.. :validated: 3.2.0

Виды типов администраторов
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Типы в Системе делятся на:

- **Предустановленная**: тип, который находится в **ALD Pro** по умолчанию. Существует одна предустановленная роль Главного администратора (**ALD Pro - Main Administrator**). Эта роль по умолчанию при установке **ALD Pro** назначается пользователю ``admin``. Пользователи с этой ролью обладают полными правами на весь портал управления.

Роль **ALD Pro - Main Administrator** обладает следующими свойствами для обеспечения и сохранения возможности полного доступа к порталу управления:

* Роль нельзя удалить;
* Данная роль должна быть назначена как минимум на одного активного пользователя;
* Постоянный состав привилегий и параметров роли.

На роль **ALD Pro - Main Administrator** можно назначить любого пользователя с учетной записью в портале управления **ALD Pro**.

Также поддерживается создание копии роли **ALD Pro - Main Administrator**, которая будет содержать полный набор привилегий, доступный для назначения средствами портала управления. 

- **Системные**: типы, которые находятся в **ALD Pro** по умолчанию и используются для работы Системы. Недоступны для изменения, копирования, удаления и назначения на пользователей. Всегда в состоянии **Активна**. Для отображения их в таблице ролей по пути Управление доменом/Роли и права доступа необходимо установить флаг "Показывать системные роли" , после чего эти роли появятся в таблице и будут доступны как по фильтру, так и по поиску, флаг сохраняется.

В **ALD Pro** присутствуют следующие системные роли:

* ALDPRO - CIFS server
* ALDPRO - Organization units
* ALDPRO - Organizational Units Service Account
* ALDPRO - RuPost Service Integrations
* ALDPRO - Saltstack Administrators
* ALDPRO - Service Role
* ALDPRO - Trusts Service Account
* Enrollment Administrator (с версии 2.4.0 - системная, до версии 2.4.0 - предустановленная)
* helpdesk (с версии 2.4.0 - системная, до версии 2.4.0 - предустановленная)
* Security Architect (с версии 2.4.0 - системная, до версии 2.4.0 - предустановленная)
* User Administrator (с версии 2.4.0 - системная, до версии 2.4.0 - предустановленная)

- **Пользовательские**: региональный администратор, типы, дающие доступ к подразделам портала, для чтения всего портала и созданные пользователями в **ALD Pro**. Доступны для создания, изменения, делегирования, копирования и удаления и назначения на пользователей.

По умолчанию в портале управления присутствуют следующие пользовательские роли, доступные после установки **ALD Pro**:

* роли с полными правами на операции в подразделах портала управления

.. attention::

   Для выполнения некоторых операций требуется дополнительное участие в группах. Детальная информация присутствует в описаниях привилегий. Пример: привилегия Domain Integrations - Manage требует участия пользователя в группах trust admins и ald trust admin.

* роль на чтение всего портала: **ALDPRO - Domain Viewer** предоставляет привилегии читать информацию во всех подразделах портала управления **ALD Pro**, за исключением подраздела **Управление доменом - Интеграция с доменами**.

* роль Регионального администратора: **ALD Pro - Regional Administrator** является ограниченной по правам копией роли Главного администратора (**ALD Pro - Main Administrator**), для которой можно указать область действия (**ALD Pro - Main Administrator** распространяется на весь домен).

В случае необходимости состав привилегий любой пользовательской роли может быть изменен (удалены лишние привилегии или добавлены недостающие). Если в роль, присутствующую в **ALD Pro** по умолчанию, будут внесены изменения (добавлены или удалены привилегии) доступы к подразделам могут отличаться от заявленных в документации.

Существует возможность создавать пользовательские роли с любым набором существующих в **ALD Pro** привилегий и необходимыми ограничениями областей действий.

Если требуется использовать пользовательскую роль как шаблон, рекомендуется в продуктивных средах создать копию шаблонной роли и работать дальше с копией. В этом случае появляется возможность вносить изменения в состав привилегий, менять привязки роли без опасения изменить начальную конфигурацию пользовательской роли.
