему списку следует нажать на кнопку [Х Закрыть]. В случае закрытия карточки возникнет всплывающее окно для подтверждения закрытия без внесенных изменений, если таковые есть.

Роли

На вкладке задаются типы администратора, которыми будет наделена учетная запись пользователя, и отображаются наследуемые типы.

В блоке Содержит роли в списке Выбранные роли указаны типы администратора, которыми будет наделена учетная запись пользователя. В списке Все роли указаны все типы администратора в системе. В списке Все роли отображаются не только предустановленные роли, но и те, которые создали сами пользователи.

Во всех списках доступен поиск по названию. Для этого в соответствующем поле поиска начать вводить название типа администратора, результат поиска будет выводиться по мере ввода.

Во всех списках доступна фильтрация по значению поля Состояние. Для этого необходимо кликнуть на значок фильтрации и выбрать значение,по которому список будет отфильтрован.

Внизу каждого списка указано количество записей в данном списке.

Для наделения пользователей возможностями соответствующего типа администратора необходимо в списке Все роли отметить типы, которыми требуется наделить пользователя, и перенести их в список Выбранные роли нажатием кнопки [<-].

Для исключения пользователей из списка обладателей соответствующего типа администратора необходимо в списке Выбранные роли отметить требуемые записи и перенести их в список Все роли нажатием кнопки [→].

Для применения изменений необходимо нажать на кнопку [Сохранить] в правом верхнем углу. И подтвердить действие во всплывающем окне.

В блоке Наследует роли указаны типы администратора, которые наследуются учетной записью пользователя.

В списке доступен поиск по названию. Для этого в соответствующем поле поиска начать вводить название типа администратора, результат поиска будет выводиться по мере ввода.

В списке доступна фильтрация по значению поля Состояние. Для этого необходимо кликнуть на значок фильтрации и выбрать значение,по которому список будет отфильтрован.

Внизу списка указано количество записей в данном списке.

Управление типами администратора также осуществляется в подразделе Роли и права доступа раздела Управление доменом

МРД

Данные об МРД в карточке пользователя расположены на отдельной вкладке и разделены внутри на 3 вкладки:

  • Параметры;

  • Привилегии Parsec;

  • Аудит Parsec.

Параметры

Вкладка Параметры содержит группу нередактируемых полей Возможные мандатные атрибуты пользователя, в которую входят поля Допустимые параметры конфиденциальности, Маска привилегий и Маска аудита.

Вкладка Параметры содержит группу редактируемых полей Уровни конфиденциальности. Для редактирования нажать на кнопку [Изменить]. Открывается вкладка Выбор уровня конфиденциальности, на которой присутствует таблица со столбцами Уровень, Название, Минимальный, Максимальный. В столбцах Минимальный и Максимальный доступны радиокнопки для выбора или изменения значения. Для сохранения нажать на кнопку [Сохранить].

При нарушении логики назначенного диапазона (когда максимальный уровень меньше минимального) система отображает сообщение об ошибке: «Неверные данные: максимальный уровень меньше минимального». Для сброса назначенного диапазона уровней конфиденциальности нажать на кнопку [Сбросить].

Примечание

Минимальный и максимальный уровни конфиденциальности определяют границы диапазона доступа пользователя к информации. Минимальный уровень задает нижнюю границу информации, с которой пользователь может работать, а максимальный — верхнюю границу доступных данных в соответствии с иерархией секретности.

Для максимального/минимального уровня разрешены значения в диапазоне от 0 до 255.

Вкладка Параметры содержит группу полей Уровни целостности. Поле Минимальный нередактируемое. Значение по умолчанию : «0:Низкий». Поле Максимальный — необязательное поле с возможностью выбора из выпадающего списка предустановленных уровней целостности. Максимальный уровень целостности определяет верхнюю границу доверия к пользователю и возможности администрирования в домене:

  • 255 — администрирование всех машин домена, включая контроллеры домена;

  • 127 — администрирование всех машин, кроме контроллеров домена;

  • 63 — администрирование только обычных компьютеров;

  • 31 — администрирование компьютеров с пониженным доверием;

  • 0 — минимальный уровень доверия.

Список уровней целостности предустановлен и не изменяется. Администратор может использовать как данную градацию, так и традиционный подход с высоким (63) и низким (0) уровнями.

Вкладка Параметры содержит таблицу Категории конфиденциальности со столбцами Разряд, Наименование, Мин., Макс.. В столбцах Мин. и Макс. доступны чекбоксы.

Примечание

Минимальная (мин.) и максимальная (макс.) категории определяют диапазон неиерархических категорий конфиденциальности, в пределах которого пользователю разрешен доступ к информации.

Для сохранения изменений необходимо нажать на кнопку [Сохранить] в правом верхнем углу. И подтвердить действие во всплывающем окне.

Для закрытия карточки и возврата к предыдущему списку следует нажать на кнопку [Х Закрыть]. В случае закрытия карточки возникнет всплывающее окно для подтверждения закрытия без внесенных изменений, если таковые есть.

Аудит Parsec

Вкладка Аудит Parsec содержит таблицу для настройки событий аудита со столбцами Разряд, Событие и чекбоксами в столбцах Успех и Отказ. Чекбоксы доступны для редактирования. Столбцы Успех и Отказ позволяют администратору указать, какие события следует записывать в журнал аудита: успешно выполненные операции пользователя, отказы в выполнении операций, или оба типа событий одновременно. Для сохранения изменений нажать на кнопку [Сохранить] и подтвердить.

Вкладка Аудит Parsec содержит нередактируемое поле Маска аудита.

Маска аудита - это битовая маска (числовое значение), которая определяет, какие типы событий будут регистрироваться в системе аудита безопасности Parsec.

Привилегии Parsec

Вкладка Привилегии Parsec содержит таблицу Привилегии Parsec со столбцами Разряд, Название, Выбрать. В столбце Выбрать доступны чекбоксы с возможностью множественного выбора для назначения пользователю. Для сохранения изменений нажать на кнопку [Сохранить] и подтвердить.

Вкладка Привилегии Parsec содержит нередактируемое поле Маска привилегий.

Маска привилегий — это битовая маска, определяющая набор специальных возможностей пользователя в операционной системе.

Блокировка и разблокировка пользователя

Система поддерживаем возможность блокировки и разблокировки одного или нескольких пользователей одновременно. Для этого необходимо в списке отметить пользователя, нажать кнопку [Действия], выбрать соответственно [Заблокировать] или [Разблокировать].

Для снятия отметки с пользователя можно нажать кнопку [X Закрыть] в правом верхнем углу.

При массовой блокировке пользователей появится модальное окно с надписью: «Заблокировать пользователей? Все выбранные пользователи будут переведены в статус «Заблокирован»». В окне нажать [Заблокировать] для подтверждения действия или [Отменить] для прерывания.

При массовой разблокировке пользователей появится модальное окно с надписью: «Разблокировать пользователей? Все выбранные пользователи будут переведены в статус «Активен»». В окне нажать [Разблокировать] для подтверждения действия или [Отменить] для прерывания.

Также заблокировать или разблокировать пользователя можно из его карточки: открыть карточку нажатием на пользователя в списке, затем на карточке на вкладке Основное нажать, соответственно, кнопку [Заблокировать УЗ] или [Разблокировать УЗ].

Для блокировки/разблокировки учетной записи пользователя требуется наличие привилегий: Users Block - Manage или Users - Modify.

Области действия активных ролей с этой привилегией должны включать подразделение пользователя.

Если на заблокированного пользователя назначены роли, он полностью теряет делегированные ему права на время блокировки.

Разблокированный пользователь имеет доступ, полностью соответствующий привилегиям в составе его ролей.

Для закрытия карточки пользователя и возврата к списку нажать на кнопку [X Закрыть].

Удаление пользователя

Система поддерживает удаление одного или нескольких пользователей одновременно. Для этого необходимо отметить пользователя в списке и нажать кнопку [Удалить].

При массовом удалении пользователей появится модальное окно с надписью: «Удалить пользователей? Пользователи будут перемещены в корзину». В окне нажать [Удалить] для подтверждения действия или [Отмена] для прерывания.

Для снятия отметки с пользователя можно нажать кнопку [X Закрыть] в правом верхнем углу.

Также удалить пользователя можно из его карточки: открыть карточку нажатием на пользователя в списке, затем на карточке на вкладке Основное нажать кнопку [Удалить учетную запись]. После подтверждения удаления учетная запись будет перенесена в Корзину и будет выполнен переход к списку пользователей.

Для переноса пользователя в Корзину требуется привилегия Users - Move to trash.

Области действия активных ролей с этой привилегией должны включать подразделение пользователя.

Пользователь, перенесенный в Корзину, теряет доступ, соответствующий назначенным ему ролям.