Миграция ролей

Введение

При обновлении ALD Pro до версии 2.4.0 выполняется миграция ролей и привилегий обновляемой Системы.

Все события миграции регистрируются в журналах на контроллере домена по пути /opt/rbta/migration:

  • в директории migrate_user_roco_roles хранятся журналы миграции ролей ALDPRO - IT Security Specialist, ALDPRO - IT Specialist и пользовательских ролей, созданных до обновления портала управления;

  • в директории migrate_roles_main_and_regional_administrator хранятся журналы миграции роли ALD PRO - Main Administrator и создания роли ALD Pro - Regional Administrator

  • в директории create_preset_roles хранятся журналы миграции, создающей пользовательские роли, поставляемые по умолчанию в версии 2.4.0.

Описанные выше директории появляются по пути /opt/rbta/migration только в том случае, если миграция запускалась хотя бы один раз.

Миграция системных ролей

Все системные роли мигрируются полностью и в том же составе. В результате миграции:

  • замена привилегий во время миграции в системных ролях не выполняется;

  • в БД сохраняются системные роли, назначенные на пользователей (в интерфейсе портала управления системные роли, назначенные на пользователей, не отображаются и не выполняются).

Миграция предустановленных ролей

Миграция Enrollment Administrator, helpdesk, Security Architect, User Administrator

Enrollment Administrator, helpdesk, Security Architect, User Administrator до версии 2.4.0 были предустановленными ролями. После обновления на версию 2.4.0:

  • эти роли становятся системными (тип «Системная»), и меняется их поведение в портале управления (работать с ними теперь можно, как с системными ролями. См. раздел Системные роли);

  • в БД сохраняются существующие до обновления назначения пользователей на роли Enrollment Administrator, helpdesk, Security Architect, User Administrator;

  • в БД сохраняются все существующие до обновления привязки привилегий и разрешений для данных ролей (см. Руководство Администратора раздел 2.2.6).

Миграция ALDPRO - Main Administrator

В результате миграции на версию 2.4.0 для роли ALD PRO - Main Administrator выполняется:

  • тип роли остается «Предустановленная»;

  • роль привязывается к корню домена с установленным признаком «Включая дочерние подразделения»;

  • для всех привилегий, которые могут быть ограничены сайтом, устанавливается привязка ко всем сайтам;

  • роль остается назначенной на всех пользователей и группы пользователей, на которых была назначена до обновления;

  • по результатам миграции роль автоматически переводится Системой в состояние «Активна».

Важно

Для получения возможности после обновления до версии 2.4.0 делегировать роли средствами портала управления необходимо, чтобы до начала обновления на роль ALD PRO - Main Administrator был назначен хотя бы один пользователь.

Миграция ALDPRO - IT Security Specialist и ALDPRO - IT Specialist

В результате миграции на версию 2.4.0 для ролей ALDPRO - IT Security Specialist и ALDPRO - IT Specialist выполняется:

  • тип ролей ALDPRO - IT Security Specialist и ALDPRO - IT Specialist становится «Пользовательская»;

  • названия ролей не меняются

  • роли привязываются к корню домена с установленным признаком «Включая дочерние подразделения»;

  • для всех привилегий, которые могут быть ограничены сайтом, устанавливается привязка ко всем сайтам;

  • роли остаются назначенными на всех пользователей и группы пользователей, на которых были назначены до обновления.

В связи с приобретением дополнительных привилегий для мигрированных ролей ALDPRO - IT Security Specialist и ALDPRO - IT Specialist добавляются следующие доступы к подразделам портала управления:

Миграция ALDPRO - IT Security Specialist

Раздел / Подраздел

ALDPRO - IT Specialist до 2.4.0

ALDPRO - IT Specialist в 2.4.0 после миграции

Привилегии в 2.4.0, которые предоставляют доступ к подразделам

Управление доменом / Доп. параметры групповых политик

-

+

Поскольку роли ALDPRO - IT Specialist было доступно чтение групповых политик назначенных на подразделения, пользователей и компьютеры, в 2.4.0 требуются новые привилегии: - Computer Group Policy Additional Parameters - Read - User Group Policy Additional Parameters - Read

Управление доменом / Пользователи и группы

-

+

  • Users and Groups Settings - Read

Групповые политики / Групповые политики

-

+

Поскольку роли ALDPRO - IT Specialist было доступно чтение групповых политик назначенных на подразделения, пользователей и компьютеры, в 2.4.0 требуется новая привилегия: - Group Policies - Read
Миграция ALDPRO - IT Specialist

Раздел / Подраздел

ALDPRO - IT Security Specialist до 2.4.0

ALDPRO - IT Security Specialist в 2.4.0 после миграции

Привилегии в 2.4.0, которые предоставляют доступ к подразделам

Установка и обновление ПО / Политики ПО

-

+

Поскольку ранее администратору ALDPRO - IT Security Specialist было доступно изменение конфигураций политик программного обеспечения, то в текущей парадигме прав доступа требуются следующие привилегии для управления политиками ПО: - Software Policies - Read - Software Policies - Modify - Software Policies Configurations - Manage - Software Policies Membership - Manage

Установка и обновление ПО / Каталог ПО

-

+

Для корректной работы политик ПО, ALDPRO - IT Security Specialist необходимо чтение каталога ПО: - Software Catalog - Read

Роли и службы сайта / Служба разрешения имен

-

+

Для корректной работы с подсистемами, ALDPRO - IT Security Specialist необходим доступ к чтению DNS: - DNS Zones - Read - DNS Forward Zones - Read

Предоставляемые права для ALDPRO - IT Specialist

Права, предоставляемые роли «ALDPRO - IT Specialist» по умолчанию после миграции со старших версий. Доступы могут измениться после внесения изменений в состав привилегий.

Предоставляемые права для ALDPRO - IT Specialist

Раздел / Подраздел

Предоставляемые права

Автоматизация / Установка ОС по сети

  1. Installation Server Computers - Manage - Позволяет осуществлять полное управление компьютерами в рамках серверов установки

  2. Installation Server Profiles - Manage - Дает возможность управлять профилями загрузки

  3. Installation Servers - Create - Позволяет создавать серверы установки в системе

  4. Installation Servers - Drop - Дает возможность удалять существующие серверы установки

  5. Installation Servers - Modify - Позволяет изменять настройки и конфигурации существующих серверов установки

  6. Installation Servers - Read - Предоставляет доступ для чтения к информации о серверах установки

Автоматизация / Задания автоматизации

  1. Automation Tasks Journal - Read - Предоставляет возможность просматривать журнал заданий автоматизации

  2. Automation Tasks Membership - Manage - Дает право управлять участниками заданий автоматизации

Управление доменом / Пользователи и группы

Users and Groups Settings - Read - Предоставляет доступ для чтения к настройкам пользователей и групп

Управление доменом / Доп. параметры групповых политик

  1. User Group Policy Additional Parameters - Read - Предоставляет возможность только для чтения для просмотра дополнительных параметров групповых политик для пользователей

  2. Computer Group Policy Additional Parameters - Read - Предоставляет доступ для чтения к дополнительным параметрам групповых политик, применяемых к компьютерам

Управление доменом / Сайты и службы

  1. Replication Agreements - Add - Позволяет добавлять новые соглашения о репликации

  2. Replication Agreements - Delete - Дает возможность удалять существующие соглашения о репликации

  3. Replication Agreements - Modify - Позволяет изменять параметры существующих соглашений о репликации

  4. Replication Agreements - Read - Предоставляет доступ только для чтения к соглашениям о репликации

  5. Domain Controllers - Create - Позволяет создавать новые контроллеры домена в системе

  6. Domain Controllers - Drop - Дает возможность удалять существующие контроллеры домена

  7. Domain Controllers - Modify - Позволяет изменять параметры и настройки существующих контроллеров домена

  8. Domain Controllers - Read - Предоставляет доступ для чтения к информации о контроллерах домена

  9. Site Parameters - Add - Позволяет добавлять новые параметры конфигурации сайтов

  10. Site Parameters - Delete - Дает возможность удалять существующие параметры сайтов

  11. Site Parameters - Modify - Позволяет изменять существующие параметры сайта

  12. Site Parameters - Read - Предоставляет доступ только для чтения к параметрам сайтов

  13. Site Domain Controllers - Add - Позволяет назначить контроллер домена на сайт

  14. Sites - Read - Позволяет просматривать информацию о сайтах в системе

Управление доменом / Общая информация

Domain Info - Read - Предоставляет возможность просматривать информацию о домене

Управление доменом / Каталог заданий автоматизации

  1. Automation Task Attributes - Manage - Позволяет управлять атрибутами заданий автоматизации

  2. Automation Task Script - Manage - Дает возможность управлять скриптами заданий автоматизации

  3. Automation Tasks - Manage - Предоставляет полный контроль заданий автоматизации

  4. Automation Tasks - Read - Предоставляет доступ для чтения к заданиям автоматизации

  5. Automation Tasks Folders - Manage - Позволяет управлять папками в рамках заданий автоматизации

Пользователи и компьютеры / Организационная структура

Organization units - Read - Предоставляет доступ для чтения к организационным единицам

Пользователи и компьютеры / Группы компьютеров

  1. Computer groups - Add - Позволяет создавать новые группы компьютеров в системе

  2. Computer groups - Delete - Дает возможность удалять существующие группы компьютеров

  3. Computer groups - Modify - Позволяет изменять параметры и состав существующих групп компьютеров

  4. Computer groups - Read - Предоставляет доступ только для чтения к информации о группах компьютеров

  5. Computer groups - Set group membership - Позволяет управлять членством компьютеров в определенных группах

  6. Computer groups - Set organization unit - Позволяет назначать или изменять подразделение (OU) для групп компьютеров

Пользователи и компьютеры / Группы пользователей

User groups - Read - Предоставляет доступ для чтения к пользовательским группам

Пользователи и компьютеры / Пользователи

Users - Read - Предоставляет доступ только для чтения к пользовательским учетным записям

Пользователи и компьютеры / Компьютеры

  1. Computers - Delete - Позволяет удалять учетные записи компьютеров из системы

  2. Computers - Modify - Дает возможность изменять свойства и настройки существующих учетных записей компьютеров

  3. Computers - Read - Предоставляет доступ для чтения к информации о компьютерах в системе

  4. Computers - Remote access - Позволяет осуществлять удаленный доступ к компьютерам

  5. Computers - Set organization unit - Позволяет назначать или изменять подразделения (OU) для учетных записей компьютеров

Групповые политики / Групповые политики

Group Policies - Read - Предоставляет доступ только для чтения к существующим групповым политикам и их фильтрам

Роли и службы сайта / Служба печати

  1. Print Servers - Create - Позволяет создавать новые серверы печати в системе

  2. Print Servers - Drop - Дает возможность удалять существующие серверы печати из системы

  3. Print Servers - Modify - Позволяет изменять настройки и конфигурации существующих серверов печати

  4. Print Servers - Read - Предоставляет доступ для чтения к информации о серверах печати

  5. Printers - Manage - Позволяет управлять принтерами, подключенными к серверам печати, включая добавление, удаление и изменение настроек

Роли и службы сайта / Служба динамической настройки узла

  1. DHCP - Read - Предоставляет доступ для чтения к DHCP

  2. DHCP Configuration - Modify - Позволяет изменять конфигурации DHCP-сервера

  3. DHCP Servers - Create - Дает возможность создавать новые DHCP-серверы

  4. DHCP Servers - Drop - Позволяет удалять существующие DHCP-серверы

  5. DHCP Servers - Modify - Позволяет вносить изменения в существующие DHCP-серверы

Роли и службы сайта / Служба разрешения имён

  1. DNS Forward Zones - Add - Позволяет добавлять новые перенаправления запросов DNS

  2. DNS Forward Zones - Delete - Дает возможность удалять существующие перенаправления запросов DNS

  3. DNS Forward Zones - Delete - Позволяет изменять конфигурацию существующих перенаправлений запросов DNS

  4. DNS Forward Zones - Read - Предоставляет доступ для чтения к информации о перенаправлении запросов DNS

  5. DNS Global Configurations - Manage - Позволяет управлять глобальными конфигурациями DNS

  6. DNS Zones - Manage - Дает возможность управлять DNS-зонами, включая создание, изменение и удаление зон

  7. DNS Zones - Read - Предоставляет доступ только для чтения к информации о DNS-зонах

Роли и службы сайта / Служба синхронизации времени

  1. Root NTP Servers - Create - Позволяет создавать новые корневые NTP-серверы

  2. Root NTP Servers - Drop - Дает возможность удалять существующие корневые NTP-серверы из конфигурации системы

  3. NTP Servers - Read - Предоставляет доступ для чтения к информации о NTP-серверах

  4. External NTP Servers - Create - Позволяет добавлять новые внешние NTP-серверы

  5. External NTP Servers - Drop - Дает возможность удалять внешние NTP-серверы из конфигурации системы

Установка и обновление ПО / Каталог ПО

  1. Software Templates - Manage - Позволяет управлять шаблонами программного обеспечения в системе

  2. Software - Manage - Дает возможность управлять всем программным обеспечением в системе

  3. Software Catalog - Read - Предоставляет доступ только для чтения к каталогу программного обеспечения

  4. Software Groups - Manage - Позволяет управлять группами программного обеспечения

  5. Software Packages - Manage - Дает возможность управлять программными пакетами в системе

  6. Software Parameters - Manage - Позволяет управлять параметрами, связанными с программным обеспечением

Установка и обновление ПО / Политики ПО

  1. Software Policies - Add - Позволяет добавлять новые политики программного обеспечения в системе

  2. Software Policies - Delete - Дает возможность удалять существующие политики программного обеспечения

  3. Software Policies - Modify - Позволяет изменять существующие политики программного обеспечения

  4. Software Policies - Read - Обеспечивает доступ только для чтения к текущим политиками программного обеспечения

  5. Software Policies Configurations - Manage - Позволяет управлять конфигурациями, связанными с политиками программного обеспечения

  6. Software Policies Membership - Manage - Позволяет управлять членством в политиках программного обеспечения

Установка и обновление ПО / Репозитории ПО

  1. Repositories - Add - Позволяет создавать новые репозитории в системе

  2. Repositories - Delete - Дает возможность удалять существующие репозитории из системы

  3. Repositories - Modify - Позволяет изменять параметры и содержимое существующих репозиториев

  4. Repositories - Read - Предоставляет доступ для чтения к информации о репозиториях

  5. Repository Servers - Create - Позволяет создавать новые сервера-репозитории в системе

  6. Repository Servers - Drop - Дает возможность удалять существующие сервера-репозитории

  7. Repository Servers - Modify - Позволяет изменять конфигурацию и параметры существующих серверов-репозиториев

  8. Repository Servers - Read - Предоставляет доступ только для чтения к серверам-репозиториям

  9. Repository Versions - Manage - Позволяет управлять версиями программных пакетов и репозиториев

Установка и обновление ПО / Политики обновления ALD Pro

  1. Update Policies - Add - Позволяет добавлять новые политики обновления в системе

  2. Update Policies - Delete - Дает возможность удалять существующие политики обновления

  3. Update Policies - Modify - Позволяет изменять параметры существующих политик обновления

  4. Update Policies - Read - Предоставляет доступ только для чтения к существующим политикам обновления

  5. Update Policies Computers - Manage - Позволяет управлять применением политик обновления к конкретным компьютерам или группам компьютеров

  6. Update Policies Sources list - Manage - Дает возможность управлять списком источников обновлений

Доступ только через БД и API

IPA Servers - Read - Предоставляет доступ для чтения к информации об IPA серверах

Предоставляемые права для ALDPRO - IT Security Specialist

Права, предоставляемые роли «ALDPRO - IT Security Specialist» по умолчанию после миграции со старших версий. Доступы могут измениться после внесения изменений в состав привилегий.

Предоставляемые права для ALDPRO - IT Security Specialist

Раздел / Подраздел

Предоставляемые права

Автоматизация / Задания автоматизации

  1. Automation Tasks Journal - Read - Предоставляет возможность просматривать журнал заданий автоматизации

  2. Automation Tasks Membership - Manage - Дает право управлять участниками заданий автоматизации

Управление доменом / Сайты и службы

  1. Site Parameters - Read - Предоставляет возможность просматривать параметры конфигурации сайтов

  2. Sites - Read - Даёт доступ для чтения к информации о сайтах в домене

  3. Domain Controllers - Read - Позволяет просматривать информацию о контроллерах домена

  4. Replication Agreements - Read - Обеспечивает доступ для чтения к соглашениям о репликации

Управление доменом / Пользователи и группы

  1. Users and Groups Settings - Manage - Позволяет управлять настройками пользователей и групп в системе

  2. Users and Groups Settings - Read - Предоставляет доступ для чтения к настройкам пользователей и групп

Управление доменом / Роли и права доступа

  1. Role Privileges - Add - Позволяет добавлять новые привилегии к существующим ролям

  2. Role Privileges - Delete - Дает возможность удалять привилегии из ролей

  3. Role Privileges - Modify - Позволяет изменять существующие привилегии в ролях ролями

  4. Roles - Add - Позволяет создавать новые роли в систем

  5. Roles - Delete - Позволяет удалять существующие роли

  6. Roles - Modify - Дает возможность изменять параметры существующих ролей

  7. Roles - Read - Предоставляет доступ для чтения к существующим ролям

  8. Roles Membership - Manage - Позволяет управлять членством в ролях, включая добавление или удаление пользователей или групп из определенных ролей

Управление доменом / Общая информация

Domain Info - Read - Предоставляет возможность просматривать информацию о домене

Управление доменом / Доп. параметры групповых политик

  1. Computer Group Policy Additional Parameters - Manage - Позволяет управлять дополнительными параметрами групповых политик для компьютеров

  2. Computer Group Policy Additional Parameters - Read - Предоставляет возможность просматривать дополнительные параметры групповых политик для компьютеров

  3. User Group Policy Additional Parameters - Manage - Позволяет управлять дополнительными параметрами групповых политик для пользователей

  4. User Group Policy Additional Parameters - Read - Предоставляет возможность только для чтения дополнительных параметров групповых политик для пользователей

Управление доменом / Службы и параметры Kerberos

  1. Kerberos Configurations - Manage - Позволяет управлять конфигурациями Kerberos в системе

  2. Kerberos Services - Add - Дает возможность добавлять новые Kerberos службы в систему

  3. Kerberos Services - Delete - Позволяет удалять существующие Kerberos службы

  4. Kerberos Services - Modify - Предоставляет возможность изменять параметры существующих Kerberos служб

  5. Kerberos Services - Read - Предоставляет доступ только для чтения к информации о Kerberos службах

Управление доменом / Каталог заданий автоматизации

  1. Automation Task Attributes - Manage - Позволяет управлять атрибутами заданий автоматизации

  2. Automation Task Script - Manage - Дает возможность управлять скриптами, связанными с заданиями автоматизации

  3. Automation Tasks - Manage - Позволяет управлять заданиями автоматизации, включая их создание, изменение

  4. Automation Tasks - Read - Предоставляет возможность только просматривать задания автоматизации

  5. Automation Tasks Folders - Manage - Позволяет управлять папками, содержащими задания автоматизации

Журнал событий / Серверы журнала событий

  1. Event Log Servers - Create - Позволяет создавать новые серверы журналов событий в системе

  2. Event Log Servers - Drop - Дает возможность удалять существующие серверы журналов событий из системы

  3. Event Log Servers - Modify - Позволяет изменять конфигурации и настройки существующих серверов журналов событий

  4. Event Log Servers - Read - Предоставляет доступ для чтения к информации о серверах журналов событий

Журнал событий / Настройка сбора журналов событий

  1. Event Registration Rules - Add - Позволяет добавлять новые правила регистрации событий в системе

  2. Event Registration Rules - Delete - Дает возможность удалять существующие правила регистрации событий

  3. Event Registration Rules - Modify - Позволяет изменять параметры и условия существующих правил регистрации событий

  4. Event Registration Rules - Read - Предоставляет доступ только для чтения к правилам регистрации событий

Роли и службы сайта / Общий доступ к файлам

  1. File Server Folders - Manage - Предоставляет возможность управлять папками на файловых серверах

  2. File Servers - Create - Позволяет создавать новые файловые серверы в системе

  3. File Servers - Drop - Дает возможность удалять существующие файловые серверы из системы

  4. File Servers - Modify - Позволяет изменять конфигурации и параметры существующих файловых серверов

  5. File Servers - Read - Предоставляет доступ только для чтения к информации о файловых серверах

Роли и службы сайта / Служба разрешения имён

  1. DNS Forward Zones - Read - Предоставляет доступ для чтения к информации о перенаправлении запросов DNS

  2. DNS Zones - Read - Предоставляет доступ только для чтения к информации о DNS-зонах

Групповые политики / Политики паролей

  1. Password Policies - Add - Позволяет добавлять новые политики паролей в систему

  2. Password Policies - Delete - Дает возможность удалять существующие политики паролей

  3. Password Policies - Modify - Позволяет изменять настройки существующих политик паролей

  4. Password Policies - Read - Предоставляет доступ только для чтения к существующим политикам паролей

Групповые политики / Политики повышения привилегий

  1. SUDO - Read - Предоставляет возможность просматривать текущие настройки и конфигурации SUDO

  2. SUDO Command Groups - Add - Позволяет добавлять новые группы команд SUDO

  3. SUDO Command Groups - Delete - Дает возможность удалять существующие группы команд SUDO

  4. SUDO Command Groups - Modify - Позволяет изменять состав или параметры существующих групп команд SUDO

  5. SUDO Commands - Add - Предоставляет возможность добавлять отдельные SUDO команды в группы или правила

  6. SUDO Commands - Delete - Позволяет удалять отдельные SUDO команды из их групп или правил

  7. SUDO Commands - Modify - Дает возможность изменять параметры существующих SUDO команд

  8. SUDO Parameters - Manage - Позволяет управлять параметрами конфигурации SUDO

  9. SUDO Rules - Add - Позволяет добавлять новые правила SUDO

  10. SUDO Rules - Delete - Позволяет удалять существующие правила SUDO

  11. SUDO Rules - Modify - Дает возможность изменять существующие правила SUDO

Групповые политики / Групповые политики

  1. Group Policies - Add - Позволяет добавлять новые групповые политики в системе

  2. Group Policies - Delete - Дает возможность удалять существующие групповые политики

  3. Group Policies - Modify - Позволяет изменять настройки существующих групповых политик и их фильтров

  4. Group Policies - Read - Предоставляет доступ только для чтения к существующим групповым политикам и их фильтрам

  5. Group Policies Computer Parameters - Manage - Позволяет управлять параметрами компьютеров в рамках групповых политик

  6. Group Policies User Parameters - Manage - Предоставляет возможность управлять пользовательскими параметрами в рамках групповых политик

  7. Group Policies Membership - Manage - Позволяет управлять членством в групповых политиках

Групповые политики / Политики доступа к узлу

  1. HBAC - Read - Предоставляет возможность просматривать настройки и правила контроля доступа на основе хоста (HBAC)

  2. HBAC Rules - Add - Позволяет добавлять новые правила HBAC

  3. HBAC Rules - Delete - Дает возможность удалять существующие правила HBAC

  4. HBAC Rules - Modify - Позволяет изменять существующие правила HBAC

  5. HBAC Service Groups - Add - Позволяет создавать новые группы служб в рамках HBAC

  6. HBAC Service Groups - Delete - Дает возможность удалять существующие группы служб в рамках HBAC

  7. HBAC Service Groups - Modify - Позволяет изменять состав или параметры существующих групп служб

  8. HBAC Services - Add - Предоставляет возможность добавлять новые службы для контроля доступа в HBAC

  9. HBAC Services - Delete - Позволяет удалять существующие службы из списка контролируемых доступа

  10. HBAC Services - Modify - Дает возможность изменять параметры существующих служб

Мониторинг / Витрины мониторинга домена

Dashboards - Read - Предоставляет доступ для чтения к дашбордам системы

Мониторинг / Журнал событий мониторинга

  1. Monitoring Event Logs - Read - Предоставляет доступ только для чтения к журналам событий мониторинга

  2. Monitoring Servers - Create - Позволяет создавать новые сервера для мониторинга в системе

  3. Monitoring Servers - Drop - Дает возможность удалять существующие сервера мониторинга из системы

  4. Monitoring Servers - Modify - Позволяет изменять конфигурации и настройки существующих серверов мониторинга

  5. Monitoring Servers - Read - Предоставляет доступ только для чтения к информации о серверах мониторинга

Установка и обновление ПО / Каталог ПО

Software Catalog - Read - Предоставляет доступ для чтения к каталогу программного обеспечения

Установка и обновление ПО / Политики ПО

  1. Software Policies - Modify - Позволяет изменять существующие политики программного обеспечения

  2. Software Policies - Read - Предоставляет доступ для чтения к текущим политикам программного обеспечения

  3. Software Policies Configurations - Manage - Позволяет управлять конфигурациями, связанными с политиками программного обеспечения

Модуль синхронизации / Настройки

  1. MS AD andALD Pro Controllers - Create - Позволяет создавать новые контроллеры Microsoft Active Directory (AD) и ALD Pro

  2. MS AD and ALD Pro Controllers - Drop - Дает возможность удалять существующие контроллеры Microsoft AD и ALD Pro из системы

  3. MS AD and ALD Pro Controllers - Modify - Позволяет изменять настройки и конфигурации существующих контроллеров Microsoft AD и ALD Pro

  4. MS AD and ALD Pro Controllers - Read - Предоставляет доступ для чтения к информации о контроллерах Microsoft AD и ALD Pro

Модуль синхронизации / Сопоставление атрибутов

  1. Attributes Mapping - Manage - Позволяет управлять отображением атрибутов в системе

  2. Attributes Mapping - Read - Предоставляет доступ только для чтения к отображению атрибутов

Модуль синхронизации / Источники

  1. Organizational Units Mapping - Manage - Позволяет управлять сопоставлением подразделений (OU)

  2. Organizational Units Mapping - Read - Предоставляет доступ для чтения к сопоставлению подразделений

  3. Synchronization Tree - Manage - Позволяет управлять деревом синхронизации в системе

  4. Synchronization Tree - Read - Предоставляет доступ для чтения к дереву синхронизации

Пользователи и компьютеры / Группы компьютеров

  1. Computer groups - Add - Позволяет создавать новые группы компьютеров в системе

  2. Computer groups - Delete - Дает возможность удалять существующие группы компьютеров

  3. Computer groups - Modify - Позволяет изменять настройки и состав существующих групп компьютеров

  4. Computer groups - Read - Предоставляет доступ только для чтения к информации о группах компьютеров

  5. Computer groups - Set group membership - Позволяет управлять членством компьютеров в определенных группах

  6. Computer groups - Set organization unit - Позволяет назначать или изменять подразделение (OU)

Пользователи и компьютеры / Компьютеры

  1. Computers - Delete - Позволяет удалять учетные записи компьютеров из системы

  2. Computers - Modify - Дает возможность изменять свойства и настройки существующих учетных записей компьютеров

  3. Computers - Read - Предоставляет доступ для чтения к информации о компьютерах в системе

  4. Computers - Remote access - Позволяет осуществлять удаленный доступ к компьютерам

  5. Computers - Set organization unit - Позволяет назначать или изменять подразделения (OU) для учетных записей компьютеров

Пользователи и компьютеры / Организационная структура

  1. Organization Units - Add - Позволяет создавать новые подразделения (OU) в системе

  2. Organization units - Delete - Дает возможность удалять существующие подразделения

  3. Organization units - Modify - Позволяет изменять параметры существующих подразделения

  4. Organization units - Read - Предоставляет доступ для чтения к организационным единицам

Пользователи и компьютеры / Группы пользователей

  1. User groups - Add - Позволяет создавать новые пользовательские группы в системе

  2. User groups - Delete - Дает возможность удалять существующие пользовательские группы

  3. User groups - Modify - Позволяет изменять параметры существующих пользовательских групп

  4. User groups - Read - Предоставляет доступ для чтения к пользовательским группам

  5. User groups - Set group membership - Позволяет управлять членством пользователей в группах

  6. User groups - Set organization unit - Позволяет назначать или изменять подразделение (OU) для пользовательских групп

Пользователи и компьютеры / Пользователи

  1. Users - Add - Позволяет добавлять новые пользовательские учетные записи в систему

  2. Users - Modify - Позволяет изменять существующие пользовательские учетные записи

  3. Users - Read - Предоставляет доступ только для чтения к пользовательским учетным записям

  4. Users - Set organization unit - Позволяет назначать или изменять подразделение (OU) для учетных записей

  5. Users Password - Modify - Дает возможность изменять пароли для учетных записей

Пользователи и компьютеры / Корзина

  1. Users - Read trash - Позволяет просматривать учетные записи, которые были перемещены в корзину

  2. Users - Delete from trash - Дает возможность окончательно удалять пользовательские учетные записи из корзины

  3. Users - Return from trash - Дает возможность восстанавливать из корзины пользовательские учетные записи, которые были ранее перемещены туда

  4. Users - Move to trash - Дает возможность перемещать пользовательские учетные записи в корзину

Доступ только через БД и API

IPA Servers - Read - Предоставляет доступ для чтения к информации об IPA серверах

Миграция пользовательских ролей

Миграция пользовательских ролей, поставляемых по умолчанию в версии 2.4.0

После обновления до версии 2.4.0 появляются новые пользовательские роли, установленные в Системе по умолчанию:

  • роли на операции в каждом подразделе портала управления;

  • роль на чтение всего портала управления;

  • роль регионального администратора.

Для этих ролей выполняются следующие условия:

  • тип ролей «Пользовательская»;

  • роли привязываются к корню домена с установленным признаком «Включая дочерние подразделения»;

  • для всех привилегий, которые могут быть ограничены сайтом, устанавливается привязка ко всем сайтам;

  • на эти роли не делегированы пользователи и группы пользователей.

Миграция пользовательских ролей, созданных до обновления портала управления

В версию 2.4.0 переносятся все роли, созданные пользователями до обновления.

С версии 2.4.0 привязка к подразделению указывается для роли. Привилегии в составе роли, которым требуется привязка к подразделению, наследуют эту настройку от роли.

Привилегии одной роли, привязанные к разным подразделениям, в результате миграции будут распределены по нескольким ролям с учетом общей привязки к подразделению и признака «Включая дочерние подразделения».

Правила миграции пользовательских ролей:

  • тип ролей сохраняется: «Пользовательская»;

  • создается набор ролей по количеству привязок привилегий с учетом признака «Включая дочерние подразделения» в мигрируемой роли:

    • если в результате миграции из одной роли создается несколько ролей, для новых ролей в наборе к старому названию добавляется порядковый номер;

    • если в результате миграции из одной роли создается несколько ролей, каждая новая роль в наборе содержит все привилегии старой роли, которые не могут быть ограничены подразделением;

  • если мигрируемая роль была в статусе «Активна», то все соответствующие ей новые роли будут активированы:

    • будет выполнена попытка делегировать все новые роли всем пользователям и группам пользователей, на которых была назначена старая роль:

      • если некоторые пользователи выпадут из области действия привязки новой роли (т.е. подразделение новой роли и подразделение пользователя или хотя бы одного из пользователей в группе не совпадают с учетом признака «Включая дочерние подразделения» у новой роли), такой пользователь или группа не получат новую роль, в журнал миграции будет внесена запись об ошибке делегирования;

  • если статус мигрируемой роли отличен от «Активна», то статус наследуется, и все пользователи и все группы переносятся во все новые роли:

    • при процедуре активации всех новых ролей будет происходить проверка возможности наличия перенесенных пользователей в каждой роли (с привязкой к конкретному подразделению);

    • привязку роли к подразделению можно сменить таким образом, чтобы подразделения всех пользователей, назначенных на роль, подпадали в область действия роли (обязательное условие успеха активации роли).

Примечание

После обновления появляются дополнительные зависимости в правах доступа. Поэтому в привилегии могут быть добавлены связанные привилегии. Роли с такими привилегиями сохраняют свой статус согласно указанному алгоритму. Активные роли продолжают работать, но для полной функциональности после обновления необходимо деактивировать роль и добавить все связанные привилегии.