Jeśli nie chcesz przyznać użytkownikowi pełnego dostępu do konsoli administracyjnej Google, możesz nadać mu uprawnienia do wykonywania tylko części zadań administracyjnych. W tym celu należy przypisać rolę administratora. Możesz przypisać użytkownikowi więcej niż 1 taką rolę.
Do grupy lub konta usługi również możesz przypisać rolę administratora, a nie użytkownika. Korzystając z interfejsu Cloud Identity Groups API, możesz na przykład używać konta usługi z rolą administratora, by tworzyć i aktualizować grupy oraz zarządzać członkostwem w nich za pomocą aplikacji spoza konsoli administracyjnej.
Informacje o rolach administratora
W konsoli administracyjnej administratorzy mogą tylko wyświetlać informacje i wykonywać czynności, na które zezwalają uprawnienia danej roli. Jeśli na przykład przypiszesz komuś gotową rolę Administrator zarządzający użytkownikami, osoba ta będzie mogła tylko wyświetlać i modyfikować określone ustawienia użytkowników, którzy nie są administratorami.
Jak działają limity przypisywania ról
Możesz ustawić dowolną rolę stosowaną we wszystkich jednostkach organizacyjnych. Dla tych ról możesz utworzyć łącznie do 500 przydziałów – niezależnie od liczby ról. Na przykład jedną rolę możesz przypisać 300 użytkownikom, a inną 200 użytkownikom.
Niektóre role możesz zastosować do jednostek organizacyjnych. W przypadku tych ról możesz utworzyć łącznie do 500 przydziałów na jednostkę organizacyjną – niezależnie od liczby ról. Aby sprawdzić, czy możesz przypisać rolę do jednostek organizacyjnych, otwórz stronę przypisywania ról użytkownika i kliknij Edytuj obok opcji Wszystkie jednostki organizacyjne. Może to być na przykład wstępnie utworzona rola Administrator zarządzający użytkownikami lub rola niestandardowa z co najmniej jednym uprawnieniem Użytkownik.
Jeśli przed obowiązywaniem limitów przypisano ponad 500 ról, zalecamy dostosowanie przypisań, aby zmieścić się w limitach. Jeśli nadal chcesz przypisać więcej niż 500 ról, możesz dodać do grupy wielu użytkowników i przypisać rolę całej tej grupie. Przypisanie roli do grupy liczy się jako jedno przypisanie, niezależnie od liczby członków grupy.
Zanim zaczniesz
Krok 1. Sprawdź gotowe lub niestandardowe role, które są już w użyciu
-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
- W konsoli administracyjnej otwórz menu KontaRole administratora.
- Wybierz rolę, a następnie kliknij Wyświetl uprawnienia lub – aby wyświetlić administratorów przypisanych do tej roli – Wyświetl administratorów.
Krok 2. Wybierz typ roli
- Do wykonywania codziennych zadań możesz użyć gotowej roli systemowej. Zapoznaj się z artykułem Gotowe role administratora.
- Możesz też utworzyć i przypisać rolę niestandardową z różnymi poziomami dostępu. W tym celu musisz najpierw utworzyć tę rolę. Zapoznaj się z sekcją Tworzenie roli niestandardowej artykułu o tworzeniu, edytowaniu i usuwaniu niestandardowych ról administratora.
Przypisywanie ról
Otwórz sekcję | Zwiń wszystko i przejdź na górę strony
Aby wykonać te czynności, musisz zalogować się na konto superadministratora.
Możesz jednocześnie przypisać rolę użytkownikom i grupom, postępując zgodnie z procedurą przypisywania roli albo kilku użytkownikom, albo grupie.
Przypisywanie ról jednemu użytkownikowiAby przypisać jednemu użytkownikowi rolę odczytującego grupy lub edytującego grupy z uprawnieniami dotyczącymi tylko grup zabezpieczeń lub grup innych niż grupy zabezpieczeń, wykonaj czynności opisane poniżej w sekcji Przypisywanie roli kilku użytkownikom jednocześnie.
-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
- W konsoli administracyjnej otwórz Menu Katalog Użytkownicy.
- Znajdź użytkownika na liście.
Jeśli potrzebujesz wskazówek, zapoznaj się z artykułem Znajdowanie konta użytkownika.
- Kliknij nazwę użytkownika, aby otworzyć stronę jego konta.
- Przewiń stronę w dół i kliknij Role i uprawnienia administratora.
- Obok gotowej lub niestandardowej roli ustaw przełącznik w pozycji włączonej .
Jeśli nie widzisz przełącznika , kliknij dowolne miejsce w obszarze Role, aby wyświetlić przełączniki.
- (Opcjonalnie) Aby ograniczyć rolę administratora do określonej jednostki organizacyjnej, obok Wszystkie jednostki organizacyjne, kliknij Edytuj , a potem wybierz jednostki organizacyjne i kliknij Gotowe.
Jeśli nie widzisz opcji Edytuj , nie możesz przypisać tej roli do jednostek organizacyjnych.
- Kliknij Zapisz.
Wskazówki:
- W sekcji Uprawnienia znajdziesz wszystkie uprawnienia użytkownika związane z przypisanymi mu rolami administratora.
- Aby powrócić na stronę konta użytkownika, w prawym górnym rogu kliknij strzałkę w górę .
-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
- W konsoli administracyjnej otwórz menu KontaRole administratora.
- Wskaż rolę, którą chcesz przypisać, a następnie po prawej stronie kliknij Przypisz administratora.
Wskazówka: możesz przełączać się między administratorami, których przypisujesz do roli, a także uprawnieniami. U góry kliknij Administratorzy lub Uprawnienia.
- Kliknij Przypisz użytkowników.
- (Wersja beta, opcjonalnie) W przypadku roli odczytującego grupy lub edytującego grupy możesz przyznać uprawnienia administratora dotyczące tylko grup zabezpieczeń lub grup innych niż grupy zabezpieczeń. Aby ograniczyć uprawnienia:
- Kliknij Ustaw warunki.
- Wybierz odpowiednią opcję, aby przyznać uprawnienia administratora dotyczące tylko:
- grup zabezpieczeń – wybierz Etykieta zawiera „Zabezpieczenia”;
- grup innych niż grupy zabezpieczeń – wybierz Etykieta nie zawiera „Zabezpieczenia”.
- Kliknij Zapisz.
- Wpisz kilka pierwszych znaków adresu e-mail użytkownika (a nie nazwy użytkownika) i wybierz adres użytkownika z dostępnych opcji.
Rolę możesz przypisać maksymalnie 20 użytkownikom i grupom jednocześnie.
- Kliknij Przypisz rolę.
- (Opcjonalnie) Aby ograniczyć rolę administratora do określonej jednostki organizacyjnej, obok Wszystkie jednostki organizacyjne, kliknij Edytuj , a potem wybierz jednostki organizacyjne i kliknij Gotowe.
Jeśli nie widzisz opcji Edytuj , nie możesz przypisać tej roli do jednostek organizacyjnych.
Dzięki przypisaniu ról całościowo do grup możesz je ostatecznie przyznać dużej liczbie użytkowników.
Możesz zarządzać grupami z przypisanymi rolami w taki sam sposób jak innymi grupami. Więcej informacji znajdziesz w artykule Grupy.
Ograniczenia przypisywania ról grupom
- Możesz przypisać dowolną rolę oprócz superadministratora i administratora sprzedawców.
- Grupa musi być grupą zabezpieczeń w Twojej organizacji, nie może być jednocześnie grupą dynamiczną. Więcej informacji o grupach zabezpieczeń znajdziesz w artykule Kontrolowanie dostępu do danych wrażliwych za pomocą grup zabezpieczeń.
Aby sprawdzić, czy dana grupa jest grupą dynamiczną, w konsoli administracyjnej kliknij Grupy nazwa grupy. Kliknij Członkowie, a jeśli zobaczysz opcję Członkowie dynamiczni lub Edytuj regułę dodawania członków, to oznacza, że grupa jest grupą dynamiczną. - Przypisanie roli do grupy wlicza się jako tylko jedno przypisanie do limitu przypisań.
- Możesz utworzyć maksymalnie 250 przypisań ról do grup (sumując przypisania na poziomie całej organizacji i w poszczególnych jednostkach organizacyjnych).
- Aby przypisać rolę wielu grupom i nie przekroczyć limitu, wybierz jedną grupę, która musi mieć tę rolę, jako grupę nadrzędną, i dodaj inne grupy, które również muszą mieć tę rolę, jako członków grupy nadrzędnej. Następnie przypisz rolę do grupy nadrzędnej. To przypisanie wlicza się jako tylko jedno przypisanie roli, ale wszystkie grupy podrzędne mogą ją otrzymać. Więcej informacji znajdziesz w artykule Dodawanie grupy do innej grupy.
- W niektórych przypadkach członkowie grupy mogą nie otrzymać wszystkich uprawnień zapewnianych przez przypisaną rolę. Jeśli na przykład przypiszesz grupie rolę z uprawnieniem Zarządzanie sprzętem do Google Meet i kalendarzami, członkowie grupy mogą nie mieć dostępu do wszystkich funkcji powiązanych z tymi uprawnieniami. Użytkownicy otrzymują też inne uprawnienia przypisane do roli.
- Jeśli przypiszesz grupie rolę administratora sprzedawców, członkowie tej grupy otrzymają odpowiednie uprawnienia tylko w organizacji sprzedawcy. Nie otrzymują oni uprawnień żadnego z klientów sprzedawcy.
- Zalecamy ograniczenie członkostwa w grupach do użytkowników w Twojej organizacji. Możesz dodawać użytkowników spoza organizacji lub użytkowników indywidualnych, ale mogą oni nie dostać uprawnień. Szczegółowe informacje znajdziesz w artykule Ograniczanie członkostwa w grupie.
- Obowiązują standardowe ograniczenia członkostwa w grupach. Więcej informacji znajdziesz w sekcji Członkostwo innego artykułu.
Przypisanie roli
-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
- W konsoli administracyjnej otwórz menu KontaRole administratora.
- Wskaż rolę, którą chcesz przypisać, a następnie po prawej stronie kliknij Przypisz administratora.
Wskazówka: możesz przełączać się między administratorami, których przypisujesz do roli, a także uprawnieniami. U góry kliknij Administratorzy lub Uprawnienia.
- Kliknij Przypisz użytkowników.
- (Wersja beta, opcjonalnie) W przypadku roli odczytującego grupy lub edytującego grupy możesz przyznać uprawnienia administratora dotyczące tylko grup zabezpieczeń lub grup innych niż grupy zabezpieczeń. Aby ograniczyć uprawnienia:
- Kliknij Ustaw warunki.
- Wybierz odpowiednią opcję, aby przyznać uprawnienia administratora dotyczące tylko:
- grup zabezpieczeń – wybierz Etykieta zawiera „Zabezpieczenia”;
- grup innych niż grupy zabezpieczeń – wybierz Etykieta nie zawiera „Zabezpieczenia”.
- Kliknij Zapisz.
- Wpisz kilka pierwszych liter adresu e-mail grupy lub jej nazwy i wybierz adres z listy opcji.
Rolę możesz przypisać maksymalnie 20 grupom i użytkownikom jednocześnie.
- Kliknij Przypisz rolę.
- (Opcjonalnie) Aby ograniczyć rolę administratora do określonej jednostki organizacyjnej, obok Wszystkie jednostki organizacyjne, kliknij Edytuj , a potem wybierz jednostki organizacyjne i kliknij Gotowe.
Jeśli nie widzisz opcji Edytuj , nie możesz przypisać tej roli do jednostek organizacyjnych.
Do konta usługi możesz przypisać dowolną gotową lub niestandardową rolę oprócz superadministratora. Przypisanie roli do konta usługi wlicza się do limitu przypisań ról.
Zanim zaczniesz: skonfiguruj konto usługi w Google Cloud. Zobacz Tworzenie kont usługi i zarządzanie nimi (materiały w języku angielskim).
-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
- W konsoli administracyjnej otwórz menu KontaRole administratora.
- Wskaż rolę, którą chcesz przypisać kliknij Przypisz administratora.
- Kliknij Przypisz konta usługi.
- (Wersja beta, opcjonalnie) W przypadku roli odczytującego grupy lub edytującego grupy możesz przyznać uprawnienia administratora dotyczące tylko grup zabezpieczeń lub grup innych niż grupy zabezpieczeń. Aby ograniczyć uprawnienia:
- Kliknij Ustaw warunki.
- Wybierz odpowiednią opcję, aby przyznać uprawnienia administratora dotyczące tylko:
- grup zabezpieczeń – wybierz Etykieta zawiera „Zabezpieczenia”;
- grup innych niż grupy zabezpieczeń – wybierz Etykieta nie zawiera „Zabezpieczenia”.
- Kliknij Zapisz.
- Wpisz adres e-mail konta usługi.
Aby znaleźć adres e-mail, otwórz konsolę Google Cloud i kliknij Menu Administracja Konta usługi.
- Kliknij Dodaj Przypisz rolę.
Co dalej?
W dzienniku kontrolnym administratora możesz sprawdzić, kiedy dana rola administratora została przypisana do konta usługi, oraz wyświetlić rejestr działań wykonywanych przez administratorów kont usługi. Więcej informacji znajdziesz w artykule Zdarzenia z dziennika administratora.
Jeśli do konta usługi została przypisana gotowa rola Administrator grup, działania sprawdzisz także w dzienniku kontrolnym Grup dyskusyjnych Google Enterprise. Administrator konta usługi może być wymieniony w sekcji Opis zdarzenia lub Użytkownik. Szczegółowe informacje znajdziesz w artykule Zdarzenia z dziennika Grup dyskusyjnych Google Enterprise.
Powiązany artykuł
- Uwierzytelnianie jako konto usługi bez przekazywania dostępu w całej domenie (sekcja artykułu o konfigurowaniu interfejsu Groups API – w języku angielskim)
Gdy przypiszesz rolę, użytkownik po zalogowaniu się zostanie przekierowany na stronę główną konsoli administracyjnej. Zmiany mogą zacząć obowiązywać w ciągu 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji
Anuluj przypisania ról
Otwórz sekcję | Zwiń wszystko i przejdź na górę strony
Nie możesz anulować przypisania roli do siebie.
Aby anulować przypisanie roli do użytkownika, wykonaj czynności opisane powyżej w sekcji Przypisywanie ról jednemu użytkownikowi. W kroku 6, zamiast włączać rolę, kliknij Wyłącz .
Na stronie Role administratora możesz anulować przypisanie roli do wielu użytkowników lub kont usługi.
-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
- W konsoli administracyjnej otwórz menu KontaRole administratora.
- Wskaż rolę, której przypisanie chcesz anulować, a następnie po prawej stronie kliknij Przypisz administratora.
- Wybierz odpowiednią opcję:
- Zaznacz pole obok wybranych kont usługi lub użytkowników.
- Aby anulować przypisanie roli do wszystkich użytkowników i kont usługi, zaznacz pole obok nagłówka kolumny Administracja.
- Kliknij Anuluj przypisanie roli Anuluj przypisanie roli, aby potwierdzić.
Kolejne kroki
Administratorzy mogą dodać opcje odzyskiwania do swoich kont.