Необходимые привилегии для ввода компьютера в домен

Предварительная настройка

Для выполнения предварительной настройки ввода компьютеров в домен с помощью Портала Управления ALD Pro необходимо:

  • Создать и настроить сервер DHCP для установки ОС по сети (см. Справочный ЦентрРоли службы сайтаСлужба динамической настройки узла).

  • Создать и настроить сервер репозиториев ПО, а также репозиторий ПО, откуда будет проходить установка ОС на компьютер (см. Справочный центрУстановка и обновление ПО - Репозитории ПО).

  • Создать и настроить сервер установки ОС по сети, добавить шаблон компьютера и профиль загрузки (см. Справочный центрАвтоматизацияУстановка ОС по сети).

Для выполнения настройки вышеуказанных разделов необходимо:

  • создать роль;

  • привязать ее к корню домена;

  • установить признак Включая дочерние подразделения;

  • сохранить эту роль;

  • добавить необходимый набор привилегий для управления всеми разделами портала управления;

  • назначить роль на администратора, который будет выполнять предварительную настройку. Данный администратор будет обладать всеми необходимыми привилегиями для выполнения настройки и ввода компьютера в домен.

Привилегии, необходимые для работы с подразделом портала Роли службы сайта - Служба динамической настройки узла

Для создания и настройки нового сервера службы динамической настройки узла (DHCP), который будет использоваться в процессе ввода компьютера в домен, необходимы следующие привилегии:

  1. DHCP Servers - Create (привязка ко всем сайтам домена), для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    1.1 Computers - Read

    1.2 DHCP - Read

    1.3 DNS Zones - Read

    1.4 IPA Servers - Read

    1.5 Organization units - Read

    1.6 Sites - Read

  2. DHCP Configuration - Modify (привязка ко всем сайтам домена), для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    2.1 Computers - Read

    2.2 DHCP - Read

    2.3 DNS Zones - Read

    2.4 IPA Servers - Read

    2.5 Organization units - Read

    2.6 Sites - Read

Привилегии, необходимые для работы с подразделом портала Установка и обновление ПО - Репозитории ПО

Для создания и настройки нового сервера репозиториев ПО, а также нового репозитория на этом сервере, который будет использоваться в процессе ввода компьютера в домен, необходимы следующие привилегии:

  1. Repository Servers - Create (привязка ко всем сайтам домена), для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    1.1 Computers - Read

    1.2 DNS Zones - Read

    1.3 IPA Servers - Read

    1.4 Organization units - Read

    1.5 Repository Servers - Read

    1.6 Sites - Read

  2. Repositories - Add, для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    2.1 Computers - Read`

    2.2 DNS Zones - Read

    2.3 IPA Servers - Read

    2.4 Organization units - Read

    2.5 Repositories - Read

    2.6 Repository Servers - Read

    2.7 Sites - Read

  3. Repository Versions - Manage (привязка ко всем сайтам домена), опционально при необходимости, для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    3.1 Computers - Read

    3.2 DNS Zones - Read

    3.3 IPA Servers - Read

    3.4 Organization units - Read

    3.5 Repositories - Read

    3.6 Repository Servers - Read

    3.7 Sites - Read

Привилегии, необходимые для работы с подразделом портала Автоматизация - Установка ОС по сети

Для создания и настройки нового сервера установки ОС по сети, который будет использоваться в процессе ввода компьютера в домен, а также для добавления компьютеров и создания новых профилей загрузки, необходимы следующие привилегии:

  1. Installation Server Computers - Manage, для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    1.1 Computers - Delete

    1.2 Computers - Read

    1.3 DNS Zones - Read

    1.4 DHCP - Read

    1.5 Domain Info - Read

    1.6 IPA Servers - Read

    1.7 Installation Server Profiles - Manage

    1.8 Installation Servers - Read

    1.9 Organization units - Read

    1.10 Sites - Read

  2. Installation Servers - Create (привязка ко всем сайтам домена), для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    2.1 Computers - Read

    2.2 DNS Zones - Read

    2.3 DHCP - Read

    2.4 Domain Info - Read

    2.5 IPA Servers - Read

    2.6 Installation Servers - Read

    2.7 Organization units - Read

    2.8 Sites - Read

  3. Installation Servers - Modify (при необходимости не только создавать, но и изменять имеющиеся сервера установки ОС), (привязка ко всем сайтам домена), для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    3.1 Computers - Read

    3.2 DNS Zones - Read

    3.3 DHCP - Read

    3.4 Domain Info - Read

    3.5 IPA Servers - Read

    3.6 Installation Servers - Read

    3.7 Organization units - Read

    3.8 Sites - Read

Полный набор привилегий, необходимых для настройки возможности ввода компьютера в домен с помощью портала управления ALD Pro

Таким образом, для настройки возможности ввода компьютера в домен необходимо создать роль с приведенным ниже набором привилегий и назначить эту роль на того администратора, который будет выполнять настройку:

  1. DHCP Servers - Create (привязка ко всем сайтам домена)

  2. DHCP Configuration - Modify (привязка ко всем сайтам домена)

  3. Repository Servers - Create (привязка ко всем сайтам домена)

  4. Repositories - Add

  5. Repository Versions - Manage (привязка ко всем сайтам домена)

  6. Installation Server Computers - Manage

  7. Installation Servers - Create (привязка ко всем сайтам домена)

  8. Computers - Delete (связанная)

  9. Computers - Read (связанная)

  10. DHCP - Read (связанная)

  11. DNS Zones - Read (связанная)

  12. IPA Servers - Read (связанная)

  13. Domain Info - Read (связанная)

  14. Organization units - Read (связанная)

  15. Sites - Read (связанная)

  16. Installation Server Profiles - Manage (связанная)

  17. Installation Servers - Read (связанная)

  18. Repositories - Read (связанная)

  19. Repository Servers - Read (связанная)

Настройка возможности ввода компьютеров в домен с помощью ролей для подразделов портала управления

Для обеспечения предварительной настройки возможности ввода компьютера в домен также можно воспользоваться поставляемыми при начальной установке ролями для подразделов Портала Управления ALD Pro.

Для этого администратору необходимо делегировать следующие роли:

  1. ALDPRO - DHCP Service Administrators

  2. ALDPRO - Software Repositories Administrators

  3. ALDPRO - Install OS Service Administrators

Однако необходимо помнить, что при этом администратор будет обладать полными правами на эти подразделы (то есть добавляется возможность удалять и модифицировать все данные во всех подразделах портала, на которые предоставляется доступ, а не только возможностью создания новых данных).

Привилегии, необходимые для ввода компьютера в домен, при условии, что все настройки сделаны предварительно

В том случае, если все необходимые настройки для ввода компьютера в домен были предварительно проведены одним администратором, то набор привилегий, необходимых администратору исключительно для ввода компьютера в домен без возможности модификации данных в подразделах портала, не связанных с установкой ОС по сети, может быть сокращен до следующего набора привилегий:

  1. Installation Server Computers - Manage, для корректной работы данной привилегии в роль также необходимо добавить следующие связанные привилегии:

    1.1 Computers - Delete

    1.2 Computers - Read

    1.3 DNS Zones - Read

    1.4 DHCP - Read

    1.5 Domain Info - Read

    1.6 IPA Servers - Read

    1.7 Installation Server Profiles - Manage

    1.8 Installation Servers - Read

    1.9 Organization units - Read

    1.10 Sites - Read