Настройки Active Directory

Раздел Панель управления - Настройки Active Directory предназначен для:

  • задания параметров авторизации на контроллере домена;

  • задания группы пользователей AD, которые смогут авторизовываться в веб-интерфейсе Staffcop Enterprise с помощью учётных записей из AD.

На основе авторизационных данных на контроллере домена можно:

  • назначать конфигурации для агентов групп пользователей;

  • разрешать доступ к веб-интерфейсу Staffcop Enterprise.

Подключение к Active Directory

Чтобы настроить подключение к Active Directory, в разделе Панель управления - Настройки Active Directory выберите один из уже имеющихся доменов или создайте новое подключение, нажав кнопку Добавить.

../../_images/ad_sync_1.1.png

В открывшемся окне задайте основные настройки для подключения.

../../_images/ad_sync_1.2.png
  • Домен - имя домена;

  • Контроллеры домена - IP-адрес или FQDN контроллера домена, если контроллеров домена больше одного, укажите их через запятую;

  • Порт - порт подключения (389 без использования ssl, 636 - с использованием).

  • SSL - включает подключение по SSL протоколу.

В секции Синхронизация профилей Active Directory заполните все необходимые поля и выберите опции.

../../_images/ad_sync_1.3.png
  • Включить синхронизацию аккаунтов - производит сихронизацию всех аккаунтов из Active Directory. Дублирует параметр сервера Автоматичeски обновлять профиль из AD. Не используйте эти опции одновременно.

  • Пользователь - логин для авторизации на контроллере домена;

  • Пароль - пароль для авторизации на контроллере домена;

  • Синхронизировать только существующие аккаунты - синхронизирует данные учетных записей согласно списку «Пользователи» на сервере Staffcop (не работает, если не включена синхронизация профилей);

  • Разрешить рефералы - опрашивать все имена контроллеров домена (рефералы) в поисках информации связанной с запрошенной Учетной записью. Может замедлять получение данных из Active Directory;

  • Организационное подразделение - подразделение, для которого будет производиться синхронизация.

Особенности работы с Организационным подразделением:

  • формат ввода: organizational_unit;

  • максимальная длина - 255 символов;

  • Синхронизировать только существующие аккаунты не игнорирует Организационное подразделение и синхронизация проводится только по существующим аккаунтам внутри Организационного подразделения;

  • Организационное подразделение игнорируется:

    • если поле пусто;

    • при авторизации пользователя в Staffcop - поиск пользователя ведётся по всей Active Directory;

    • при назначении Конфигурации компьютера из Active Directory;

    • при установке из Active Directory (Удаленная установка - Установка в Active Directory) - поиск ведётся по всему AD.

Расписание

Секция Расписание позволяет выбрать периодичность синхронизации:

  • Разовая задача;

  • С интервалом;

  • Ежедневно;

  • Еженедельно;

  • Ежемесячно.

Группы пользователей с доступом к Staffcop

Начиная с версии 5.2 в Staffcop можно управлять правами доступа пользователей на основе групп из Active Directory. Помимо предустановленных групп с заданными правами доступа, можно добавить любые другие группы пользователей из Active Directory и назначить им определённые права.

../../_images/ad_sync_1.4.png

Предустановленные группы пользователей:

  • Администратор Staffcop: APP_STAFF_ADMIN - группа в AD, пользователи которой будут получать административный доступ к веб-интерфейсу Staffcop Enterprise.

  • Пользователь Staffcop: APP_STAFF_USER - группа в AD, пользователи которой будут получать пользовательский доступ к веб-интерфейсу Staffcop Enterprise.

Создание новых групп пользователей

Начиная с версии 5.2, можно назначать права не единичным пользователям, а на основе групп из Active Directory. Для этого:

  1. Объедините нужных пользователей в группу в Active Directory.

  2. В веб-интерфейсе Staffcop в разделе Панель управления - Настройки Active Directory создайте новый раздел или откройте для редактирования уже имеющийся.

  3. В секции Группы пользователей с доступом к Staffcop нажмите кнопку Добавить ещё.

../../_images/ad_sync_1.5.png
  1. Укажите имя группы в Active Directory, для которой хотите настроить права доступа.

  2. Нажмите Сохранить.

  3. В открывшемся окне выберите необходимые группы прав Staffcop.

../../_images/ad_sync_1.6.png
  1. После сохранения изменений настроенные права групп будут видны в разделе Настройки Active Directory.

../../_images/ad_sync_1.7.png

Пример работы

Чтобы назначить нескольким пользователям Active Directory конфигурацию Усиленный контроль:

  1. На сервере Aсtive Directory откройте оснастку управления Пользователями и Компьютерами.

  2. В группе Computers (Компьютеры) создайте группу, например staffcop_full_control.

  3. Добавьте в группу компьютеры, которым хотите назначить конфигурацию.

  4. На сервере Staffcop заполните данные в разделе Подключение к Active Directory.

  5. В разделе Панель управления - конфигурация компьютеров выберите конфигурацию Усиленный контроль.

  6. В разделе Назначение агентов в строке Группа AD укажите название группы (в нашем случае - staffcop_full_control).

  7. Сохраните конфигурацию.

  8. В разделе Админ - Глобальная конфигурация нажмите Сохранить.

Через 1-2 минуты конфигурация Усиленный контроль будет назначена всем рабочим станциям, которые входят в группу Active Directory с именем - staffcop_full_control.