Как назначать роли администратора

Чтобы не предоставлять пользователю полный доступ к консоли администратора Google, вы можете разрешить ему выполнять только ограниченный набор административных задач. Для этого назначьте ему роль администратора. Одному пользователю можно назначить несколько ролей администратора.

Роль администратора можно также назначить группе или сервисному аккаунту, например, чтобы создавать и изменять группы и информацию об их участниках в приложениях, недоступных в консоли администратора, с помощью Cloud Identity Groups API.

О ролях администратора

В консоли администраторы могут просматривать только ту информацию и выполнять только те задачи, для которых они имеют полномочия. Например, администратор аккаунтов пользователей может просматривать и изменять только определенные настройки для пользователей, не имеющих прав администратора.

Ограничения на число назначений ролей

Вы можете настроить применение любой роли во всех организационных подразделениях. Независимо от числа ролей, суммарно можно использовать 1000 назначений ролей. Например, вы можете применить одну роль для 300 пользователей, а другую роль – для 700 пользователей.

Вы также можете применить некоторые роли к отдельным организационным подразделениям. Для каждого организационного подразделения суммарно можно использовать 1000 назначений ролей, независимо от числа ролей. Чтобы узнать, можете ли вы применить роль к организационным подразделениям, перейдите на страницу назначения ролей пользователя и рядом с элементом "Все организационные подразделения" проверьте наличие значка "Изменить" . Примеры ролей администратора – стандартная роль "Администратор аккаунтов пользователей" и специальная роль, которой предоставлено по крайней мере одно право пользователя.

Чтобы назначить роль более чем 1000 пользователей, объедините их в группу и назначьте роль этой группе. Это будет считаться одним назначением независимо от количества участников.

Подготовка

Шаг 1. Проверьте, какие стандартные и специальные роли уже используются

Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.
  1. Войдите в аккаунт консоль администратора Google с правами суперадминистратора.

    Эти шаги нельзя выполнить, если у вас нет прав суперадминистратора.

  2. Нажмите на значок меню а затем Аккаунт > Роли администраторов.
  3. Выберите роль и нажмите Список разрешений или Список администраторов, чтобы посмотреть, кому назначена эта роль.

Шаг 2. Определите нужный тип роли

Решите, какой из вариантов вам подходит:
  • Назначить пользователю одну из стандартных ролей для выполнения обычных задач.
  • Создать и назначить специальную роль с нужными уровнями доступа. Чтобы создать специальную роль, следуйте этим инструкциям.

Назначение ролей

Развернуть раздел  |  Свернуть все и перейти к началу

Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.

Вы можете назначить роль пользователям и группам одновременно, используя процедуру назначения роли нескольким пользователям или группе.

Как назначить роль одному пользователю

Если пользователю нужно назначить роли "Пользователь групп (чтение)" или "Редактор групп", ограниченные группами определенного типа (например, группами безопасности или заблокированными группами), выполните инструкции раздела Как назначить роль сразу нескольким пользователям.

  1. Войдите в аккаунт консоль администратора Google с правами суперадминистратора.

    Эти шаги нельзя выполнить, если у вас нет прав суперадминистратора.

  2. Нажмите на значок меню а затем Каталог > Пользователи.
  3. Откройте страницу аккаунта пользователя и нажмите на имя пользователя. Или же вверху страницы в окне поиска введите имя пользователя и откройте страницу его аккаунта. Подробнее о том, как найти аккаунт пользователя

  4. Прокрутите страницу вниз и нажмите Права и роли администратора.

  5. Рядом с названием стандартной или специальной роли переведите переключатель в положение .

    Если переключателя нет, нажмите в любом месте раздела "Роли", чтобы он появился.

  6. Если нужно ограничить использование какой-либо роли администратора определенными организационными подразделениями, рядом с элементом Все организационные подразделения нажмите "Изменить" , выберите организационные подразделения и нажмите Готово.

    Если значка "Изменить" нет, вы не можете применить роль к организационным подразделениям.

  7. Нажмите Сохранить.

Советы

  • В разделе Полномочия ниже можно проверить, какие полномочия есть у пользователей согласно назначенным им ролям администратора.
  • Чтобы вернуться на страницу аккаунта пользователя, в правом верхнем углу нажмите на стрелку вверх .
Как назначить роль сразу нескольким пользователям
  1. Войдите в аккаунт консоль администратора Google с правами суперадминистратора.

    Эти шаги нельзя выполнить, если у вас нет прав суперадминистратора.

  2. Нажмите на значок меню а затем Аккаунт > Роли администраторов.
  3. Наведите указатель на роль, которую хотите назначить, и справа выберите Назначить администратора.

    Совет. Вы можете переключаться между администраторами, которым вы назначаете роль, и их правами, нажимая Администраторы или Полномочия в верхней части страницы.

  4. Выберите Назначить роль.
  5. При выборе роли "Пользователь групп (чтение)" или "Редактор групп" вы можете указать тип групп, которым вы предоставляете права администратора (например, только группы безопасности или только заблокированные группы). Чтобы ограничить права:
    1. Нажмите Задать условия.
    2. Выберите вариант, чтобы предоставить права администратора:
      • Только для групп безопасности – выберите Ярлык содержит слово "Безопасность".
      • Только для групп, не являющихся группами безопасности – выберите Ярлык не содержит слово "Безопасность".
      • Только для заблокированных групп (бета) – выберите Ярлык содержит слово "Заблокировано".
      • Только для незаблокированных групп (бета) – выберите Ярлык не содержит слово "Заблокировано".
    3. Нажмите Сохранить.
  6. Введите первые буквы адреса электронной почты пользователя (не имени) и выберите адрес из предложенных вариантов.

    Роль можно назначить до 20 пользователям и группам за один раз.

  7. Нажмите Назначить роль.
  8. Если нужно ограничить использование какой-либо роли администратора определенными организационными подразделениями, рядом с элементом Все организационные подразделения нажмите "Изменить" , выберите организационные подразделения и нажмите Готово.

    Если значка "Изменить" нет, вы не можете применить роль к организационным подразделениям.

Как назначить роль группе

Благодаря группам вы можете предоставлять нужные полномочия большому количеству пользователей.

Управлять группами с назначенными ролями можно так же, как и любыми другими группами. Подробнее…

Ограничения на назначение роли группе

  • Группе можно назначить любую роль, кроме роли суперадминистратора или администратора реселлера.
  • Группа должна быть группой безопасности в вашей организации и не являться динамической. Подробнее о группах безопасности
    Чтобы узнать, является ли группа динамической, в консоли администратора нажмите Группыа затемназвание группы. Выберите Участники. Если вы видите динамических участников или кнопку Изменить запрос принадлежности к группе, это динамическая группа.
  • Назначение роли группе считается одним назначением в общей квоте на число назначений.
  • Можно назначить роли не более чем 250 группам на уровне организации и в каждом организационном подразделении.
  • Чтобы назначить роль нескольким группам и не превысить лимит, выберите одну группу, которой необходимо назначить роль, в качестве родительской и добавьте в нее другие в качестве участников. Затем назначьте роль родительской группе. Это считается одним назначением роли, и при этом все дочерние группы также получат роль. Подробнее о том, как добавить группу в другую группу
  • В некоторых случаях участникам группы могут быть предоставлены не все права назначенной роли. Например, если вы назначили группе роль, которая включает право на управление оборудованием Google Meet и календарями, участники группы могут получить доступ не ко всем возможностям, связанным с этим правом. При этом участникам группы будут предоставлены все остальные права этой роли.
  • Если назначить группе роль "Администратор реселлера", ее участники получат права только в отношении организации реселлера. Они не смогут управлять клиентами реселлера.
  • Рекомендуем разрешить участие в группе только пользователям в организации. Вы можете добавлять внешних и обычных пользователей, но они могут не получить полномочия роли. Подробнее о том, как ограничить участие в группах
  • Действуют стандартные квоты на число участников. Подробнее…

Как назначить роль

  1. Войдите в аккаунт консоль администратора Google с правами суперадминистратора.

    Эти шаги нельзя выполнить, если у вас нет прав суперадминистратора.

  2. Нажмите на значок меню а затем Аккаунт > Роли администраторов.
  3. Наведите указатель на роль, которую хотите назначить, и справа выберите Назначить администратора.

    Совет. Вы можете переключаться между администраторами, которым вы назначаете роль, и их правами, нажимая Администраторы или Полномочия в верхней части страницы.

  4. Выберите Назначить роль.
  5. При выборе роли "Пользователь групп (чтение)" или "Редактор групп" вы можете указать тип групп, которым вы предоставляете права администратора (например, только группы безопасности или только заблокированные группы). Чтобы ограничить права:
    1. Нажмите Задать условия.
    2. Выберите вариант, чтобы предоставить права администратора:
      • Только для групп безопасности – выберите Ярлык содержит слово "Безопасность".
      • Только для групп, не являющихся группами безопасности – выберите Ярлык не содержит слово "Безопасность".
      • Только для заблокированных групп (бета) – выберите Ярлык содержит слово "Заблокировано".
      • Только для незаблокированных групп (бета) – выберите Ярлык не содержит слово "Заблокировано".
    3. Нажмите Сохранить.
  6. Введите первые буквы адреса электронной почты или названия группы и выберите адрес из предложенных вариантов.

    Роль можно назначить до 20 группам и пользователям за один раз.

  7. Нажмите Назначить роль.
  8. Если нужно ограничить использование какой-либо роли администратора определенными организационными подразделениями, рядом с элементом Все организационные подразделения нажмите "Изменить" , выберите организационные подразделения и нажмите Готово.

    Если значка "Изменить" нет, вы не можете применить роль для организационных подразделений.

Как назначить роль сервисному аккаунту

Сервисному аккаунту можно назначить любую стандартную или специальную роль, кроме роли суперадминистратора. Назначение ролей сервисным аккаунтам учитывается в общей квоте на число назначений.

Подготовка: создайте сервисный аккаунт в Google Cloud. Подробнее о том, как это сделать

  1. Войдите в аккаунт консоль администратора Google с правами суперадминистратора.

    Эти шаги нельзя выполнить, если у вас нет прав суперадминистратора.

  2. Нажмите на значок меню а затем Аккаунт > Роли администраторов.
  3. Наведите указатель на роль, которую хотите назначитьа затемнажмите Назначить администратора.
  4. Нажмите Назначить сервисным аккаунтам.
  5. При выборе роли "Пользователь групп (чтение)" или "Редактор групп" вы можете указать тип групп, которым вы предоставляете права администратора (например, только группы безопасности или только заблокированные группы). Чтобы ограничить права:
    1. Нажмите Задать условия.
    2. Выберите вариант, чтобы предоставить права администратора:
      • Только для групп безопасности – выберите Ярлык содержит слово "Безопасность".
      • Только для групп, не являющихся группами безопасности – выберите Ярлык не содержит слово "Безопасность".
      • Только для заблокированных групп (бета) – выберите Ярлык содержит слово "Заблокировано".
      • Только для незаблокированных групп (бета) – выберите Ярлык не содержит слово "Заблокировано".
    3. Нажмите Сохранить.
  6. Введите адрес электронной почты сервисного аккаунта.

    Чтобы найти адрес электронной почты, откройте консоль Google Cloud и нажмите на значок меню а затемIAM & Admin (IAM и администрирование)а затемService Accounts (Сервисные аккаунты).

  7. Нажмите Add (Добавить)а затемAssign role (Назначить роль).

Что дальше?

В журнале аудита администратора можно увидеть, когда сервисному аккаунту была назначена роль администратора и какие действия выполнял этот администратор. Подробнее…

Если вы назначили сервисному аккаунту стандартную роль администратора групп, действия этого администратора также можно посмотреть в журнале аудита Groups Enterprise. Администратор сервисного аккаунта может быть указан в поле Описание события или Пользователь. Подробнее о журнале Groups Enterprise

Статьи по теме

После назначения пользователю роли администратора при следующем входе в аккаунт у него откроется главная страница консоли администратора. Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…

Отмена назначения ролей

Развернуть раздел  |  Свернуть все и перейти к началу

Вы не можете отменить назначенную вам роль.

Как отменить роль, назначенную одному пользователю

Следуйте инструкциям из раздела Как назначить роль одному пользователю. В шаге 6 установите переключатель в выключенное положение .

Как отменить роли нескольких пользователей или роли сервисного аккаунта

Для этого перейдите на страницу ролей администратора.

  1. Войдите в аккаунт консоль администратора Google с правами суперадминистратора.

    Эти шаги нельзя выполнить, если у вас нет прав суперадминистратора.

  2. Нажмите на значок меню а затем Аккаунт > Роли администраторов.
  3. Наведите указатель на роль, которую хотите отменить, и справа выберите Назначить администратора.
  4. Выберите один из вариантов:
    • Установите флажок рядом с каждым пользователем или сервисным аккаунтом, для которого нужно отменить роль.
    • Чтобы отменить роли всех пользователей и сервисных аккаунтов, установите флажок рядом с заголовком столбца Администратор.
  5. Нажмите Отмена назначения ролиа затемОтменить назначение роли.

Дальнейшие действия

Администраторы могут добавить способы восстановления доступа к своему аккаунту.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Приложения Google
Главное меню
11469170630116935191
true
Поиск по Справочному центру
true
true
true
false
false
false
false