Делегирование административных полномочий в Carbonio
Частичное делегирование полномочий, связанных с созданием, удалением и изменением данных пользователей является стандартной практикой как в случае с предприятиями, использующими почтовые сервера в формате On-Premise, так и в случае с SaaS-провайдерами, предоставляющими клиентам доступ к мультитенантному сервису в формате самообслуживания. В данной статье мы расскажем о том, как можно делегировать административные полномочия пользователям и какие виды их разграничения предусмотрены в Carbonio.
Данная инструкция подойдет только для пользователей коммерческой версии Carbonio.
За исключением глобального администратора, который имеет доступ ко всем доменам в системе, права остальным делегированным администраторам назначаются подоменно. Для того, чтобы иметь возможность делегировать права на домен другому пользователю, в домене должны содержаться специальные списки рассылки. Добавление в эти списки рассылки и позволяет присваивать пользователю необходимые права.
Для автоматического создания списков рассылки в домене, нажмите на кнопку «INIT DOMAIN» в соответствующем разделе настроек домена консоли администратора, либо используйте команду carbonio admin initDomainForDelegation carbonio.test, заменив carbonio.test на имя домена, права на который вы хотите делегировать.
Непосредственное назначение прав делегированным администраторам осуществляется в консоли администратора. Для этого перейдите во вкладку «Домены», выберите нужный домен, а затем откройте настройки пользователя. которого собираетесь сделать делегированным администратором.
Изначально доступны два уровня делегирования: глобальный администратор и делегированный администратор. Первая опция дает пользователю полный доступ к управлению всем доменами в системе, вторая позволяет выбрать домены и уровень прав, которые получает администратор.
Выбор опции «Глобальный администратор» делает недоступной опцию «Делегированный администратор»
Выбор опции «Делегированный администратор» открывает диалог с выбором домена, на которые будут присваиваться права, а также уровнем прав, которые будут доступны пользователю.
В Carbonio предусмотрены 6 видов доступа:
Делегированный администратор
Администратор домена
Администратор списков рассылки
Поддержка пользователей
Наблюдатель
Администрирование пользователей
Делегированному администратору могут быть присвоены сразу несколько из них. Список предоставленных прав отображается в специальном списке.
Разберем детальнее, что означает каждый из уровней доступа:
Администратор домена: имеет права на просмотр и изменение атрибутов пользователей. При этом он не может изменять назначенные пользователям Классы обслуживания, максимальное число учетных записей в домене, а также размер квоты домена. Также он может менять настройки оформления веб-клиента в домене, создавать других администраторов домена, создавать виртуальные хосты для домена, устанавливать на них сертификаты и многое другое.
Делегированный администратор: может просматривать настройки домена, но не изменять их. Кроме того, он имеет полный доступ на просмотр и изменение атрибутов пользователей, за исключением указанных ранее ограничений.
Администрирование пользователей: может просматривать атрибуты домена, создавать, изменять и удалять аккаунты пользователей, управлять алиасами пользователей, ресурсными учетными записями, управлять парольной политикой безопасности пользователей, просматривать почту доступных для администрирования пользователей, восстанавливать удаленные учетные записи из резервной копии.
Администратор списков рассылки: может просматривать атрибуты домена, создавать, удалять и редактировать списки рассылки, а также создавать, удалять и изменять алиасы для списков рассылки.
Поддержка пользователей: может просматривать атрибуты домена, изменять персональные данные и настройки пользователей, включать и выключать доступ по ActiveSync, сбрасывать пароли и другие аутентификационные данные, приостанавливать и сбрасывать подключения, а также восстанавливать удаленные электронные письма, календари и контакты.
Наблюдатель: может просматривать атрибуты домена и список пользователей без возможности их изменить.
Доступ в консоль администратора доступен для делегированных администраторов по тому же адресу, что и для глобальных администраторов. При этом отображается усеченная версия консоли администратора, в которой доступны только те настройки, которые предусмотрены правами администратора.
По вопросам тестирования, приобретения, предоставления лицензии и консультаций обращаться на почту sales@svzcloud.ru к эксклюзивному партнеру Zextras.