Делегирование административных полномочий в Carbonio

Частичное делегирование полномочий, связанных с созданием, удалением и изменением данных пользователей является стандартной практикой как в случае с предприятиями, использующими почтовые сервера в формате On-Premise, так и в случае с SaaS-провайдерами, предоставляющими клиентам доступ к мультитенантному сервису в формате самообслуживания. В данной статье мы расскажем о том, как можно делегировать административные полномочия пользователям и какие виды их разграничения предусмотрены в Carbonio.

5955673983dcaa6379154be0e368d920.png

Данная инструкция подойдет только для пользователей коммерческой версии Carbonio.

За исключением глобального администратора, который имеет доступ ко всем доменам в системе, права остальным делегированным администраторам назначаются подоменно. Для того, чтобы иметь возможность делегировать права на домен другому пользователю, в домене должны содержаться специальные списки рассылки. Добавление в эти списки рассылки и позволяет присваивать пользователю необходимые права.

Для автоматического создания списков рассылки в домене, нажмите на кнопку «INIT DOMAIN» в соответствующем разделе настроек домена консоли администратора, либо используйте команду carbonio admin initDomainForDelegation carbonio.test, заменив carbonio.test на имя домена, права на который вы хотите делегировать.

322996202344d91e07a1941177d625b5.png

Непосредственное назначение прав делегированным администраторам осуществляется в консоли администратора. Для этого перейдите во вкладку «Домены», выберите нужный домен, а затем откройте настройки пользователя. которого собираетесь сделать делегированным администратором.

0d35ee6de507cd2613141f1d9fce4a57.png

Изначально доступны два уровня делегирования: глобальный администратор и делегированный администратор. Первая опция дает пользователю полный доступ к управлению всем доменами в системе, вторая позволяет выбрать домены и уровень прав, которые получает администратор. 

Выбор опции «Глобальный администратор» делает недоступной опцию «Делегированный администратор»

dcfdc5e51d250d58bb8b16258f028774.png

Выбор опции «Делегированный администратор» открывает диалог с выбором домена, на которые будут присваиваться права, а также уровнем прав, которые будут доступны пользователю.

e6b371cb669017f9d2ad8552503e7a4d.png

В Carbonio предусмотрены 6 видов доступа:

  • Делегированный администратор

  • Администратор домена

  • Администратор списков рассылки

  • Поддержка пользователей

  • Наблюдатель

  • Администрирование пользователей

9f1dbd6353daef3d28b24295c8b97b2e.png

Делегированному администратору могут быть присвоены сразу несколько из них. Список предоставленных прав отображается в специальном списке. 

bc93dfbe1e7170979d906fa348203111.png

Разберем детальнее, что означает каждый из уровней доступа:

Администратор домена: имеет права на просмотр и изменение атрибутов пользователей. При этом он не может изменять назначенные пользователям Классы обслуживания, максимальное число учетных записей в домене, а также размер квоты домена. Также он может менять настройки оформления веб-клиента в домене, создавать других администраторов домена, создавать виртуальные хосты для домена,   устанавливать на них сертификаты и многое другое.

Делегированный администратор: может просматривать настройки домена, но не изменять их. Кроме того, он имеет полный доступ на просмотр и изменение атрибутов пользователей, за исключением указанных ранее ограничений.

Администрирование пользователей: может просматривать атрибуты домена, создавать, изменять и удалять аккаунты пользователей, управлять алиасами пользователей, ресурсными учетными записями, управлять парольной политикой безопасности пользователей, просматривать почту доступных для администрирования пользователей, восстанавливать удаленные учетные записи из резервной копии.

Администратор списков рассылки: может просматривать атрибуты домена, создавать, удалять и редактировать списки рассылки, а также создавать, удалять и изменять алиасы для списков рассылки.

Поддержка пользователей: может просматривать атрибуты домена, изменять персональные данные и настройки пользователей, включать и выключать доступ по ActiveSync, сбрасывать пароли и другие аутентификационные данные, приостанавливать и сбрасывать подключения, а также восстанавливать удаленные электронные письма, календари и контакты.

Наблюдатель: может просматривать атрибуты домена и список пользователей без возможности их изменить.

aa7007a55ac29ede4c1dff384f73eb0a.png

Доступ в консоль администратора доступен для делегированных администраторов по тому же адресу, что и для глобальных администраторов. При этом отображается усеченная версия консоли администратора, в которой доступны только те настройки, которые предусмотрены правами администратора.

По вопросам тестирования, приобретения, предоставления лицензии и консультаций обращаться на почту sales@svzcloud.ru к эксклюзивному партнеру Zextras.

© Habrahabr.ru