服务台授权

什么是服务台授权？

此功能可协助管理员将特定任务分配或委派给非管理员服务台用户。建议将初级管理任务委派给服务台技术人员。

何为技术支持专员？

经管理员授权执行特定操作的人员称为技术支持专员。这些操作可能超出常规终端用户权限范围，侧重于提升效率、减轻管理员工作负荷的行政任务。

什么是服务台角色？

由管理员向特定非管理用户授予的专属角色或角色组合称为帮助台角色。

什么是基于OU的委派？

基于组织单位的管理模式允许管理员将任务授权范围限定于特定组织单位，即服务台用户仅能在所分配组织单位的权限范围内执行委托操作。此机制既保障了安全性的完整性，又确保了授权流程的顺畅运行。

如何创建技术支持人员？

创建新服务台技术人员有两种方式：

• 使用"添加新技术人员"选项。
• 使用"复制技术人员"选项。

使用"添加新技术人员"选项创建

1. 点击"授权"选项卡
2. 点击"服务台技术人员"链接，再点击"添加新技术人员"链接。
3. 选择目标域。
4. 通过点击“选择AD用户”字段旁的浏览按钮 ，选择需要配置为帮助台技术人员的用户。
5. 通过点击"选择帮助台角色"字段旁的"选择"链接，为新技术人员分配所需角色（可根据需求 创建自定义角色）。
6. 若需将技术人员权限范围限制在特定组织单位（OU）而非整个域，请点击"选择OU"字段旁的"添加OU"链接选择目标OU。
7. 若需为新建技术人员赋予管理员权限，请勾选"以管理员身份模拟"选项。
8. 点击保存按钮完成新服务台技术人员的创建。

使用"复制技术人员"选项创建

复制技术人员功能可创建与现有技术人员配置完全相同的新帮助台技术人员。管理员通过复制目标技术人员的配置并应用于新人员，即可批量创建具有相同配置的新技术人员。

使用复制技术人员功能创建服务台技术人员时，

1. 点击“委派”选项卡。
2. 点击 服务台技术人员 链接。
3. 从现有服务台技术人员列表中，找到您要复制其设置的技术人员。
4. 点击目标技术支持专员操作列中的 复制图标。
5. 在弹出的复制技术人员窗口中，选择您希望配置为技术人员的用户所在的域。
6. 点击位于“选择AD用户”字段旁的“选择”链接，从显示的用户中挑选所需人员。
7. 点击创建技术人员按钮，这将把所有选中的用户配置为帮助台技术人员

如何创建服务台角色？

选择"服务台角色"链接可查看预定义角色列表。您也可创建新角色以满足特定需求。

创建新服务台角色步骤：

1. 点击“委派”选项卡。
2. 在"服务台授权"下，点击"服务台角色"链接。
3. 点击“创建新角色”按钮创建新的帮助台角色。您也可通过复制现有角色创建新角色；复制步骤如下。
4. 在"服务台角色"页面，为新角色输入适当的名称和描述。
5. 从各部分列出的任务列表中，选择要包含在此角色中的任务。
6. 若需禁止该角色用户使用批量修改功能或CSV导入选项，请分别勾选"拒绝批量修改"或"拒绝CSV导入"选项。
7. 创建用户时，若需限制访问特定属性，请在"创建用户"区域使用"用户属性权限"链接并选择所需属性。同理，对组和联系人分别使用"联系人属性权限"与"组属性权限"选项。
8. 若需更精细地选择属性，请点击每个任务旁的+图标。
9. 点击保存以创建新角色。

如何为技术支持人员添加多个角色/领域？

1. 点击“授权分配”
2. 点击服务台技术人员
3. 要修改技术员详情，请在摘要页面点击技术员姓名旁的 图标。
4. 在"可管理域"部分启用所需域
5. 现在可通过点击对应域的"选择/更改"按钮分配多个角色。
6. 可修改服务台角色、组织单位，并限制用户仅从预选模板列表中选择。
7. 启用"以管理员身份模拟"选项可为用户分配管理权限。
8. 点击保存更改

服务台授权流程

服务台授权的核心功能机制在于：技术人员可登录ADMP控制台执行管理员授权的操作。为此，管理员需执行以下步骤授权服务台技术人员：

1. 修改（点击 ）或删除（点击 ）现有技术人员，或创建新的帮助台技术人员
2. 选择或修改预定义的帮助台角色，或创建新角色。
3. 定义每项操作的权限范围。点击图像上的'+'符号进行精细化授权设置。
4. 所有操作均可限制在特定组织单位内执行。了解更多组织单位限制

精细化授权

管理员可将技术支持人员的功能限制在特定组织单位范围内，或限定其操作特定功能属性。

示例：允许技术支持人员修改组属性，同时限制或禁止其执行添加/移除组成员、设置主组等子功能。

组织单位限制

技术支持人员执行的所有操作均可限定于特定组织单位。此授权机制可增强Active Directory的安全性。 

限制报表查看权限

可在创建服务台角色时限制其查看特定报表。此限制可作用于某类报表（如用户报表、计算机报表等）下的所有子报表，或作用于各类报表中的具体报表。仅当服务台角色对应的报表复选框被启用时，该角色才可查看该报表。

启用/禁用技术支持人员

超级管理员可根据权限自主启用/禁用一名或多名技术支持人员。点击对应技术支持人员姓名旁的启用/禁用图标即可操作。此机制通过授权机制增强了Active Directory的安全性。

解锁服务台技术人员

技术支持人员连续多次登录失败后将被锁定在ADManager Plus系统外。尝试次数限制基于登录设置中配置的阈值。仅需几步操作即可解锁：

• 登录ADManager Plus并导航至"授权"选项卡。
• 在"服务台授权"下，点击"服务台技术人员"。
• 在"服务台技术人员"页面中，选择需要解锁的服务台技术人员。
• 点击管理 > 解锁。

通过技术支持人员实现多域管理

此功能允许管理员为技术支持人员分配多域支持权限。操作步骤如下：

• 选择“委派”选项卡。
• 在“帮助台技术人员”的“操作”列中选择 。这将打开“修改帮助台技术人员”对话框。
• 在“可管理域”部分启用所需域。
• 在新域中为技术人员选择角色。
• 点击添加组织单位链接以选择该域下的组织单位。
• 点击“保存更改”按钮更新设置。

为技术支持人员委派组权限

管理员可通过服务台授权中的包含/排除选项，将服务台技术人员关联至特定组。操作步骤如下：

• 选择“委派”选项卡。
• 在"帮助台技术人员"的"操作"下选择。这将打开"修改帮助台技术人员"对话框。
• 点击“包含组”旁边的“添加/删除”按钮，为技术支持人员添加所需组。
• 点击“排除组”旁边的“添加/删除”按钮，排除帮助台技术人员所需的组。
• 点击“保存更改”按钮更新设置。

使用示例服务台用户登录

ADManager Plus为首次安装提供"使用示例技术支持人员登录"选项。系统将分配两个示例登录账号分别对应HR和技术支持部门，并提供创建及重置密码功能。

服务台授权如何助力您？

服务台授权功能有助于分担管理员的工作负荷，减轻其管理压力，使其能专注于核心管理事务。

通过消除管理员对用户自主可控活动的干预，提升用户生产效率。

授权范围如何设定？

管理员可按需限定授权活动范围，例如将技术人员权限限制在特定组织单位或其子单元内。

安全性如何保障？

服务台授权机制配备安全防护盾。技术人员的所有操作均在限定权限范围内执行，确保安全设置完整有效。为防止安全漏洞，技术人员及其活动被隔离在特定Active Directory组内，强制身份验证机制杜绝安全隐患。

如何使用帮助台授权功能？

成功实施此功能请遵循以下步骤：

1. 选择“委派”选项卡。
2. 点击“服务台技术人员”
3. 选择域
4. 选择Active Directory用户。点击“浏览”选择用户。所选用户将有权执行后续步骤中定义的角色。
5. 点击“选择”按钮选定角色。该角色将分配给所选用户。选择角色时请谨慎操作，每次仅可为用户分配单一角色。
6. 选择组织单位。此操作将限制用户角色仅适用于该OU。
7. 保存。

技术支持人员如何修改用户姓名？

• 点击AD管理选项卡
• 在 CSV 导入下点击修改用户
• 导入CSV文件
• 选择用户并点击应用。

以下为示例CSV文件格式：

sAMAccountName,givenName,sn
TestUser,Sample,User

注："sAMAccountName"请填写用户现有安全账户名，"givenName"和"sn"请填写新姓名（待修改的姓名）。

此外，请确保服务台技术人员已勾选"修改用户"选项。

服务台实施场景

贵组织的人力资源部门无需等待系统管理员确认新入职员工是否已加入活动目录。通过服务台授权功能，管理员可授予人力资源人员创建新用户账户的权限，确保人员录用时即刻完成账户创建。此举既节省各部门时间，又提升整体工作效率。