- Created by Mikhail Yakovlev, last modified on Jan 14, 2019
You are viewing an old version of this page. View the current version.
Compare with Current View Page History
« Previous Version 4 Next »
Для полноценной работы системы Indeed CM необходимо наличие определенных прав доступа к объектам Active Directory и центрам сертификации. В соответствии с принятой в вашей компании политикой безопасности, вы можете распределить привилегии между несколькими сервисными учетными записями, либо создать сервисную учетную запись с максимальным набором прав на управление системой.
Создайте учетную запись пользователя (например, servicecm) для работы с контейнером Indeed Identity, от имени которой будут выполняться операции сохранения данных в Active Directory и установите для этого пользователя следующие полномочия:
- Полные права (Full Control) на контейнер, в котором хранятся данные системы (имя по умолчанию «Indeed Identity») и все его дочерние объекты:
1. Откройте свойство Безопасность (Security) контейнера Indeed Identity.
2. Нажмите Добавить (Add) и укажите сервисную учетную запись (servicecm).
3. Нажмите Дополнительно (Advanced), выберите сервисную учетную запись и нажмите Изменить (Edit).
4. Выберите область применения Этот объект и все дочерние объекты (This object and all descendant objects).
5. Установите разрешение Полный доступ (Full control) в списке Разрешений (Permissions).
6. Нажмите ОК и затем Применить (Apply). - Права на чтение всех атрибутов пользователей (Read all Properties):
1. Откройте свойство Безопасность (Security) объекта (домена, контейнера или подразделения), в котором содержатся пользователи системы Indeed CM.
2. Выберите сервисную учетную запись (servicecm) и нажмите Изменить (Edit).
3. Выберите область применения Дочерние объекты: Пользователь (Descendant User objects).
4. Поставьте разрешение напротив Прочитать все свойства (Read all properties) в списке Свойств (Properties).
5. Нажмите ОК и затем Применить (Apply).
По умолчанию разрешение на чтение всех свойств пользователя есть у всех учетных записей домена. Если в домене чтение всех свойств пользователя запрещено политиками безопасности, то наделите сервисную учетную запись правами на чтение только необходимых атрибутов по Таблице 1.
При настройке разрешений на чтение свойств пользователей, отличных от значений по умолчанию, необходимо выдать разрешения сервисной учетной записи (servicecm) и на чтение значений атрибутов объекта (домена, контейнера или подразделения), в котором содержатся пользователи Indeed CM. Это атрибуты1cn, objectGUID, name и showInAdvancedViewOnly.
Таблица 1 – Атрибуты, используемые Indeed CM при работе с каталогом пользователей.
Атрибут (LDAP Display Name) | Common Name | Комментарий |
---|---|---|
c | Country/Region Abbreviation или | Входит в набор свойств2 «Личные данные» (Personal Information). |
cn | Common Name | Входит в набор свойств «Публичная информация» (Public Information). |
company | Company | Входит в набор свойств «Публичная информация» (Public Information). |
department | Department | Входит в набор свойств «Публичная информация» (Public Information). |
objectGUID | ОbjectGUID | Входит в набор свойств «Публичная информация» (Public Information). |
givenName | Given Name | Входит в набор свойств «Публичная информация» (Public Information). |
l | Locality Name | Входит в набор свойств «Личные данные» (Personal Information). |
E-mail Addresses | Входит в набор свойств «Публичная информация» (Public Information). | |
manager | Manager | Входит в набор свойств «Публичная информация» (Public Information). |
sAMAccountName | SAM Account Name | Входит в набор свойств «Общие сведения» (General Information). |
sn | Surname | Входит в набор свойств «Публичная информация» (Public Information). |
st | State or Province Name | Входит в набор свойств «Личные данные» (Personal Information). |
streetAddress | Address (или Street) | Входит в набор свойств «Личные данные» (Personal Information). |
telephoneNumber | Telephone Number | Входит в набор свойств «Личные данные» (Personal Information). |
thumbnailPhoto3 | Picture | Входит в набор свойств «Личные данные» (Personal Information). |
userAccountControl | User Account Control | Входит в набор свойств «Ограничения учетной записи пользователя» (User Account Restrictions). |
userPrincipalName | User Principal Name | Входит в набор свойств «Публичная информация» (Public Information). |
Права на выполнение действий и запись атрибутов пользователя:
1. Откройте свойство Безопасность (Security) объекта (домена, контейнера или подразделения), в котором содержатся пользователи системы Indeed CM.
2. Нажмите Дополнительно (Advanced), выберите сервисную учетную запись (servicecm) и нажмите Изменить (Edit).
3. Выберите область применения Дочерние объекты: Пользователь (Descendant User objects).
4. В списке Разрешений (Permissions) отметьте Сброс пароля (Reset password).
5. В списке Свойств (Properties) отметьте пункты:Запись: userAccountControl (Write: userAccountControl)
- Запись: thumbnailPhoto (Write: thumbnailPhoto) или jpegPhoto
- Запись: pwdLastSet (Write: pwdLastSet)
6. Нажмите ОK и затем Применить (Apply).
Установите одинаковый набор прав сервисной учетной записи для каждого объекта (домена, контейнера или подразделения) в котором располагаются пользователи Indeed CM.
_____________________________________________________________________
1Приведены отображаемые имена LDAP (LDAP Display Name).
2Предоставление прав доступа к набору свойств значительно улучшает производительность и упрощает управление безопасностью (cм. Наборы свойств Active Directory ).
3Или jpegPhoto, если фото пользователя содержится в нем.
- No labels