Настройки Active Directory

Эта страница позволяет задать параметры для авторизации на удалённом AD-сервере. Так же здесь можно задать группы пользователей AD, пользователи которых смогут авторизоваться в веб-интерфейсе Staffcop Enterprise с помощью авторизационных данных заданных в AD. Параметры авторизации на удалённом AD-сервере позволяют решить две задачи:

  • авторизацию на удалённом AD-сервере для назначения конфигурации для агента на основе группы пользователей в Active Directory

  • разрешить доступ к веб-интерфейсу Staffcop Enterprise на основе заданной группы пользователей в AD

../../_images/adsync_1.png

Подключение к Active Directory

Основные настройки для подключения к контроллеру домена

  • Пользователь - логин для авторизации на удалённом AD-сервере.

  • Пароль - пароль для авторизации на удалённом AD-сервере.

  • Контроллер домена - ip-адрес контроллера домена или имя домена(можно указывать несколько).

Примечание

Если используется подключение SSL, то необходимо указывать ip-адрес и имя контроллера домена через запятую.

  • Порт - Порт подключения (389 без использования ssl).

  • SSL - включает подключение по SSL протоколу, требует подключения по 636 порту.

Группы пользователей с доступом к Staffcop

Названия групп пользователей в AD - для задания уровня доступа к веб-интерфейсу Staffcop Enterprise.

  • Администратор Staffcop - название группы в AD, пользователи которой будут получать административный доступ к веб-интерфейсу Staffcop Enterprise.

  • Пользователь Staffcop - название группы в AD, пользователи которой будут получать пользовательский доступ к веб-интерфейсу Staffcop Enterprise.

Синхронизация профилей

Включить синхронизацию аккаунтов - при включении производит сихронизацию всех аккаунтов из AD, если не включен пункт ниже.

Примечание

Синхронизация аккаунтов можно также осуществлять через опцию параметра сервера Автоматичeски обновлять профиль из AD. Для этого не требуется настройка Active Directory, данные будут отправлятся агентом. Рекомендуем использовать одновременно только одну опцию.

Синхронизировать только существующие аккаунты - синхронизирует данные учетных записей согласно списку «Пользователи» на сервере Staffcop (не работает, если не включена синхронизация аккаунтов).

Разрешить рефералы - после включения данной опции сервер Staffcop начинает опрашивать все имена контроллеров домена (рефералы) в поисках информации связанной с запрошенной Учетной записью. Может замедлять получение данных из Active Directory.

Организационное подразделение - возможность указать подразделение для которого будет производиться синзронизация. Формат ввода: organizational,unit . Для примера воспользуемся скриншотом ниже и будет выглядеть вследующим образом: qa, разработка программного обеспечения .

Примечание:

    1. Максимальная длина «organizational_unit» равна 255,

    1. Опция «Синхронизировать только существующие аккаунты» не игнорирует поле «Организационное подразделение» и синхронизация будет проводиться только по существующим аккаунтам внутри «Организационного подразделения»,

    1. В случае, если «Организационное подразделение» пустое, то это поле игнорируется, иначе проверяется в AD существование «Организационного подразделения» и если не найдено, то настройки не сохраняются с ошибкой «Возможно, вы указали неверное организационное подразделение [TIME]»,

    1. При авторизации пользователя в «staffcop» поле «Организационное подразделение» игнорируется и поиск ведётся по всему AD,

    1. При назначении «Конфигураций компьютера» из AD поле «Организационное подразделение» игнорируется и поиск ведётся по всему AD,

    1. При установке из AD («Удаленная установка» -> «Установка в Active Directory») поле «Организационное подразделение» игнорируется и поиск ведётся по всему AD.

../../_images/adsync_2.png

Расписание

Периодичность - способ запуска синхроназиции бывает следующий:

  • Разовая задача

  • С интервалом

  • Ежедневно

  • Еженедельно

  • Ежемесячно

Статус

Результат проверки - отображается результат последней проверки соединения с AD-сервером и успех или неуспех этой операции.

Пример работы

Чтобы назначить пользователю в Active Directory - конфигурацию Усиленный контроль, если рабочая станция пользователя входит в группу staffcop_full_control, нужно сделать следующее:

  • Задать данные для Подключение к Active Directory

  • В конфигурации Усиленный контроль в разделе Назначение агентов - задать в переменной Группа AD строку - staffcop_full_control, и сохранить конфигурацию.

  • На сервере Aсtive Directory открыть оснастку управления Пользователями и Компьютерами и в группе Computers (Компьютеры) создать группу с именем - staffcop_full_control.

  • Найти имя компьютера или компьютеров, которому хотите назначить конфигурацию Усиленный контроль и добавьте его в созданную группу с именем staffcop_full_control.

  • Далее в веб-интерфейсе Staffcop Enterprise нужно в меню Админ - Глобальная конфигурация, нажать кнопку Сохранить.

Через 1-2 минуты конфигурация усиленный контроль - будет назначена всем рабочим станциям, которые входят в группу Active Directory с именем - staffcop_full_control.