Синхронізація з Active Directory

Синхронізація призначена для автоматичної підтримки всіх даних співробітників та компанії, що зберігаються у налаштуваннях комплексу, в актуальному стані. Все зроблено таким чином, щоб адміністратори не виконували подвійну роботу при зміні даних Active Directory - не буде необхідності змінювати ці дані в налаштуваннях комплексу. Приклади: звільнився або додався співробітник, змінилася структура компанії, додалися підлеглі начальники і т.д.
Налаштувавши автоматичну синхронізацію один раз, адміністратору не потрібно буде відвідувати вкладки налаштувань "Користувачі бази", "Структура компанії", "Досьє співробітників" - синхронізатор все виконуватиме сам автоматично (отримуючи дані з Active Directory та записуючи їх до бази налаштувань комплексу).

Важливо:
- Синхронізація можлива лише при використанні Microsoft SQL Server (без додаткових налаштувань) або PostgreSQL (для синхронізації прав потрібні додаткові налаштування).
- Налаштування синхронізації, як і саму синхронізацію, адміністратор може проводити зі своєї машини, яка входить або не входить до одного з доменів компанії.
- Якщо у компанії кілька адміністраторів, то кожен може працювати зі своєї машини.
- Вхід у програму глобальних налаштувань може бути виконаний під адміністратором БД або спеціально створеним користувачем через меню "Утиліти".
- Необхідний обліковий запис у домені, який має права на читання з Active Directory.
- Якщо під час синхронізації необхідно синхронізувати установки клієнтських машин, то машина, з якою виконується синхронізація, має бути в домені, а також обліковий запис в домені повинен додатково мати права на копіювання файлів, запис до реєстру та запуск служб на віддалених машинах домену.
- При віддаленому доступі до контролера домену необхідно відкрити порт LDAP (зазвичай TCP 636 для захищеного LDAPS, або 389 для незахищеного з'єднання).
- Під час синхронізації ієрархії компанії всі зміни, зроблені раніше вручну в цьому розділі, будуть видалені!
- Під час синхронізації прав доступу всі логіни з AD (не SQL-логіни), додані раніше вручну в цьому розділі, будуть видалені!
- Під час синхронізації досьє співробітників всі додані раніше вручну в цьому розділі будуть видалені!

Вкладка "Вхід"

Якщо користувач Windows, під яким здійснено запуск програми глобальних налаштувань, не має в домені потрібних прав для синхронізації, то можна вказати параметри входу в домен на цій вкладці.

Вкладка "Домени"

Тут вказується список доменів компанії, з якими необхідно синхронізувати.
Між доменами має бути встановлена довіра (Trust).
Контролер домену не є обов'язковим для вказівки (обов'язковий лише при віддаленому доступі).
Сервер комплексу може бути один для всіх доменів або різний (у разі використання кількох серверів).

Вкладка "Об'єкти"

Тут вказуються групи, OU або одиночні комп'ютери/користувачі для трьох типів синхронізації:

1) Синхронізація клієнтських установок - вказуються групи/машини, на які має бути встановлений клієнт комплексу. Отже, під час синхронізації відбувається установка клієнтів тих машини, де клієнт ще встановлено. Автоматичне видалення клієнтів також можливе, проте керується налаштуваннями на вкладці "Загальні налаштування" для комп'ютера. Там же є і опція автоматичного оновлення клієнтів.

2) Синхронізація вибіркового спостереження - вказуються групи/користувачі, для яких виконуватиметься вибіркове спостереження. Таким чином, вручну список користувачів на цієї сторінки налаштувань заповнювати буде не потрібно. Під час синхронізації список оновлюватиметься автоматично!

3) Синхронізація прав начальників - вказуються групи/користувачі в одній із ролей (див. нижче).
Ролі начальників:
"Супервізор" - даному начальнику доступні звіти по всіх співробітниках компанії (всі домени).
"Суперкористувач" - доступні звіти лише по співробітникам свого домену.
"Користувач" - права, що настроюються вручну. Після синхронізації на вкладці "Пользователи бази" необхідно самостійно вибрати відділи або співробітників, за якими спостерігатиме цей начальник.
"Начальник" - доступні звіти по собі самому та своїм підлеглим. Що це означає? Якщо для якихось співробітників в AD встановлено "Manager" (начальник), то цей начальник з'явиться поле directReports, яке і буде використовуватися для створення прав доступу. Тобто. цей начальник зможе спостерігати тільки за самим собою, своїми підлеглими та підлеглими своїх підлеглих (і т.д. рекурсивно з ієрархії підпорядкування вниз).
Іноді буває зручно проводити синхронізацію ролі "Начальник" зі зворотною логікою пошуку, тобто. не вказувати конкретних начальників, а шукати їх проходом серед усіх користувачів домену, аналізуючи певний атрибут AD (зазвичай manager) кожного співробітника (тобто від співробітника до його начальника). У такому разі потрібно вибрати тип "Атрибут AD для ролі "Начальник"" та вказати потрібний атрибут AD (зазвичай manager). Якщо в структурі AD може бути кілька начальників для співробітника, то необхідно додати кожен атрибут як окремий об'єкт.
Пріоритети ролей: якщо один начальник входить відразу в кілька ролей, то для вирішення даного конфлікту пріоритети розставлені у вищеописаному порядку.
Під час синхронізації відбувається заповнення даних на вкладці "Користувачі бази".

Увага! Стандартні групи "Комп'ютери домену" та "Користувачі домену" використовувати не можна! Натомість потрібно вказувати сам домен у такому ж форматі (DC=...,DC=...).

Вкладка "Профілі"

Аналогічно до попередньої вкладки "Об'єкти", але тільки вказуються групи, OU або одиночні комп'ютери/користувачі для зіставлення їх із профілями клієнтських налаштувань. розділ "Групи" у налаштуваннях комплексу.
Ця вкладка служить для того, щоб не заповнювати вручну розділ "Групи" у налаштуваннях комплексу, а синхронізувати з Active Directory.
Важливо! Якщо користувач входить до двох і більше груп, які вибрані тут і для яких встановлені різні профілі налаштувань, то кінцева вибірка профілю налаштувань для цього користувача буде непередбачуваною!
також опцію видалення перед синхронізацією на вкладці "Налаштування"!

Вкладка "Відділи"

У великих компаніях можливо потрібно виконувати синхронізацію тільки з обраними відділами/підрозділами в AD, а не з усією ієрархією. У такому випадку необхідно вибрати потрібні контейнери AD на цій вкладці (вибраний відділ автоматично ввімкне всі відділи нижнього рівня!). Якщо цей список порожній, то синхронізація буде проводитися повністю по всій ієрархії домену(ів).

Вкладка "Клієнтські машини"

Тут можна переглянути список машин, на які вже встановлено клієнта та тих машин, на які повинен бути встановлений клієнт, але ще не встановлений.
Існує можливість вручну вибрати та встановити клієнтів на машини.
Видалена установка здійснюється в такий спосіб.

Вкладка "Параметри"

Тут налаштовуються параметри синхронізації:
"Ігнорувати вимкнені облікові записи" - якщо обліковий запис комп'ютера або користувача AD вимкнено, оброблятися синхронізатором не буде.
"Пінгувати машини перед встановленням клієнта" - рекомендується для прискорення процесу встановлення (для вимкнених машин).
"Таймаут пінгу" - час у мсек очікування відповіді від клієнтської машини. Якщо в логах часті помилки 11010 при ввімкнених машинах, то має сенс збільшити це значення.
"Назва компанії" - використовується при синхронізації ієрархії як її верхній рівень.
"Будувати ієрархію на базі груп" - ігнорувати реальне розташування комп'ютерів/користувачів в ієрархії Active Directory і натомість будувати ієрархію використовуючи групи, в яких знаходяться комп'ютери/користувачі.
"Опції синхронізації досьє" - вказуйте назви атрибутів AD для синхронізації досьє.
"Базові права за промовчанням для ролей при синхронізації прав" - опціонально можна встановити базові права за промовчанням при синхронізації прав для тієї чи іншої ролі. Для цього створіть користувача бази з SQL-логіном (не Windows-логіном!) на вкладці "Користувачі бази" і встановіть потрібні вам його базові права, потім виберіть або впишіть його логін у соотв. поле для відповідної ролі на цій сторінці. Важливо помітити, що дані права будуть присвоєні користувачеві БД при першому його створенні в ході синхронізації, але не його оновленнях (якщо він вже був створений) в наступних циклах синхронізації!
"Видаляти перед синхронізацією" (для профілів клієнтських налаштувань) - за замовчуванням перед синхронізацією профілів клієнтських налаштувань всі вже встановлені в базі зіставлення користувач-профіль та комп'ютер-профіль видаляються і далі проводиться синхронізація з додаванням. При такому сценарії встановлені вручну порівняння для машин і користувачів, що не входять до домену (наприклад) будуть видалятися щоразу після синхронізації з доменом. Щоб вирішити цю проблему, вкажіть через коми для користувачів/комп'ютерів, які повинні бути видалені перед синхронізацією. Наприклад, ви хочете оновлювати при синхронізації тільки зіставлення для користувачів/комп'ютерів домену COMPANY, а всі інші збираєтеся налаштовувати вручну, у такому разі в рядку потрібно вказати: *.COMPANY,COMPANY\* (для комп'ютера використовується формат ІМ'Я.ДОМЕН, а для користувача ДОМЕН\ІМ'Я).
"Налаштування очищення лога" - очищення лога також відбувається під час синхронізації.

Вкладка "Синхронізація"

Можна виконати синхронізацію вручну (буде створено новий консольний процес) або додати завдання до планувальник завдань Windows для автоматичної синхронізації за розкладом.
Важливо: завдання у планувальнику має виконуватися від імені поточного користувача Windows!

Вкладка "Лог"

Тут можна дивитися результати роботи як ручної, так і автоматичної синхронізації, а також відстежувати зміни налаштувань.

Які параметри не синхронізуються та змінюються вручну

Після успішної синхронізації можна вручну змінювати наступні параметри, які не підлягають синхронізації:
- На вкладці "Користувачі бази" всі користувачі з логінами SQL (не логіни Windows).
- На вкладці "Користувачі бази" для користувачів з логінами Windows "Базові права".
- На вкладці "Користувачі бази" для користувачів з логінами Windows "Додаткові заборони" для ролі "Користувач".
- На вкладці "Досьє співробітників" всі досьє користувачів, що не входять до складу домену(ів).
- На вкладці "Досьє співробітників" параметр "Профіль".

Як налаштувати автоматичне надсилання звітів начальникам/співробітникам

Після успішної синхронізації можна вручну налаштувати права начальникам на надсилання звітів (вкладка "Користувачі бази") якщо це необхідно.
Далі ці начальники хоча б один раз повинні зайти до свого "Особистого кабінету" (через веб-інтерфейс БОСС) і включити там авто-генерацію звітів.
Щоб співробітники могли отримувати звіти на свої e-mail про свої ж дії, необхідно вказати їх e-mail у картці AD, а також включення соотв. дозволи у правах їх начальника (краще цей дозвіл включити у начальника верхнього рівня ієрархії підпорядкування, а не у багатьох нижчестоящих начальників).
Опції генерації звітів мають бути налаштовані у серверних налаштуваннях (розділи "Генератор звітів").

v8.01 (build: Jul 11 2023)
Вступ +Структура комплексу +Встановлення комплексу +Видалення комплексу +Оновлення комплексу -Глобальні налаштування Користувачі бази +Налаштування комплексу Структура компанії Графіки роботи Досьє співробітників Синхронізація з Active Directory Аналізатор ризиків та продуктивності Шаблони звітів Цифрові відбитки Тарифи Списки користувачів Обслуговування бази SQL-консоль Журнал +Інше +Інтерфейс та звіти +Запитання та відповіді (FAQ) +Техпідтримка	Синхронізація з Active Directory Синхронізація призначена для автоматичної підтримки всіх даних співробітників та компанії, що зберігаються у налаштуваннях комплексу, в актуальному стані. Все зроблено таким чином, щоб адміністратори не виконували подвійну роботу при зміні даних Active Directory - не буде необхідності змінювати ці дані в налаштуваннях комплексу. Приклади: звільнився або додався співробітник, змінилася структура компанії, додалися підлеглі начальники і т.д. Налаштувавши автоматичну синхронізацію один раз, адміністратору не потрібно буде відвідувати вкладки налаштувань "Користувачі бази", "Структура компанії", "Досьє співробітників" - синхронізатор все виконуватиме сам автоматично (отримуючи дані з Active Directory та записуючи їх до бази налаштувань комплексу). Важливо: - Синхронізація можлива лише при використанні Microsoft SQL Server (без додаткових налаштувань) або PostgreSQL (для синхронізації прав потрібні додаткові налаштування). - Налаштування синхронізації, як і саму синхронізацію, адміністратор може проводити зі своєї машини, яка входить або не входить до одного з доменів компанії. - Якщо у компанії кілька адміністраторів, то кожен може працювати зі своєї машини. - Вхід у програму глобальних налаштувань може бути виконаний під адміністратором БД або спеціально створеним користувачем через меню "Утиліти". - Необхідний обліковий запис у домені, який має права на читання з Active Directory. - Якщо під час синхронізації необхідно синхронізувати установки клієнтських машин, то машина, з якою виконується синхронізація, має бути в домені, а також обліковий запис в домені повинен додатково мати права на копіювання файлів, запис до реєстру та запуск служб на віддалених машинах домену. - При віддаленому доступі до контролера домену необхідно відкрити порт LDAP (зазвичай TCP 636 для захищеного LDAPS, або 389 для незахищеного з'єднання). - Під час синхронізації ієрархії компанії всі зміни, зроблені раніше вручну в цьому розділі, будуть видалені! - Під час синхронізації прав доступу всі логіни з AD (не SQL-логіни), додані раніше вручну в цьому розділі, будуть видалені! - Під час синхронізації досьє співробітників всі додані раніше вручну в цьому розділі будуть видалені! Вкладка "Вхід" Якщо користувач Windows, під яким здійснено запуск програми глобальних налаштувань, не має в домені потрібних прав для синхронізації, то можна вказати параметри входу в домен на цій вкладці. Вкладка "Домени" Тут вказується список доменів компанії, з якими необхідно синхронізувати. Між доменами має бути встановлена довіра (Trust). Контролер домену не є обов'язковим для вказівки (обов'язковий лише при віддаленому доступі). Сервер комплексу може бути один для всіх доменів або різний (у разі використання кількох серверів). Вкладка "Об'єкти" Тут вказуються групи, OU або одиночні комп'ютери/користувачі для трьох типів синхронізації: 1) Синхронізація клієнтських установок - вказуються групи/машини, на які має бути встановлений клієнт комплексу. Отже, під час синхронізації відбувається установка клієнтів тих машини, де клієнт ще встановлено. Автоматичне видалення клієнтів також можливе, проте керується налаштуваннями на вкладці "Загальні налаштування" для комп'ютера. Там же є і опція автоматичного оновлення клієнтів. 2) Синхронізація вибіркового спостереження - вказуються групи/користувачі, для яких виконуватиметься вибіркове спостереження. Таким чином, вручну список користувачів на цієї сторінки налаштувань заповнювати буде не потрібно. Під час синхронізації список оновлюватиметься автоматично! 3) Синхронізація прав начальників - вказуються групи/користувачі в одній із ролей (див. нижче). Ролі начальників: "Супервізор" - даному начальнику доступні звіти по всіх співробітниках компанії (всі домени). "Суперкористувач" - доступні звіти лише по співробітникам свого домену. "Користувач" - права, що настроюються вручну. Після синхронізації на вкладці "Пользователи бази" необхідно самостійно вибрати відділи або співробітників, за якими спостерігатиме цей начальник. "Начальник" - доступні звіти по собі самому та своїм підлеглим. Що це означає? Якщо для якихось співробітників в AD встановлено "Manager" (начальник), то цей начальник з'явиться поле directReports, яке і буде використовуватися для створення прав доступу. Тобто. цей начальник зможе спостерігати тільки за самим собою, своїми підлеглими та підлеглими своїх підлеглих (і т.д. рекурсивно з ієрархії підпорядкування вниз). Іноді буває зручно проводити синхронізацію ролі "Начальник" зі зворотною логікою пошуку, тобто. не вказувати конкретних начальників, а шукати їх проходом серед усіх користувачів домену, аналізуючи певний атрибут AD (зазвичай manager) кожного співробітника (тобто від співробітника до його начальника). У такому разі потрібно вибрати тип "Атрибут AD для ролі "Начальник"" та вказати потрібний атрибут AD (зазвичай manager). Якщо в структурі AD може бути кілька начальників для співробітника, то необхідно додати кожен атрибут як окремий об'єкт. Пріоритети ролей: якщо один начальник входить відразу в кілька ролей, то для вирішення даного конфлікту пріоритети розставлені у вищеописаному порядку. Під час синхронізації відбувається заповнення даних на вкладці "Користувачі бази". Увага! Стандартні групи "Комп'ютери домену" та "Користувачі домену" використовувати не можна! Натомість потрібно вказувати сам домен у такому ж форматі (DC=...,DC=...). Вкладка "Профілі" Аналогічно до попередньої вкладки "Об'єкти", але тільки вказуються групи, OU або одиночні комп'ютери/користувачі для зіставлення їх із профілями клієнтських налаштувань. розділ "Групи" у налаштуваннях комплексу. Ця вкладка служить для того, щоб не заповнювати вручну розділ "Групи" у налаштуваннях комплексу, а синхронізувати з Active Directory. Важливо! Якщо користувач входить до двох і більше груп, які вибрані тут і для яких встановлені різні профілі налаштувань, то кінцева вибірка профілю налаштувань для цього користувача буде непередбачуваною! також опцію видалення перед синхронізацією на вкладці "Налаштування"! Вкладка "Відділи" У великих компаніях можливо потрібно виконувати синхронізацію тільки з обраними відділами/підрозділами в AD, а не з усією ієрархією. У такому випадку необхідно вибрати потрібні контейнери AD на цій вкладці (вибраний відділ автоматично ввімкне всі відділи нижнього рівня!). Якщо цей список порожній, то синхронізація буде проводитися повністю по всій ієрархії домену(ів). Вкладка "Клієнтські машини" Тут можна переглянути список машин, на які вже встановлено клієнта та тих машин, на які повинен бути встановлений клієнт, але ще не встановлений. Існує можливість вручну вибрати та встановити клієнтів на машини. Видалена установка здійснюється в такий спосіб. Вкладка "Параметри" Тут налаштовуються параметри синхронізації: "Ігнорувати вимкнені облікові записи" - якщо обліковий запис комп'ютера або користувача AD вимкнено, оброблятися синхронізатором не буде. "Пінгувати машини перед встановленням клієнта" - рекомендується для прискорення процесу встановлення (для вимкнених машин). "Таймаут пінгу" - час у мсек очікування відповіді від клієнтської машини. Якщо в логах часті помилки 11010 при ввімкнених машинах, то має сенс збільшити це значення. "Назва компанії" - використовується при синхронізації ієрархії як її верхній рівень. "Будувати ієрархію на базі груп" - ігнорувати реальне розташування комп'ютерів/користувачів в ієрархії Active Directory і натомість будувати ієрархію використовуючи групи, в яких знаходяться комп'ютери/користувачі. "Опції синхронізації досьє" - вказуйте назви атрибутів AD для синхронізації досьє. "Базові права за промовчанням для ролей при синхронізації прав" - опціонально можна встановити базові права за промовчанням при синхронізації прав для тієї чи іншої ролі. Для цього створіть користувача бази з SQL-логіном (не Windows-логіном!) на вкладці "Користувачі бази" і встановіть потрібні вам його базові права, потім виберіть або впишіть його логін у соотв. поле для відповідної ролі на цій сторінці. Важливо помітити, що дані права будуть присвоєні користувачеві БД при першому його створенні в ході синхронізації, але не його оновленнях (якщо він вже був створений) в наступних циклах синхронізації! "Видаляти перед синхронізацією" (для профілів клієнтських налаштувань) - за замовчуванням перед синхронізацією профілів клієнтських налаштувань всі вже встановлені в базі зіставлення користувач-профіль та комп'ютер-профіль видаляються і далі проводиться синхронізація з додаванням. При такому сценарії встановлені вручну порівняння для машин і користувачів, що не входять до домену (наприклад) будуть видалятися щоразу після синхронізації з доменом. Щоб вирішити цю проблему, вкажіть через коми для користувачів/комп'ютерів, які повинні бути видалені перед синхронізацією. Наприклад, ви хочете оновлювати при синхронізації тільки зіставлення для користувачів/комп'ютерів домену COMPANY, а всі інші збираєтеся налаштовувати вручну, у такому разі в рядку потрібно вказати: *.COMPANY,COMPANY\* (для комп'ютера використовується формат ІМ'Я.ДОМЕН, а для користувача ДОМЕН\ІМ'Я). "Налаштування очищення лога" - очищення лога також відбувається під час синхронізації. Вкладка "Синхронізація" Можна виконати синхронізацію вручну (буде створено новий консольний процес) або додати завдання до планувальник завдань Windows для автоматичної синхронізації за розкладом. Важливо: завдання у планувальнику має виконуватися від імені поточного користувача Windows! Вкладка "Лог" Тут можна дивитися результати роботи як ручної, так і автоматичної синхронізації, а також відстежувати зміни налаштувань. Які параметри не синхронізуються та змінюються вручну Після успішної синхронізації можна вручну змінювати наступні параметри, які не підлягають синхронізації: - На вкладці "Користувачі бази" всі користувачі з логінами SQL (не логіни Windows). - На вкладці "Користувачі бази" для користувачів з логінами Windows "Базові права". - На вкладці "Користувачі бази" для користувачів з логінами Windows "Додаткові заборони" для ролі "Користувач". - На вкладці "Досьє співробітників" всі досьє користувачів, що не входять до складу домену(ів). - На вкладці "Досьє співробітників" параметр "Профіль". Як налаштувати автоматичне надсилання звітів начальникам/співробітникам Після успішної синхронізації можна вручну налаштувати права начальникам на надсилання звітів (вкладка "Користувачі бази") якщо це необхідно. Далі ці начальники хоча б один раз повинні зайти до свого "Особистого кабінету" (через веб-інтерфейс БОСС) і включити там авто-генерацію звітів. Щоб співробітники могли отримувати звіти на свої e-mail про свої ж дії, необхідно вказати їх e-mail у картці AD, а також включення соотв. дозволи у правах їх начальника (краще цей дозвіл включити у начальника верхнього рівня ієрархії підпорядкування, а не у багатьох нижчестоящих начальників). Опції генерації звітів мають бути налаштовані у серверних налаштуваннях (розділи "Генератор звітів").
© Mirobase