Zarządzanie uprawnieniami w Project Server 2010, część 2 Zarządzanie grupami

Zarządzanie uprawnieniami w Project Server 2010

Artykuł ten kontynuuje wątek poruszony już wcześniej, w tekście dostępnym pod adresem Zarządzanie uprawnieniami w Project Server 2010, część 1. W poprzednim odcinku omówiłem zagadnienia związane z kontami Project Server. Tym razem chcę się skupić na grupach, a zwłaszcza na ich tworzeniu i synchronizacji z grupami Active Directory.

Idea grup Project Server

Grupy Project Server pozwalają na łączenie tych użytkowników, którzy mają mieć podobne (lub identyczne) uprawnienia w systemie EPM. Możliwe jest np. stworzenie grupy o nazwie Menedżerowie portfela i objęcie nią wszystkich osób pełniących takie funkcje w firmie. W efekcie wszystkim można w spójny sposób przypisać te same uprawnienia, a następnie łatwo nimi zarządzać.

Przypisując uprawnienia grupom, a nie indywidualnym użytkownikom, oszczędzamy czas, ułatwiamy pracę administratorowi oraz powodujemy, że zarządzanie serwerem jest bardzie przejrzyste. Jeśli zmienią się wymogi bezpieczeństwa danej organizacji, w prosty i szybki sposób można dostosować uprawnienia do nowej sytuacji, ponieważ nie trzeba zmieniać ich dla każdej ze stu na przykład osób, tylko od razu dla całej grupy.

Analizując możliwości grup Project Server, należy uwzględnić następujące zagadnienia:

  • do jednej grupy może należeć wielu użytkowników;
  • jeden użytkownik może należeć do wielu grup;
  • jedna grupa może mieć dostęp do wielu kategorii Project Server;
  • grupa Project Server nie może być dodana do innej grupy Project Server (nie ma możliwości tak zwanego zagnieżdżania grup);
  • grupa w systemie EPM może (ale nie musi) być synchronizowana z grupą Active Directory;
  • w przypadku synchronizacji grupy EPM z grupą Active Directory, możliwe jest synchronizowanie jej tylko z jedną grupą;
  • grupy Project Server nie są przechowywane w Active Directory
  • grupy Project Server nie są grupami SharePoint i nie można im bezpośrednio przypisywać uprawnień na witrynach projektowych.

Zarządzanie grupami

Aby zarządzać grupami (w tym w szczególności stworzyć grupę), administrator serwera EPM powinien (po zalogowaniu się do serwera) wybrać polecenie Ustawienia serwera, a następnie Zarządzaj grupami. Przykładowy wygląd ekranu pozwalającego wykonywanie czynności na grupach przedstawiam poniżej. Zawarte są na nim następujące informacje:

  • Nazwa grupy – nazwa grupy musi być unikatowa w całym systemie EPM. Nie ma ona nic wspólnego z nazwą grupy Active Directory
  • Opis – pole umożliwia dodanie informacji, które pozwolą łatwiej zakwalifikować użytkowników do dane grupy;
  • Grupa usługi Active Directory – jeżeli dla danej grupy EPM włączona jest synchronizacja z Active Directory, podana jest tutaj grupa z usługi zsynchronizowanej z EPMem;
  • Ostatni synchronizacja – kolumna ta zawiera informacje o wynikach ostatnie synchronizacji.

Rysunek 1 – Zarządzanie grupami

Tworzenie i edycja grupy Project Server

Po wybraniu polecenia Nowa grupa można sprecyzować informację o zakładanej grupie (analogicznie, po kliknięciu w nazwę istniejącej grupy, można edytować jej właściwości) – patrz rysunek poniżej. Możliwe jest zdefiniowanie dla niej następujących właściwości:

  • Nazwa grupy – opis tego pola podałem we wcześniejszej części artykułu.
  • Opis grupy – opis tego pola podałem we wcześniejszej części artykułu.
  • Użytkownicy – w sekcji tej można dodać właściwych użytkowników do grupy. Są oni widoczni w prawej części ekranu. Jeden użytkownik może należy do wielu grup. Uprawnienia użytkowników są sumą uprawnień przypisanych do niego indywidualnie oraz uprawnień przypisanych do wszystkich grup, do których zostali przydzieleni, chyba że jawnie odebrano im uprawnienia.
  • Kategorie – tutaj podane są kategorie związane z daną grupą. Każdej z nich można przypisać jedną lub wiele kategorii. Z kolei dana kategoria może być przypisana do jednej lub wielu grup.
  • Uprawnienia globalne – tutaj możliwe jest przypisanie grupie użytkowników uprawnień do wykonywania określonych działań w systemie, niezwiązanych bezpośrednio z konsumpcją danych przedstawianych w widokach.

 

Rysunek 2 Dodawanie/edycja grupy

Synchronizacja z grupami Active Directory

Synchronizacja grup EPM z grupami Active Directory pozwala na automatyczne przepisywanie osób z grup Active Directory do grup EPM, bez konieczności dodatkowych działań ze strony administratora. Synchronizacja nie odbywa się jednak w sposób ciągły, ale według zadanego harmonogramu, nie częściej niż raz dziennie.

Aby zdefiniować synchronizację, należy po zalogowaniu się do systemu, wybrać polecenie Ustawienia serwera -> Zarządzaj użytkownikami -> Opcje synchronizacji z usługą Active Directory. Poniższy rysunek przedstawia możliwe opcje do zdefiniowania.

  • Synchronizacja harmonogramu – zaznaczenie tej opcji spowoduje włączenie cyklicznej synchronizacji. Ustawienie to dotyczy wszystkich grup, dla których dokonano mapowania AD – EPM.
  • Częstotliwość – w miejscu tym można wskazać częstotliwość oraz porę synchronizacji. Ustawienie to dotyczy wszystkich grup, dla których dokonano mapowania AD – EPM.
  • Zapisz i synchronizuj teraz – wybranie tego przycisku spowoduje uwzględnienie powyższych ustawień i jednocześnie wymusi natychmiastową synchronizację grup (bez konieczności oczekiwania na zdefiniowaną porę synchronizację). Takie rozwiązanie przydaje się szczególnie w przypadku konieczności pilnego dodania kont użytkowników ludzi z danej grupy AD do grupy EPM).
  • Automatycznie uaktywnij ponownie użytkowników, którzy są obecnie nieaktywni, jeśli w trakcie synchronizacji zostaną oni znalezieni w usłudze Active Directory – zaznaczenie tej opcji spowoduje, że jeżeli użytkownik został wyłączony w systemie EPM, ale nadal znajduje się w synchronizowanej grupie AD, to podczas synchronizacji jego konto w systemie EPM zostanie włączone.

Rysunek 3 Opcje synchronizacji z usługą Active Directory

Synchronizując grupy EPM z Active Directory należy uwzględnić następujące okoliczności:

  • synchronizacja odbywa się tylko w jedną stronę, tzn. z Active Directory od Project Server (dodanie użytkownika do grupy w Project Server nie powoduje dodanie go do grupy w Active Directory);
  • dla każdego konta w EPM można wyłączyć synchronizację z Active Directory, zaznaczając we właściwościach konta opcję Zapobiegaj synchronizacji z usługą Active Directory dla tego użytkownika, ustawienie to ma pierwszeństwo nad innymi ustawieniami;
  • jeżeli do grupy Active Directory należy użytkownik, który nie posiada konta w EPMie, podczas synchronizacji konto w systemie EPM zostanie dla niego założone i zostanie on również dodany do właściwej grupy w EPM;
  • jeżeli do grupy Active Directory użytkownik, który posiada konto w EPMie, podczas synchronizacji zostanie on dodany do właściwej grupy EPM;
  • jeżeli użytkownik jest w grupie EPM, ale nie ma go w zmapowanej grupie EPM, podczas synchronizacji zostanie on usunięty z danej grupy EPM;
  • jeżeli do grupy Active Directory należy użytkownik, który posiada konto w EPMie, ale jest ono nieaktywne, podczas synchronizacji konto w systemie EPM zostanie uaktywnione i dodane do właściwej grupy EPM.

W kolejnym artykule przejdę do zagadnień związanych z kategoriami w systemie EPM.


Sebastian Wilczewski

O Sebastian Wilczewski

W branży IT od 2001 roku. Manager w Biurze Zarządzania Projektami w firmie Atena Usługi Informatyczne i finansowe S.A. Praktyk, konsultant, wdrożeniowiec, szkoleniowiec, doktorant, wykładowca akademicki. Moja dewiza to: „Patrzę na biznes z perspektywy IT, a na IT z perspektywy biznesu.” Jako Manager w Biurze Zarządzania Projektami firmy ATENA S.A. dostarczam rozwiązania i usprawnienia, pozwalające optymalizować proces zarzadzania portfelem ponad 200 projektów i zmian, generujących roczny przychód powyżej 100 mln PLN, realizowanych przez ponad 500 osób. Prowadzę projekty, wdrożenia, usługi konsultacyjne i szkolenia z zarządzania projektami i portfelem projektów za pomocą narzędzia Enterprise Project Management (Project Server oraz Project Professional) oraz z zakresu zarządzania dokumentami za pomocą SharePoint Server, w firmach posiadających do kilkudziesięciu tysięcy komputerów. Przeprowadziłem kilkadziesiąt prezentacji konferencyjnych, setki szkoleń oraz warsztatów (stacjonarnych i on-line) dotyczących tych obszarów W ramach współpracy z Wydziałem Zarządzania i Ekonomii Politechniki Gdańskiej dzielę się ze słuchaczami studiów podyplomowych wiedzą i praktycznym doświadczeniem z zakresu komputerowego wspomagania zarządzania projektami za pomocą rodziny produktów Microsoft Project. Napisałem kilka książek dotyczących Microsoft Office Project Server, Microsoft Project, które były na liście bestsellerów Wydawnictwa. Posiadam liczne certyfikaty Microsoft dokumentujące moją wiedzę i doświadczenie praktyczne – od prestiżowego MVP w kategorii Microsoft Project, (jako jedna z kilkudziesięciu osób na świecie i jedyna w Polsce), poprzez MCT aż do licznych certyfikatów, w tym między innymi MCITP/MCTS z technologii Project Server, SharePoint i innych. Jestem pasjonatem gry w squasha oraz fotografii. To ostatnie hobby łączy się nieodzownie z chęcią do podróżowania. Zaczynam „raczkować podwodnie” ucząc się ciekawej sztuki nurkowania.


Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Komentarz do “Zarządzanie uprawnieniami w Project Server 2010, część 2 Zarządzanie grupami