База знаний
6С чего начать? 30Indeed Privileged Access Manager 68Indeed Certificate Manager 141Indeed Access Manager 8 46Indeed Access Manager 7 234Indeed Access Manager 6 85Indeed Enterprise Single Sign-On 2Документация по продуктам
База знаний: Indeed Access Manager 6 > Сценарии Windows PowerShell > Общие сценарии
Управление правами пользователей Indeed-Id (set.user.rights)
Автор Anton Shlykov, Last modified by Anton Shlykov на 20 апреля 2016 05:54 PM

Сценарии группы set.user.rights предназначены для управления правами пользователей Indeed-Id.

  • set.IndeedID.user.rights.cn.ps1 –для всех пользователей Indeed-Id в рамках группы

  • set.IndeedID.user.rights.OU.ps1– для всех пользователей Indeed-Id в рамках контейнера (подразделении (OU), контейнере (CN))

  • set.IndeedID.user.rights.ps1 – для учетной записи одного пользователя Indeed-Id

Сценарии находятся в каталоге \ChangeProperties\set.user.rights.

Примечание:

  • Описание действий, необходимых для запуска сценариев, приведено в статье Обзор сценариев Windows Power Shell.

  • Файл constants.ps1 должен располагаться в одном каталоге с каталогом \ChangeProperties\set.user.rights, содержащим сценарии данной группы.

1. Установка прав пользователей Indeed-Id в рамках группы

Параметры запуска

.\set.IndeedID.user.rights.cn.ps1 -g <DestinguishedName> -e <EnrollFlag> -re <ReenrollFlag> -d <DeleteFlag> -com <CommentFlag> [-lf <LogFile>]

-g – путь к объекту сценария (группе) в формате 'CN=Name,DC=Domain'
Процесс определения объекта управления для запуска сценария описан в статье  Обзор сценариев Windows Power Shell.

-e – флаг обучения аутентификаторов
0 – выключить право на обучение аутентификаторов
1 – включить право на обучение аутентификаторов

-re – флаг переобучения аутентификаторов
0 – выключить право на переобучение аутентификаторов
1 – включить право на переобучение аутентификаторов

-d – флаг удаления аутентификаторов
0 – выключить право на удаление аутентификаторов
1 – включить право на удаление аутентификаторов

-com – флаг редактирования комментария
0- выключить право на редактирование комментария
1 – включить право на редактирование комментария только при обучении аутентификатора
2 – включить право на редактирование комментария всегда

-lf – путь к файлу лога исполнения сценария (опциональный параметр)
В лог сохраняется список имён пользователей, для которых не удалось выполнить запрошенную операцию. Если операцию удалось выполнить для всех пользователей, список в логе будет пустым.

Примечание:
Сценарий устанавливает параметры генерации случайного пароля только для пользователей Indeed-Id, включенных непосредственно в заданную группу. Вложенные группы (при их наличии) сценарием не обрабатываются.

Пример запуска

Рассмотрим следующую структуру групп:
|- Region1
     |--Office1
     |--Office2

.\set.IndeedID.user.rights.cn.ps1 -g 'cn=Region1,cn=Users,dc=demo,dc=local' -e 1 -re 1 -d 1 -com 2

В результате выполнения приведенной команды для пользователей Indeed-Id из группы Region1 будут установлены следующие права:

  • Разрешить обучение: Включено

  • Разрешить переобучение: Включено

  • Разрешить удаление: Включено

  • Разрешить редактирование комментария: Всегда

Для пользователей из групп Office1, Office2 права изменены не будут.

2. Установка прав пользователей Indeed-Id в рамках контейнера (подразделения (OU), контейнера (CN))

Параметры запуска

.\set.IndeedID.user.rights.OU.ps1 -ou <DestinguishedName> -e <EnrollFlag> -re <ReenrollFlag> -d <DeleteFlag> -com <CommentFlag> [-lf <LogFile>] [-l <Searchlevel>]

-ou – путь к объекту сценария (контейнеру) в формате 'OU=Name,DC=Domain'
Процесс определения объекта управления для запуска сценария описан в статье Обзор сценариев Windows Power Shell.

-e – флаг обучения аутентификаторов
0 – выключить право на обучение аутентификаторов
1 – включить право на обучение аутентификаторов

-re – флаг переобучения аутентификаторов
0 – выключить право на переобучение аутентификаторов
1 – включить право на переобучение аутентификаторов

-d – флаг удаления аутентификаторов
0 – выключить право на удаление аутентификаторов
1 – включить право на удаление аутентификаторов

-com – флаг редактирования комментария
0- выключить право на редактирование комментария
1 – включить право на редактирование комментария только при обучении аутентификатора
2 – включить право на редактирование комментария всегда

-lf – путь к файлу лога исполнения сценария (опциональный параметр)
В лог сохраняется список имён пользователей, для которых не удалось выполнить запрошенную операцию. Если операцию удалось выполнить для всех пользователей, список в логе будет пустым.

-l – флаг рекурсивного поиска (опциональный параметр)
Определяет, выполнять ли рекурсивный поиск во вложенных контейнерах:
1 – не выполнять поиск во вложенных контейнерах
любое другое значение – выполнять рекурсивный поиск во вложенных контейнерах
По умолчанию выполняется рекурсивный поиск.

Пример запуска

Рассмотрим следующую структуру подразделений (OU):
|- IID_Users
     |--Region1
         |---Office1
         |---Office2

Пример 1:

.\set.IndeedID.user.rights.OU.ps1 -ou 'ou=IID_Users,dc=demo,dc=local' -e 1 -re 1 -d 1 -com 2 -l 1

В результате выполнения приведенной команды для пользователей Indeed-Id из подразделения IID_Users будут установлены следующие права:

  • Разрешить обучение: Включено

  • Разрешить переобучение: Включено

  • Разрешить удаление: Включено

  • Разрешить редактирование комментария: Всегда

Для пользователей из подразделений Region1, Office1, Office2 права изменены не будут.

Пример 2:

.\set.IndeedID.user.rights.OU.ps1 -ou 'ou=IID_Users,dc=demo,dc=local' -e 1 -re 1 -d 0 -com 1

В результате выполнения приведенной команды для пользователей Indeed-Id из подразделений IID_Users, Region1, Office1, Office2 будут установлены следующие права:

  • Разрешить обучение: Включено

  • Разрешить переобучение: Включено

  • Разрешить удаление: Выключено

  • Разрешить редактирование комментария: Только при обучении

3. Установка прав для одного пользователя Indeed-Id

Параметры запуска

.\set.IndeedID.user.rights.ps1 -u <DestinguishedName> -e <EnrollFlag> -re <ReenrollFlag> -d <DeleteFlag> -com <CommentFlag>

-u – имя пользователя в UPN-форме (user@domain)
Процесс определения объекта управления для запуска сценария описан в статье Обзор сценариев Windows Power Shell.

-e – флаг обучения аутентификаторов
0 – выключить право на обучение аутентификаторов
1 – включить право на обучение аутентификаторов

-re – флаг переобучения аутентификаторов
0 – выключить право на переобучение аутентификаторов
1 – включить право на переобучение аутентификаторов

-d – флаг удаления аутентификаторов
0 – выключить право на удаление аутентификаторов
1 – включить право на удаление аутентификаторов

-com – флаг редактирования комментария
0- выключить право на редактирование комментария
1 – включить право на редактирование комментария только при обучении аутентификатора
2 – включить право на редактирование комментария всегда

Пример запуска

.\set.IndeedID.user.rights.ps1 -u 'test@demo.local' -e 1 -re 1 -d 0 -com 0

В результате выполнения приведенной команды для пользователя test@demo.local будут установлены следующие права:

  • Разрешить обучение: Включено

  • Разрешить переобучение: Включено

  • Разрешить удаление: Выключено

  • Разрешить редактирование комментария: Выключено

(0 голос(а))
Эта статья полезна
Эта статья бесполезна
Комментарии (0)
Добавить новый комментарий
 
 
Полное имя:
Email:
Комментарии: