Настройки Active Directory¶
Раздел Панель управления – Настройки Active Directory позволяет:
задать параметры авторизации на контроллере домена,
создать группы пользователей AD, которые смогут входить в веб-интерфейс Staffcop Enterprise с помощью своих учетных записей из AD.
На основе авторизационных данных на контроллере домена можно:
назначать конфигурации для агентов групп пользователей,
разрешать доступ к веб-интерфейсу Staffcop Enterprise.
Подключение к Active Directory¶
Чтобы настроить подключение к AD, в разделе Панель управления → Настройки Active Directory выберите один из доменов или создайте новое подключение с помощью Добавить.
В открывшемся окне задайте основные настройки для подключения.
Домен – имя домена;
Контроллеры домена – IP-адрес или FQDN контроллера домена, если контроллеров домена больше одного, укажите их через запятую;
Порт – порт подключения (389 без использования SSL, 636 – с использованием);
SSL – включает подключение по SSL-протоколу.
В секции Синхронизация профилей Active Directory заполните все поля и выберите опции.
Включить синхронизацию — включает синхронизацию с контроллером домена;
Синхронизировать аккаунты — синхронизирует все аккаунты из AD;
Предупреждение
Не используйте одновременно параметры Включить синхронизацию аккаунтов и Автоматически обновлять профиль из AD. Если включены оба, информация в профиле пользователя может стать некорректной, так как Автоматически обновлять профиль из AD получает данные от агента, а Включить синхронизацию аккаунтов — из Active Directory
Синхронизировать только существующие аккаунты — синхронизирует данные учетных записей согласно списку Пользователи на сервере Staffcop. Опция не работает, если не включена синхронизация профилей;
Дополнительно синхронизировать по логину пользователя — синхронизирует пользователей по логину из Active Directory, если в ходе синхронизации выявлены аккаунты без SID в поле GUID. Включите опцию, если в домене есть пользователи ОС Linux. У таких пользователей в поле GUID указаны логины, потому что в Linux отсутствует SID пользователя;
Предупреждение
Если есть аккаунты с одинаковыми логинами, данные пользователей могут некорректно перезаписаться, даже если они находятся на разных поддоменах и имеют разные суффиксы — например, test.user@1example.ru и test.user@2example.ru.
Cинхронизировать конфигурации — позволяет назначать конфигурации компьютерам в соответствии с группами в Active Directory;
Пользователь — логин для авторизации на контроллере домена;
Пароль — пароль для авторизации на контроллере домена;
Разрешить рефералы — позволяет опрашивать все контроллеры домена для получения информации о запрошенной учетной записи. Может замедлить получение данных из AD;
Организационное подразделение — подразделение, для которого будет произведена синхронизация.
Особенности работы с настройкой Организационное подразделение:
формат ввода – название подразделения в нижнем регистре с разделителем в виде подчеркивания: organizational_unit;
максимальная длина – 255 символов;
синхронизация проводится только для уже существующих в подразделении аккаунтов, потому что опция Синхронизировать только существующие аккаунты учитывает Организационное подразделение.
Организационное подразделение игнорируется:
при пустом поле;
при авторизации пользователя в Staffcop – поиск пользователя ведётся по всей AD;
при назначении Конфигурации компьютера из AD;
при установке из AD – поиск ведётся по всей AD.
Расписание¶
Секция Расписание позволяет выбрать периодичность синхронизации:
Разовая задача,
С интервалом,
Ежедневно,
Еженедельно,
Ежемесячно.
Включение механизма назначения конфигурации¶
Начиная с версии 5.4 на сервере доступен новый механизм назначения конфигурации на агентов. Механизм не является обязательным для работы системы, но улучшает скорость взаимодействия агентов и сервера.
Механизм включается командой:
staffcop enable rustsrv
Включение механизма меняет способ назначения конфигурации:
на агента: просто включите механизм командой и назначьте конфигурацию,
группу AD: включите механизм и синхронизируйте аккаунты в разделе Синхронизация профилей Active Directory, а затем назначьте конфигурацию.
См.также
Группы пользователей с доступом к Staffcop¶
Начиная с версии 5.2 в Staffcop можно управлять правами доступа пользователей на основе групп из AD. Помимо предустановленных групп с заданными правами доступа, можно добавить любые другие группы пользователей из AD и назначить им права.
Предустановленные группы пользователей:
Администратор Staffcop: APP_STAFF_ADMIN – группа в AD, пользователи которой будут получать административный доступ к веб-интерфейсу Staffcop Enterprise.
Пользователь Staffcop: APP_STAFF_USER – группа в AD, пользователи которой будут получать пользовательский доступ к веб-интерфейсу Staffcop Enterprise.
Создание новых групп пользователей¶
Начиная с версии 5.2 можно назначать права неединичным пользователям, а на основе групп из AD. Для этого:
Объедините нужных пользователей в группу в AD.
Примечание
Не используйте запятую в имени группы, так как это может вызвать проблемы с фильтрацией и настройкой прав доступа.
В веб-интерфейсе Staffcop в разделе Панель управления → Настройки Active Directory откройте раздел для редактирования или создайте новый.
В секции Группы пользователей с доступом к Staffcop нажмите кнопку Добавить ещё.
Укажите имя группы в AD, для которой хотите настроить права доступа.
Нажмите Сохранить.
В открывшемся окне выберите необходимые группы прав Staffcop.
После сохранения изменений настроенные права групп будут видны в разделе Настройки Active Directory.
Как назначить конфигурацию группе AD¶
Назначение конфигурации группе в AD позволяет одновременно присваивать конфигурацию множеству пользователей.
Шаг 1. Создайте группу в AD:
Откройте консоль управления Пользователями и Компьютерами.
В группе Computers (Компьютеры) создайте группу, например staffcop_full_control.
Добавьте в группу компьютеры для назначения конфигурации.
Шаг 2. Назначьте конфигурацию на сервере Staffcop:
Перейдите Панель управления → Настройки Active Directory.
Выберите домен и заполните данные в разделе Подключение к Active Directory.
Совет
Для улучшения скорости обработки данных агентов на сервере вы можете включить механизм назначения конфигурации агенту на сервере. Перед включением механизма убедитесь, что в разделе Синхронизация профилей Active Directory синхронизированы аккаунты.
Перейдите в Панель управления → Конфигурация компьютеров и выберите конфигурацию.
Перейдите в раздел Назначение агентов и введите в поле Группы AD название группы, в нашем случае – staffcop_full_control.
Сохраните конфигурацию.
В разделе Админ → Глобальная конфигурация нажмите Сохранить.
После синхронизации конфигурация Усиленный контроль будет назначена всем рабочим станциям из группы staffcop_full_control. Синхронизация сервера и AD произойдет по расписанию.
Дата изменения: 10.07.2024