Система техников и прав доступа¶
В нашей системе техники - это операторы, которые подключаются к удалённым устройствам. Техником может быть не только владелец аккаунта, но и другие подчинённые операторы, добавленные в вашу команду. В этом разделе вы узнаете, как создавать дополнительных техников, управлять ими и делегировать права доступа к устройствам и другим функциям.
Техники¶
Каждый публично зарегистрированный аккаунт на нашей платформе автоматически имеет команду и считается её владельцем. По умолчанию команда пуста, и в разделе Команда отображается информационная страница:
Если ваша команда не пуста, на вкладке Техники будет отображаться список техников:
Добавление техника¶
Вы можете добавить техника, отправив ему приглашение по электронной почте.
Введите адрес нового техника в окне Пригласить техника и отправьте приглашение.
Пользователь получит письмо со следующим сообщением:
После нажатия кнопки Пригласить техника в письме пользователю будет предложено создать подчинённый аккаунт в рамках вашей команды:
После завершения регистрации техник будет привязан к вашей команде.
Self-Hosted версия
В Self-Hosted версии вы можете создавать аккаунты техников без отправки почтовых приглашений — вручную, указав логин и пароль для нового аккаунта.
Вход через Single Sign-On (SAML)
Вы можете настроить единый вход для подчинённых техников через вашего провайдера аутентификации. Подробнее см. в руководстве Подключение через SAML SSO.
Управление¶
Вы можете управлять аккаунтом техника сразу после отправки приглашения — окно управления откроется автоматически. Также его можно открыть позже из списка, нажав на строку техника в таблице.
Состояние¶
Аккаунт техника может находиться в одном из двух последовательных, неизменяемых состояний:
-
Приглашенный — отмечено в списке иконкой . Это состояние сохраняется до тех пор, пока владелец почты не завершит регистрацию подчинённого аккаунта. В этом состоянии вы уже можете настраивать будущего техника, включая назначение прав доступа к устройствам, однако он ещё не может участвовать в рабочих процессах.
-
Активированный техник — отмечено иконкой . Это рабочее состояние аккаунта с доступом ко всем функциям, настроенным в рамках вашей команды. Статус устанавливается после завершения регистрации.
Вы можете отфильтровать список техников по состоянию с помощью фильтра Показать только приглашения:
Также существует служебная запись со статусом Владелец команды, отмеченная иконкой , однако она не подлежит редактированию.
Статус¶
Для активированного аккаунта доступны два статуса:
- Активный — обычный рабочий статус без ограничений, отмечен зелёной иконкой
- Отключенный — отключённый статус, временно исключающий техника из рабочих процессов команды. Отмечается иконкой либо иконкой , если статус был установлен автоматически из-за превышения лимитов тарифного плана. Техник с этим статусом не может войти в систему и пользоваться ею.
Вы можете отфильтровать список техников по статусу с помощью соответствующего фильтра:
Профиль¶
Вы можете изменить статус техника и его персональные данные на вкладке Профиль в окне редактирования техника:
Безопасность¶
В настройках команды, в разделе Настройки → Техники, вы можете настроить параметры безопасности для всех аккаунтов техников в вашей команде:
Подробное руководство
Подробнее обо всех настройках безопасности для техников см. в руководстве Настройки команды.
Двухфакторная аутентификация¶
Если для аккаунта техника была включена двухфакторная аутентификация и доступ к кодам был утерян, вы можете сбросить требование ввода одноразового кода с помощью кнопки Сбросить двухфакторную авторизацию на вкладке Профиль в окне редактирования техника:
Аудит¶
Все действия техников логируются системой. Вы можете просмотреть их в разделе Настройки на вкладке Журнал, отфильтровав записи по логину техника:
Для быстрого доступа к журналу с фильтрацией по технику можно использовать кнопку Журнал в окне редактирования техника:
Подробное руководство
Подробнее о регистрируемых событиях см. в руководстве Логирование удалённого доступа.
Отделы¶
Аккаунты техников могут быть объединены в отделы, что позволяет назначать права доступа сразу для группы, а не настраивать каждого техника отдельно. Техник может одновременно состоять в нескольких отделах.
Добавить техника в отдел можно либо в окне редактирования техника, либо в окне создания/редактирования отдела.
Импорт техников из LDAP
Вы можете импортировать пользователей из Active Directory в качестве техников для вашей команды. Подробнее см. в руководстве Интеграция с Active Directory.
Права доступа¶
Вы можете назначать права доступа к устройствам или другим разделам системы как отдельным техникам, так и целым отделам. Интерфейс редактирования прав одинаков для техников и отделов и доступен в соответствующих окнах редактирования.
Доступ к устройствам¶
Вы можете редактировать список назначенных устройств на вкладке Доступ к устройствам. Права доступа можно выдавать как отдельным устройствам, так и целым группам устройств.
В окне Добавить доступ к устройству выберите устройство и роль, которую техник будет использовать при работе с этим устройством.
Права доступа можно назначать как отдельным устройствам, так и группам устройств.
Группировка устройств
Подробнее об управлении группами устройств см. в руководстве Группировка устройств.
Доступ к разделам¶
Помимо доступа к устройствам, вы можете предоставить доступ к другим разделам системы на вкладке Доступ к разделам:
В окне Добавить доступ к разделу выберите раздел и роль, которая будет использоваться техником при работе с этим разделом.
Доступные для делегирования разделы — Quick Support и Team. Узнать, какие функции этих разделов можно делегировать, можно в разделе роли.
Наследование¶
Права доступа, унаследованные техником от отделов, отмечаются иконкой . Если у техника и отдела назначены разные роли для одного и того же устройства или группы, роли дополняют друг друга и объединяются.
Роли¶
Роли определяют набор функций, доступных технику при работе с устройствами и разделами, к которым у него есть права доступа. Во всей системе роли обозначаются иконкой :phosphor-mask_happy:{ style="color:#555;" }.
Менеджер ролей¶
Для управления ролями доступен специальный менеджер.
Здесь вы можете создавать, редактировать и удалять роли. В левой части конструктора отображается список существующих ролей. При выборе роли в правой части отображается её содержимое в виде списка разрешений.
Назначение¶
Назначение зависит от того, для чего предназначена роль. Доступны три варианта:
- Устройства и группы - для управления устройствами в разделе Постоянный доступ.
- Приглашения - для работы с приглашениями в Быстрой поддержке.
- Администрирование - для управления другими техниками и административными функциями системы.
Назначение выбирается при создании новой роли. Для существующих ролей изменить назначение невозможно.
Разрешения¶
Разрешения определяют функции, доступные для конкретной роли. Они зависят от выбранного назначения.
В таблицах ниже перечислены все возможные разрешения для каждого назначения.
| Название | Описание |
|---|---|
| Действия | Доступные режимы подключения к устройству |
Просмотр экрана | Разрешает подключение к экрану устройства в режиме просмотра |
Управление экраном | Разрешает управление экраном устройства с помощью мыши и клавиатуры |
Файловый менеджер | Разрешает доступ к файловой системе устройства |
Терминальный режим | Разрешает доступ к устройству в режиме терминала |
Пробуждение | Разрешает пробуждение устройства через Wake-on-LAN |
Перезагрузка | Разрешает перезагрузку удалённого устройства |
Заблокировать/Разблокировать | Разрешает блокировку учётной записи ОС |
| Опции сессии | Функции, доступные во время удалённой сессии |
Без подтверждения | Разрешает подключение без подтверждения пользователя |
Звонки | Разрешает совершать звонки |
Черный экран и блокировка ввода | Разрешает блокировку экрана и устройств ввода |
Чат | Разрешает отправку текстовых сообщений |
Синхронизация буфер-обмена | Разрешает синхронизацию буфера обмена |
| Другие опции | Другие функции системы для устройств |
Превью экрана | Разрешает видеопревью экрана в списке устройств |
История подключений | Разрешает доступ к истории подключений |
Инвентаризация ПО | Разрешает доступ к информации об установленном ПО |
Изменение устройства | Разрешает редактирование свойств устройства |
Удаление устройства | Разрешает удаление устройств |
Удаление видеозаписей | Разрешает удаление видеозаписей |
Изменение уведомлений | Разрешает управление уведомлениями |
| Название | Описание |
|---|---|
| Действия | Какие приглашения доступны |
Собственные приглашения | Разрешает доступ только к собственным приглашениям |
Все приглашения | Разрешает доступ ко всем приглашениям команды |
| Действия | Доступные режимы подключения |
Просмотр экрана | Разрешает подключение в режиме просмотра экрана |
Управление экраном | Разрешает управление экраном с помощью мыши и клавиатуры |
Файловый менеджер | Разрешает доступ к файловой системе |
Терминальный режим | Разрешает подключение в режиме терминала |
| Опции сессии | Функции, доступные во время подключения |
Звонки | Разрешает совершать звонки |
Чат | Разрешает отправку текстовых сообщений |
Перезагрузка | Разрешает перезагрузку устройства |
Запрос на установку | Разрешает отправку запроса на установку агентского приложения |
Синхронизация буфер-обмена | Разрешает синхронизацию буфера обмена |
| Другие опции | Другие функции |
Превью экрана | Разрешает видеопревью экрана в списке |
Удаление видеозаписей | Разрешает удаление записей сессий |
| Название | Описание |
|---|---|
| Функции администратора | Административные функции |
Аудит-логи | Разрешает доступ к журналам аудита команды |
Настройки брендирования | Разрешает доступ к настройкам брендинга |
Техники и настройки команды | Разрешает управление техниками и настройками команды |
Настройки оплаты | Разрешает управление оплатой |
Ключи API | Разрешает управление ключами API |
| Другие опции | Другие функции |
Список устройств | Предоставляет доступ к разделу Постоянный доступ. Обычно этот раздел отображается, если у пользователя есть права хотя бы на одно устройство или группу, однако в некоторых случаях он может быть скрыт. Данное разрешение явно включает доступ к разделу, например, для добавления нового устройства. |
Системные роли¶
В списке ролей вы можете заметить роли с пометкой Системная. Эти роли были созданы автоматически для обеспечения совместимости новой системы разрешений с предыдущей версией. Они включают наборы часто используемых разрешений, которые ранее назначались вручную. Удалять или изменять такие роли нельзя, однако их можно использовать так же, как и собственные пользовательские роли.
Ниже приведён список системных ролей с описанием их разрешений.
| Название | Описание |
|---|---|
| Устройства и группы | Предназначены для работы с устройствами в разделе Постоянный доступ |
Полный доступ (системная) | Роль с полным набором разрешений. |
Только подключение (системная) | Роль с правами только на подключение. |
| Приглашения | Предназначены для работы с приглашениями в Быстрой поддержке |
Все приглашения (системная) | Предоставляет доступ ко всем приглашениям команды. |
Собственные приглашения (системная) | Предоставляет доступ только к личным приглашениям. |
| Администрирование | Предназначены для административных задач. |
Администратор команды (системная) | Разрешает управление аккаунтами техников и настройками команды. |
Администратор брендирования (системная) | Разрешает управление настройками Брендирования. |
Администратор по оплате (системная) | Разрешает управление настройками оплаты. |
Аудитор (системная) | Разрешает доступ к журналам аудита. |
Администратор ключей API | Разрешает доступ к ключам API. |
| Остальное | Дополнительные административные разрешения. |
Администратор устройств (системная) | Предоставляет доступ к разделу Постоянный доступ. Обычно раздел доступен, если у пользователя есть права хотя бы на одно устройство или группу, но в некоторых случаях он может быть скрыт. Это разрешение явно включает доступ к разделу, например, для добавления нового устройства. |
Удаление роли¶
При удалении пользовательской роли все связанные с ней права доступа также удаляются.
Внимание
Перед удалением роли обязательно проверьте, какие права доступа от неё зависят, чтобы случайно не лишить других техников доступа к устройствам или разделам системы.