Права администратора

Когда вы создаете роль администратора или назначаете ее пользователю в консоли администратора Google, этому пользователю предоставляются определенные права и доступ к консоли администратора. Каждая роль включает набор прав, которые определяют, какие элементы управления видны на главной странице, к какой информации у пользователя есть доступ и какие задачи он может выполнять. Пользователь также может выполнять в Admin API действия, соответствующие полученным правам. Подробную информацию можно найти ниже.

Назначение ролей Создание персонализированных ролей

Права в консоли администратора

Права администратора Описание

Организационные подразделения

Администраторы, которым предоставлены такие права, могут управлять структурой организации в аккаунте.

Для назначения тех или иных прав установите флажки Создание, Чтение, Обновление и Удаление, чтобы разрешить администратору выполнять соответствующие задачи на странице "Пользователи" в консоли администратора.

  • Создание
  • Обновление 
  • Удаление
  • Чтение 

При предоставлении права на создание, обновление или удаление также автоматически дается право на чтение. При этом также предоставляются соответствующие права в Admin API.

Вы можете разрешить администратору выполнять действия с аккаунтами пользователей как во всем домене, так и в определенных организационных подразделениях. Подробнее…

Пользователи

Администраторы, которым предоставлены такие права, могут управлять аккаунтами пользователей, которые не являются администраторами. Установите флажки Создание, Чтение, Обновление или Удаление, чтобы назначить соответствующие права. Обратите внимание, что эти разрешения также дают аналогичные права в Admin API.

Права на управление пользователями

  • Создание
  • Чтение
  • Обновление
    • Переименование 
    • Перемещение
    • Сброс пароля
    • Принудительная смена пароля
    • Добавление и удаление псевдонимов
    • Приостановление действия аккаунтов пользователей
  • Удаление

Каждое из этих прав можно назначить отдельно. При предоставлении права на создание, обновление или удаление также автоматически дается право на чтение.

Вы можете разрешить администратору выполнять действия с аккаунтами пользователей как во всем домене, так и в определенных организационных подразделениях. Подробнее…

Примечание. Права администратора может изменить только суперадминистратор.
 

Совет. Чтобы администратор мог только просматривать группы, предоставьте ему разрешение API на чтение (Группы > Чтение).

Безопасность

Управление безопасностью пользователей

Администраторы, которым предоставлено это право, могут управлять настройками безопасности отдельных пользователей. Это право позволяет администраторам управлять аккаунтами только обычных пользователей.

На странице Пользователи такого аккаунта можно:

  • включить или отключить двухэтапную аутентификацию (только суперадминистраторы);
  • отключать дополнительную аутентификацию на 10 минут;
  • проверять и сбрасывать электронные ключи пользователей;
  • проверять и сбрасывать пароли приложений;
  • сбрасывать файлы cookie для входа;
  • просматривать и отменять токены трехстороннего протокола OAuth, предоставленные сторонним приложениям.

Если вы вошли как администратор делегированного реселлера, функция сброса файлов cookie для входа будет недоступна.

Примечание. Настройки безопасности других администраторов может видеть только суперадминистратор. Все перечисленные выше права, кроме разрешения на включение и отключение двухэтапной аутентификации, можно ограничить отдельным организационным подразделением.​

Эти разрешения также дают соответствующие права в Admin API.

Настройки безопасности

Администраторы, которым предоставлено это право, могут управлять настройками всех ваших пользователей на странице "Безопасность". Например, администратор может включать доступ небезопасных приложений к данным аккаунтов, контролировать пароли пользователей, настраивать систему единого входа и систему аутентификации и т. д. 

Перечисленные выше права, кроме управления доступом небезопасных приложений к аккаунтам, нельзя ограничить отдельным организационным подразделением.

Группы

Предоставляет полный контроль над группами, созданными в консоли администратора.

Администраторы, которым предоставлено это право, могут выполнять следующие действия:

  • просматривать профили пользователей и структуру организации;
  • создавать и удалять группы, а также управлять ими в консоли администратора;
  • управлять настройками доступа к группам;
  • включать сервисы для групп доступа (при этом у администратора должны быть права "Организационные подразделения" и "Сервисы").

Разрешение на управление группами дает соответствующие права в Admin API.

Перечисленные выше права нельзя ограничить отдельным организационным подразделением.

Настройки домена

Администраторы, которым предоставлено это право, могут выполнять следующие действия:

  • изменять название, языковые настройки, логотип и часовой пояс организации;
  • просматривать данные о платежах аккаунта Google Cloud;
  • добавлять и удалять домены и их псевдонимы;
  • обновлять контактную информацию для восстановления пароля;
  • удалять аккаунты Google Cloud;
  • управлять процессом выпуска функций;
  • выбирать настройки взаимодействия.

Перечисленные выше права нельзя ограничить отдельным организационным подразделением.

Отчеты

Предоставляет доступ к отчетам об использовании и журналам аудита. Администраторы, которым предоставлено это право, могут выполнять следующие действия:
  • просматривать графики с данными об использовании служб;
  • отслеживать действия пользователей, такие как редактирование документов;
  • отслеживать изменения, внесенные в консоли другими администраторами.

Перечисленные выше права нельзя ограничить отдельным организационным подразделением.

Поддержка

Администраторы, которым предоставлено это право, могут обращаться в службу поддержки Google Cloud по телефону, электронной почте и в чате. Эта возможность также есть у всех пользователей, которым назначена стандартная роль суперадминистратора.

Им позволено запрашивать техническую помощь по любым вопросам, включая задачи, которые не выполняются в консоли администратора Google.

Перечисленные выше права нельзя ограничить отдельным организационным подразделением.

Сервисы > Настройки сервисов

Настройки сервисов

Позволяет управлять настройками отдельных сервисов и устройствами, добавленными в аккаунт. Администраторы, которым предоставлено это право, могут выполнять следующие действия:

  • Включать и отключать сервисы и менять их настройки и разрешения: это актуально для некоторых продуктов, добавленных вами в аккаунт (таких как сервисы G Suite, например Gmail, Календарь, Диск и т. д.), приложений из каталога Marketplace и бесплатных сервисов Google (например, Google+ и Blogger). Право "Настройки сервисов" не распространяется на некоторые продукты и сервисы, такие как Google Сейф и Google Виртуальный принтер.
  • Создавать персонализированные веб-адреса служб.
  • Управлять устройствами Chrome и мобильными устройствами, перечисленными в консоли администратора.

Если флажок Настройки сервисов установлен, администраторы автоматически получают право Настройки в категориях "Календарь", "Управление мобильными устройствами", "Google Диск и Документы", "Gmail", "Hangouts Chat" и "Каталог".

Перечисленные выше права нельзя ограничить отдельным организационным подразделением.

Сервисы > Календарь

  • Настройки: позволяет управлять всеми параметрами Календаря в организации.
  • Здания и ресурсы: позволяет администраторам создавать, изменять и удалять ресурсы календаря, а также предоставляет доступ к панели мониторинга переговорных комнат.
  • Мониторинг переговорных комнат: позволяет администраторам просматривать данные, настраивать фильтры и изменять диапазон дат в панели мониторинга переговорных комнат.

Если выбрано разрешение Настройки сервисов, это право предоставляется автоматически.

Примечание. Администраторы, которым предоставлено это право, могут только создавать, редактировать и удалять ресурсы. Изменять настройки совместного доступа для ресурсов Календаря они не могут.

Сервисы > Управление мобильными устройствами

Предоставляет полный контроль над мобильными устройствами, перечисленными в консоли администратора. Администраторы, которым предоставлено это право, могут управлять мобильными устройствами, настраивать политики устройств, активировать, блокировать и удалять устройства, выполнять очистку данных и другие действия.

Если выбрано разрешение Настройки сервисов, это право предоставляется автоматически.

Сервисы > Google Диск и Документы

  • Настройки: позволяет управлять всеми настройками Google Диска и редакторов Документов в организации.

    Если выбрано разрешение Настройки сервисов, это право предоставляется автоматически. Это разрешение и право на передачу данных необходимо для передачи права собственности на файлы на Диске.
  • Шаблоны Google Документов: позволяет удалять и систематизировать шаблоны Документов, Таблиц, Презентаций и Форм в галереях организации. Администраторы также могут управлять настройками шаблонов в разделе Google Диск и Документы консоли администратора.

    Если для режима добавления шаблонов в консоли администратора выбран вариант Модерация, это право позволяет принимать и отклонять шаблоны. Если же выбран вариант Ограниченный доступ, это право позволяет добавлять шаблоны в галерею. Подробнее…

    Это право также позволяет управлять категориями и настройками шаблонов в разделе Google Диск и Документы консоли администратора.
  • Перемещение любых файлов и папок на общие диски: позволяет администраторам переносить файлы и папки на общие диски. 
  • Управление категориями метаданных: позволяет администраторам создавать собственные категории метаданных для файлов и папок Диска. В настоящее время функция управления метаданными Диска находится в стадии бета-тестирования, а справочные материалы для нее доступны не на всех языках.
  • Просмотр информации о новых сайтах, созданных в Google Сайтах: позволяет администраторам определять владельцев сайтов, просматривать дату последней публикации на сайте и запрашивать права на редактирование сайтов.

Сервисы >
Контекстно-зависимый доступ

Позволяет администраторам настраивать правила контекстно-зависимого доступа, чтобы регулировать работу пользователей с приложениями на основе контекста, то есть таких критериев, как местоположение или соответствие устройства корпоративным правилам.

  • Управление уровнями доступа: позволяет задавать уровни доступа.
  • Принудительное применение уровней доступа: позволяет включать контекстно-зависимый доступ и присваивать приложениям уровни доступа.

Сервисы > Gmail

Позволяет администраторам получать доступ к сервисам Gmail и управлять ими.

  • Настройки: управление всеми параметрами Gmail в организации.
  • Поиск в журнале электронной почты: поиск по журналу, а также устранение неполадок, связанных с доставкой и безопасностью писем.
  • Доступ к административному карантину: управление электронными письмами и доступ к ним во всех карантинах, включая основной.
  • Доступ к специальным карантинам: управление электронными письмами и доступ к ним только в карантинах, связанных с группами, участником которых является администратор.

Примечание. При предоставлении права Настройки сервисов автоматически устанавливается только флажок Настройки.

Сервисы > Корпоративный Google Play

Этот параметр позволяет администраторам управлять настройками Google Play Маркета, в том числе публиковать приложения Android для внутреннего использования в организации, а также загружать частные приложения в Google Play Маркет и использовать пакеты приложений Android (APK), размещенные не в Google Play.

Сервисы > Hangouts Chat

Позволяет администраторам изменять параметры Hangouts Chat, например настроить сохранение чатов или разрешить общаться с пользователями за пределами организации.

Если выбрано разрешение Настройки сервисов, это право предоставляется автоматически.

Сервисы > Управление Google Chrome

Позволяет администраторам управлять правилами браузера Chrome в организации, в том числе дает возможность менять настройки для пользователей, предоставляет доступ к приложениям и расширениям Chrome и корпоративному Google Play (только для устройств Chrome) в организационных подразделениях, на управление которыми им предоставлены права.
 
Если выбрано разрешение "Управление пользовательскими настройками", право "Управление настройками приложения" предоставляется автоматически.
 
Примечание. Это право не предоставляется автоматически при выборе разрешения Настройки сервисов.

Сервисы > Оборудование Google для конференц-залов

Администраторы могут создавать роли пользователей и назначать права определенным устройствам Google для переговорных комнат с разрешениями Календаря или без них.

Право Устройства Chrome для видеоконференций, связанные с Календарем дает полный доступ к календарям пользователей: возможность просматривать и изменять мероприятия, управлять
разрешениями для всех календарей в
домене, а также удалять календари. После предоставления этого права
разрешения Календаря станут доступны
в течение 24 часов.

Примечание. Это право недоступно, если в аккаунте нет хотя бы одной лицензии на оборудование Google для переговорных комнат или зарегистрированного устройства.

Сервисы > Google Hangouts

Доступ к панели мониторинга качества для администраторов

Позволяет администраторам сервисов работать с панелью управления качеством видеовстреч в организации.

Сервисы > Управление Jamboard

Администраторы, которым предоставлено это право, могут просматривать и изменять настройки Jamboard, настраивать устройства и выполнять другие действия.

Сервисы > Настройки каталога

Позволяет администраторам управлять настройками профилей в каталоге и контролировать, могут ли пользователи изменять свой профиль (имя, фото, пол и дату рождения).
 
Если выбрано разрешение Настройки сервисов, это право предоставляется автоматически.

Сервисы > Конструктор приложений

Позволяет администраторам просматривать отчеты обо всех приложениях, созданных с помощью Конструктора приложений, в организации.

Если выбрано разрешение Настройки сервисов, это право предоставляется автоматически.

Сервисы > Cloud Search

Позволяет администраторам предоставлять пользователям доступ к Google Cloud Search, включать и отключать сервис, а также просматривать отчеты об использовании Cloud Search в организации, в том числе о количестве поисковых запросов с разных типов устройств и количестве активных пользователей.

Позволяет администраторам Cloud Search управлять настройками внешних хранилищ, в частности задавать параметры источников данных и идентификационной информации, приложений для поиска, а также предоставлять право на чтение или запись для индексирования данных.

Если выбрано разрешение "Настройки", права "Индекс Cloud Search" и "Индекс Cloud Search (только чтение)" предоставляются автоматически.

Примечание. Это право не предоставляется автоматически при выборе разрешения Настройки сервисов.

Сервисы > Google Виртуальный принтер

Позволяет администраторам настраивать службы Google Виртуального принтера и управлять ими в организации, в том числе настраивать печать с устройств Chrome и из браузера Chrome на компьютерах Windows/Mac/Linux, в версии сервисов G Suite для мобильных устройств (например, Gmail) и сторонних оригинальных мобильных приложениях. Подробнее о Google Виртуальном принтере

Примечание. Это право не предоставляется автоматически при выборе разрешения Настройки сервисов.

Сервисы > Настройки общих устройств

Администраторы, которым предоставлено это право, могут изменять общие настройки всех устройств, настраивать сети VPN, Wi-Fi и Ethernet для мобильных устройств, устройств Chrome, а также Chromebox для видеоконференций.

Примечание. Это право не предоставляется автоматически при выборе разрешения Настройки сервисов.

Сервисы > Chrome OS

Этот параметр доступен при наличии лицензий Chrome Enterprise или Chrome Education.
 
Позволяет администраторам управлять устройствами и правилами Chrome в организации, в том числе дает возможность менять настройки пользователей и устройств, предоставляет доступ к приложениям и расширениям Chrome и корпоративного Google Play на устройствах Chrome в организационных подразделениях, на управление которыми им предоставлены права.
 
Если выбрано разрешение "Настройки", права "Управление устройствами", "Управление настройками устройств", "Управление пользовательскими настройками" и "Управление настройками приложения" предоставляются автоматически.
 
Если выбрано разрешение "Управление пользовательскими настройками", право "Управление настройками приложения" предоставляется автоматически. 
 
Подробнее о делегировании ролей администратора в Chrome

Если выбрано разрешение Настройки сервисов, это право предоставляется автоматически.

Сервисы > Google Сейф

Позволяет администраторам предоставлять другим администраторам права на просмотр всех папок и управление папками, запретами на удаление, поисковыми запросами, экспортом, правилами хранения и проверками.

Подробнее о разрешениях Сейфа

Примечание. Это право не предоставляется автоматически при выборе разрешения Настройки сервисов.

Сервисы > Рабочая статистика

Это право доступно только для пользователей G Suite Enterprise и G Suite Enterprise for Education.

Предоставляет доступ к данным Рабочей статистики. Данные доступны только для команд, для которых включен этот сервис. Подробнее о том, как управлять доступом к данным Рабочей статистики

Вы можете разрешить пользователям просматривать данные обо всех или только некоторых командах, включая организационные подразделения, группы из белого списка или проектные команды.

Подробнее о правах доступа к Рабочей статистике

 

Полномочия в Admin API

Права, предоставляемые в API и консоли администратора, связаны между собой. При назначении в консоли администратора любых прав на управление организацией, пользователями, группами и параметрами безопасности пользователей администратор также получает соответствующие права в API. Например, если у него есть право на создание пользователей в консоли администратора, он также может выполнять эту операцию через API. Аналогично, при обновлении прав в Admin API соответствующим образом изменяются права в консоли.

Чтобы предоставить права только в консоли администратора (без соответствующих разрешений для API), отключите доступ через API для своего аккаунта.

API Описание

Полномочия для API администрирования

Позволяет использовать G Suite Admin API для выполнения следующих действий:

  • Управление организационными подразделениями
  • Управление пользователями
  • Управление группами
  • Управление безопасностью пользователей
  • Передача данных: позволяет суперадминистратору или администратору сервисов передавать права собственности на файлы Google Диска в консоли администратора. Чтобы получить доступ к этому параметру, администратору также необходимо право на управление сервисами Диска. Перечисленные выше права нельзя ограничить отдельным организационным подразделением.
    Обратите внимание на то, что передать право собственности на файлы при удалении пользователя может только суперадминистратор.
  • Управление схемой: позволяет суперадминистратору или администратору сервисов создавать схемы, определяющие собственные поля домена, например пользовательские проекты, местоположение или даты приема на работу.
  • Управление лицензиями: позволяет только суперадминистраторам назначать и настраивать лицензии G Suite для всей организации, организационного подразделения, группы пользователей или отдельного сотрудника.
    Примечание. Это разрешение работает только в консоли администратора и не дает делегированным администраторам права на использование License Manager API.
  • Управление доменами: позволяет администраторам добавлять и удалять домены и настраивать псевдонимы доменов.

Чтобы разрешить использование API для выполнения всех действий с этими объектами, установите соответствующие флажки при создании персонализированных ролей. Вы также можете выбрать и разрешить только отдельные действия ("Создание", "Чтение" и т. д.).

Эта информация оказалась полезной?
Как можно улучшить эту статью?