管理访问和自动化功能

先决条件

• 已启用用于连接到外部目录的身份验证选项。
• 在身份验证配置期间指定了有效域。 添加用户/组时，指定域的双向信任林中的所有域和子域均可用。
• 安装了 Orchestrator 的计算机已加入到特定的域中。要查看设备是否已加入域，请从命令提示符中运行 dsregcmd /status，然后导航至“设备状态”部分。
• 运行 Orchestrator 应用程序池的身份必须属于 Windows 授权访问组 (WAA)。

行为

• 添加目录组会在 Orchestrator 中创建一个名为“目录组”的实体，您可以根据需要为其配置访问权限。此条目用作 AD 中找到的组的参考。
• 登录时，Orchestrator 会根据 AD 数据库和 UiPath Identity Server 检查您的组成员身份。如果确认，它会自动将您的用户配置为目录用户，然后将其与从目录组继承的访问权限相关联。继承的权限仅在用户会话期间保留。
• 自动配置在用户首次登录时进行。自动配置的用户帐户在注销时不会被删除，因为出于审核目的，您可能需要该条目。

• 每次登录时，对目录中组成员身份所做的更改都会与 Orchestrator 同步，对于活动的用户会话，则每小时同步一次。

  • 可使用 WindowsAuth.GroupMembershipCacheExpireHours 更改此值。

• 您登录后，Orchestrator 会检查您的组成员身份，然后根据 AD 数据库和 Identity Server 确认您的身份。系统随后会根据 Orchestrator 配置向您授予访问权限。如果在您有活动会话的情况下，系统管理员将您的组成员身份从组 X 更改为组 Y，则 Orchestrator 将每小时询问一次更改，或者在您下次登录时询问。

• 无论组成员身份如何变化，配置会话之间持续存在的访问权限的唯一方法是直接向用户帐户分配角色，而不是通过组成员身份。
• 无法确定继承的访问权限（从组成员身份）的 AD 用户的行为类似于本地用户，这意味着它们仅依赖于分配给用户帐户的角色。
• AD 中的组会与 Orchestrator 同步，但在 Orchestrator 中所做的更改不会影响 AD 中的用户配置。

已知问题

• 由于各种网络或配置问题，可能并非“域名”下拉列表中显示的所有域都可访问。
• 在 AD 中对用户名或组名所做的更改不会传播到 Orchestrator。
• 使用新添加的双向信任域更新域列表最多可能需要一个小时。
• GetOrganizationUnits(Id) 和 GetRoles(Id) 请求仅返回为自动配置的用户显式设置的文件夹和角色。从组配置继承的文件夹和角色可通过 /api/DirectoryService/GetDirectoryPermissions?userId={userId} 端点检索。
• 用户界面也是如此，用户页面上仅显示显式设置的文件夹和角色。相反，继承的文件夹和角色具有新的专用位置，即用户权限窗口（用户>更多操作>查看权限）。
• 默认情况下，用户不会从父组继承警示订阅设置，也不会接收任何警示。要访问警示，您需要显式授予用户相应的权限。
• 删除目录组并不会删除相关目录用户的许可证，即使删除组后取消了从任何文件夹中分配用户。释放许可证的唯一方法是关闭机器人托盘。
• 在某些浏览器上，使用您的 AD 凭据登录 Orchestrator 时仅需要用户名。无需同时指定域。因此，如果 domain\username 语法不起作用，请尝试仅填写用户名。

审核注意事项

• 用户成员身份：用户 [用户名] 已分配到以下目录组 [用户在当前会话中继承访问权限的目录组]。
• 自动配置：从以下目录组 [用户在当前会话中继承访问权限的目录组] 自动配置用户 [用户名]。