Настройки Active Directory¶
Staffcop Enterprise подключается к службе каталогов Microsoft Active Directory для синхронизации аккаунтов и конфигураций.
После подключения к AD доступны следующие возможности:
Возможность |
Описание |
|---|---|
Импорт профилей из AD |
Система регулярно загружает данные сотрудников из Active Directory |
Вход через AD |
Пользователи с доступом в Staffcop могут войти в веб-интерфейс по логину и паролю AD. |
Доступ на основе групп AD |
Права пользователей в Staffcop определяются их групповой принадлежностью |
Назначение конфигурации |
Система автоматически применяет конфигурацию ко всем компьютерам пользователя |
Гибкие сценарии установки |
Доступно несколько способов развертывания агента на компьютерах доменных пользователей: |
Экономия лицензий |
На одного доменного пользователя выделяется одна лицензия, даже если он работает |
Подключение к Active Directory¶
Чтобы настроить синхронизацию с Active Directory, выполните следующие действия:
Перейдите к настройкам:
новый интерфейс: Администрирование → Интеграция → Active Directory:
старый интерфейс: Панель управления → Настройки Active Directory:
Нажмите кнопку Добавить. Откроется окно настройки подключения.
Заполните обязательные поля:
Домен – имя домена.
Контроллеры домена – IP-адрес или FQDN контроллера домена. Несколько контроллеров указываются через запятую.
Пользователь — учетная запись для подключения к домену.
Пароль — пароль к указанному пользователю.
При необходимости заполните поля для настройки подключения:
По умолчанию – использовать этот домен для авторизации администраторов без явного указания домена.
Порт – порт подключения к контроллеру домена, по умолчанию 389. Зависит от опции SSL.
SSL – включает подключение по SSL-протоколу и 636 порту.
Нажмите Сохранить в правом нижнем углу.
Синхронизация с Active Directory¶
Для синхронизации с Active Directory заполните поля в Администрирование → Интеграция → Active Directory:
Включить синхронизацию — активирует механизм синхронизации. Без нее остальные опции не работают.
Синхронизировать аккаунты — загружает все аккаунты из AD, в том числе и неактивные.
Примечание
Перед синхронизацией очистите дерево пользователей AD: удалите или переместите в отдельный OU(organization unit) — подразделение Active Directory все отключенные или устаревшие учетные записи.
Предупреждение
Не используйте одновременно Включить синхронизацию аккаунтов и настройку параметров сервера Автоматически обновлять профиль из AD.
Первая опция берет данные из AD, вторая — от агента. Конфликт может привести к некорректным данным в профиле.
Синхронизировать только существующие аккаунты — обновляет данные пользователей из списка Пользователи на сервере Staffcop.
Работает только при включенных Включить синхронизацию и Синхронизировать аккаунты.
Дополнительно синхронизировать по логину пользователя — синхронизирует пользователей по логину из Active Directory, если во время синхронизации выявлены аккаунты без SID в поле GUID.
Примечание
Включите опцию, если в домене есть пользователи ОС Linux. У таких пользователей в поле GUID указаны логины, потому что в Linux отсутствует SID пользователя.
Предупреждение
Если в разных поддоменах есть пользователи с одинаковыми логинами, например, test.user@1example.ru или test.user@2example.ru, их данные могут перезаписаться.
Cинхронизировать конфигурации — назначает конфигурации компьютерам на основе их групп в Active Directory.
Разрешить рефералы — позволяет запрашивать данные из поддоменов. Может замедлить синхронизацию.
Организационное подразделение — указывает, из какого подразделения Active Directory (OU) синхронизировать данные.
формат ввода – название подразделения в нижнем регистре с разделителем в виде запятой без пробелов: organizational,unit;
максимальная длина – 255 символов;
вложенность задается с конца: Второй отдел,АИС.
Вложенность в AD:
Синхронизация при задании OU выполняется для пользователей:
которые входят в указанное подразделение в Active Directory;
прошли авторизацию на компьютере с установленным агентом, после чего их данные были переданы в систему.
Организационное подразделение игнорируется:
если поле пусто — синхронизация выполняется по всему домену;
при авторизации пользователя в Staffcop – поиск пользователя производится по всей AD;
при назначении конфигурации через группы AD — Staffcop просматривает всех членов группы по всему домену, так как группы могут включать компьютеры из любых подразделений;
при установке агента через AD — развертывание настраивается на уровне всего домена или на определенные группы компьютеров, которые могут быть в любых OU.
Периодичность — задает интервал автоматических запусков синхронизации.
Группы пользователей в Active Directory¶
Группы из AD можно использовать для управления правами доступа пользователей в Staffcop. Например:
Administrators — полный доступ к веб-консоли;
Top Management — просмотр данных о рабочем времени всех сотрудников;
Sales — доступ только к своим данным о рабочем времени для самоконтроля.
Подсказка
Для полноценной работы прав Staffcop должен иметь постоянный доступ к контроллеру домена. Проверка группы происходит при авторизации.
Доступ может быть настроен как через предустановленные группы, так и через созданные вручную.
Предустановленные группы:
Администратор Staffcop – участники получают полный административный доступ;
Пользователь Staffcop – доступ ограничен пользовательскими функциями.
Пользователи из группы AD могут авторизоваться в веб-интерфейсе Staffcop с помощью доменного логина и пароля. Для этого внесите их в группу:
Администратор Staffcop;
Пользователь Staffcop;
группу Active Directory, у которой в Staffcop активна опция Статус персонал:
Создание новых групп¶
Чтобы создать новую группу и выдать ей права доступа к Staffcop:
Создайте группу в AD и добавьте в нее пользователей.
Примечание
Не используйте запятую в имени группы, чтобы не нарушить фильтрацию и настройку прав доступа.
Откройте в Staffcop Настройки Active Directory.
Заполните поле Пароль для доступа к контроллеру домена.
В секции Группы пользователей с доступом к Staffcop нажмите Добавить еще.
Укажите имя группы в AD, для которой хотите настроить права доступа.
Нажмите Сохранить.
В открывшемся окне выберите группы прав Staffcop:
Статус персонала — предоставляет доступ пользователям к веб-интерфейсу Staffcop.
После сохранения все назначенные права будут отображаться в разделе Настройки Active Directory.
Как назначить конфигурацию группе AD¶
Вы можете назначить одну конфигурацию всем компьютерам из группы в Active Directory.
Шаг 1. Создайте группу в AD
Откройте консоль управления Active Directory — пользователи и компьютеры.
В разделе Компьютеры//Computers создайте группу безопасности, например, APP_STAFF.
Добавьте в группу компьютеры для назначения конфигурации.
Шаг 2. Назначьте конфигурацию на сервере Staffcop
Перейдите Панель управления → Настройки Active Directory.
Убедитесь, что подключение к AD настроено, а аккаунты синхронизированы.
Совет
Для ускорения обработки данных включите механизм назначения конфигурации агенту на сервере. Перед включением механизма убедитесь, что аккаунты синхронизированы.
Перейдите в Панель управления → Конфигурация компьютеров и выберите конфигурацию.
Выберите нужную конфигурацию и откройте Назначение агентов.
В поле Группы AD укажите название группы, например, APP_STAFF.
Сохраните конфигурацию.
В разделе Админ → Глобальная конфигурация нажмите Сохранить.
После синхронизации конфигурация будет назначена всем компьютерам из группы APP_STAFF. Синхронизация сервера и AD произойдет по расписанию.
Механизм назначения конфигурации¶
Способ назначения конфигурации изменяется, если включен механизм RustSRV.
Включите RustSRV.
Синхронизируйте аккаунты в разделе Синхронизация профилей Active Directory.
Назначьте конфигурацию.
Включите RustSRV.
Назначьте конфигурацию.
Последнее обновление: 05.12.25