Необходимые привилегии для ввода компьютера в домен
--------------------------------------------------------------------------------------------

Предварительная настройка
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Для выполнения предварительной настройки ввода компьютеров в домен с помощью Портала Управления ALD Pro необходимо:

* Создать и настроить сервер **DHCP** для установки ОС по сети (см. **Справочный Центр** -- **Роли службы сайта** -- :ref:`r+s_dynamic_setting_service`).
* Создать и настроить сервер репозиториев ПО, а также репозиторий ПО, откуда будет проходить установка ОС на компьютер (см. **Справочный центр** -- **Установка и обновление ПО** - :ref:`swiu_software_repositories`).
* Создать и настроить сервер установки ОС по сети, добавить шаблон компьютера и профиль загрузки (см. **Справочный центр** -- **Автоматизация** -- :ref:`auto_installing_OS_network`).

Для выполнения настройки вышеуказанных разделов необходимо:

* создать роль;
* привязать ее к корню домена;
* установить признак **Включая дочерние подразделения**;
* сохранить эту роль;
* добавить необходимый набор привилегий для управления всеми разделами портала управления;
* назначить роль на администратора, который будет выполнять предварительную настройку. Данный администратор будет обладать всеми необходимыми привилегиями для выполнения настройки и ввода компьютера в домен.

Привилегии, необходимые для работы с подразделом портала Роли службы сайта - Служба динамической настройки узла
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Для создания и настройки нового сервера службы динамической настройки узла (**DHCP**), который будет использоваться в процессе ввода компьютера в домен, необходимы следующие привилегии:

1. ``DHCP Servers - Create`` (привязка ко всем сайтам домена), для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    1.1 ``Computers - Read``

    1.2 ``DHCP - Read``

    1.3 ``DNS Zones - Read``

    1.4 ``IPA Servers - Read``

    1.5 ``Organization units - Read``

    1.6 ``Sites - Read``

2. ``DHCP Configuration - Modify`` (привязка ко всем сайтам домена), для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:
   
    2.1 ``Computers - Read``
    
    2.2 ``DHCP - Read``
    
    2.3 ``DNS Zones - Read``
    
    2.4 ``IPA Servers - Read``
    
    2.5 ``Organization units - Read``
    
    2.6 ``Sites - Read``

Привилегии, необходимые для работы с подразделом портала Установка и обновление ПО - Репозитории ПО
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Для создания и настройки нового сервера репозиториев ПО, а также нового репозитория на этом сервере, который будет использоваться в процессе ввода компьютера в домен, необходимы следующие привилегии:

1. ``Repository Servers - Create`` (привязка ко всем сайтам домена), для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:
    
    1.1 ``Computers - Read``
    
    1.2 ``DNS Zones - Read``
    
    1.3 ``IPA Servers - Read``
    
    1.4 ``Organization units - Read``
    
    1.5 ``Repository Servers - Read``
    
    1.6 ``Sites - Read``

2. ``Repositories - Add``, для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    2.1 ``Computers - Read```

    2.2 ``DNS Zones - Read``

    2.3 ``IPA Servers - Read``

    2.4 ``Organization units - Read``

    2.5 ``Repositories - Read``

    2.6 ``Repository Servers - Read``

    2.7 ``Sites - Read``

3. ``Repository Versions - Manage`` (привязка ко всем сайтам домена), опционально при необходимости, для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    3.1 ``Computers - Read``

    3.2 ``DNS Zones - Read``

    3.3 ``IPA Servers - Read``

    3.4 ``Organization units - Read``

    3.5 ``Repositories - Read``

    3.6 ``Repository Servers - Read``

    3.7 ``Sites - Read``

Привилегии, необходимые для работы с подразделом портала Автоматизация - Установка ОС по сети
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Для создания и настройки нового сервера установки ОС по сети, который будет использоваться в процессе ввода компьютера в домен, а также для добавления компьютеров и создания новых профилей загрузки, необходимы следующие привилегии:

1. ``Installation Server Computers - Manage``, для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    1.1 ``Computers - Delete``

    1.2 ``Computers - Read``

    1.3 ``DNS Zones - Read``

    1.4 ``DHCP - Read``

    1.5 ``Domain Info - Read``

    1.6 ``IPA Servers - Read``

    1.7 ``Installation Server Profiles - Manage``

    1.8 ``Installation Servers - Read``

    1.9 ``Organization units - Read``

    1.10 ``Sites - Read``

2. ``Installation Servers - Create`` (привязка ко всем сайтам домена), для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    2.1 ``Computers - Read``

    2.2 ``DNS Zones - Read``

    2.3 ``DHCP - Read``

    2.4 ``Domain Info - Read``

    2.5 ``IPA Servers - Read``

    2.6 ``Installation Servers - Read``

    2.7 ``Organization units - Read``

    2.8 ``Sites - Read``

3. ``Installation Servers - Modify`` (при необходимости не только создавать, но и изменять имеющиеся сервера установки ОС), (привязка ко всем сайтам домена), для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    3.1 ``Computers - Read``

    3.2 ``DNS Zones - Read``

    3.3 ``DHCP - Read``

    3.4 ``Domain Info - Read``

    3.5 ``IPA Servers - Read``

    3.6 ``Installation Servers - Read``

    3.7 ``Organization units - Read``

    3.8 ``Sites - Read``

Полный набор привилегий, необходимых для настройки возможности ввода компьютера в домен с помощью портала управления ALD Pro
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Таким образом, для настройки возможности ввода компьютера в домен необходимо создать роль с приведенным ниже набором привилегий и назначить эту роль на того администратора, который будет выполнять настройку:

#. ``DHCP Servers - Create`` (привязка ко всем сайтам домена)
#. ``DHCP Configuration - Modify`` (привязка ко всем сайтам домена)
#. ``Repository Servers - Create`` (привязка ко всем сайтам домена)
#. ``Repositories - Add``
#. ``Repository Versions - Manage`` (привязка ко всем сайтам домена)
#. ``Installation Server Computers - Manage``
#. ``Installation Servers - Create`` (привязка ко всем сайтам домена)
#. ``Computers - Delete`` (связанная)
#. ``Computers - Read`` (связанная)
#. ``DHCP - Read`` (связанная)
#. ``DNS Zones - Read`` (связанная)
#. ``IPA Servers - Read`` (связанная)
#. ``Domain Info - Read`` (связанная)
#. ``Organization units - Read`` (связанная)
#. ``Sites - Read`` (связанная)
#. ``Installation Server Profiles - Manage`` (связанная)
#. ``Installation Servers - Read`` (связанная)
#. ``Repositories - Read`` (связанная)
#. ``Repository Servers - Read`` (связанная)

Настройка возможности ввода компьютеров в домен с помощью ролей для подразделов портала управления
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Для обеспечения предварительной настройки возможности ввода компьютера в домен также можно воспользоваться поставляемыми при начальной установке ролями для подразделов Портала Управления ALD Pro.

Для этого администратору необходимо делегировать следующие роли:

#. ``ALDPRO - DHCP Service Administrators``
#. ``ALDPRO - Software Repositories Administrators``
#. ``ALDPRO - Install OS Service Administrators``

Однако необходимо помнить, что при этом администратор будет обладать полными правами на эти подразделы (то есть добавляется возможность удалять и модифицировать все данные во всех подразделах портала, на которые предоставляется доступ, а не только возможностью создания новых данных).

Привилегии, необходимые для ввода компьютера в домен, при условии, что все настройки сделаны предварительно
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

В том случае, если все необходимые настройки для ввода компьютера в домен были предварительно проведены одним администратором, то набор привилегий, необходимых администратору исключительно для ввода компьютера в домен без возможности модификации данных в подразделах портала, не связанных с установкой ОС по сети, может быть сокращен до следующего набора привилегий:

1. ``Installation Server Computers - Manage``, для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    1.1 ``Computers - Delete``

    1.2 ``Computers - Read``

    1.3 ``DNS Zones - Read``

    1.4 ``DHCP - Read``

    1.5 ``Domain Info - Read``

    1.6 ``IPA Servers - Read``

    1.7 ``Installation Server Profiles - Manage``

    1.8 ``Installation Servers - Read``

    1.9 ``Organization units - Read``

    1.10 ``Sites - Read``