用户类型

本地用户

只能在 Orchestrator 中创建本地用户。名称和电子邮件等属性以及角色和其他特定于 Orchestrator 的设置都在 Orchestrator 中进行管理。它用于登录 Orchestrator，您在自动化团队中的位置，具有 Orchestrator 的自定义视图，并且接收电子邮件警报（可选）。您不能更改此类用户的用户名。

通过创建用户、设置用户属性和分配角色来添加本地用户。两个页面包含用户相关信息：“用户”页面和“配置文件”页面。填充其中一个会覆盖另一个中的关联信息（名字、姓氏、电子邮件地址）。

将本地 AD 用户转换为目录用户

有两种方法可以将使用 AD 凭据登录的本地用户转换为目录用户：

将 WindowsAuth.ConvertUsersAtLogin 参数设置为 True。在使用 AD 凭据首次登录后，这会将每个本地 AD 用户转换为目录用户。
通过下面的脚本。这将转换曾经使用 AD 凭据一次登录的所有本地 AD 用户。

此功能仅适用于在 Orchestrator 中使用“登录”页面登录的用户，不适用于使用交互式登录功能通过 Studio 登录的用户。

重要提示：转换完成后，您将无法再使用基本身份验证凭据以相应用户的身份登录。

DECLARE @domain VARCHAR(100) = 'your-domain-name-here'
UPDATE u
SET
    u.[UserName] = CONCAT(u.[UserName], '@', lower(@domain)),
    u.[Type] = 2
FROM
    [dbo].[Users] u
    JOIN [dbo].[UserLogins] l ON u.[Id] = l.[UserId]
WHERE 
    u.[Type] = 0
    AND l.[LoginProvider] = 'Windows'
    AND u.[IsDeleted] = 0DECLARE @domain VARCHAR(100) = 'your-domain-name-here'
UPDATE u
SET
    u.[UserName] = CONCAT(u.[UserName], '@', lower(@domain)),
    u.[Type] = 2
FROM
    [dbo].[Users] u
    JOIN [dbo].[UserLogins] l ON u.[Id] = l.[UserId]
WHERE 
    u.[Type] = 0
    AND l.[LoginProvider] = 'Windows'
    AND u.[IsDeleted] = 0

目录用户

对于目录用户，在 Orchestrator 中仅管理角色和 Orchestrator 特定的设置，而外部目录管理员管理用户特定的属性（名称、电子邮件、组成员身份）。

可以通过两种方式创建目录用户：

通过自行添加 AD 用户 - 我们将其称为单独添加的用户。
通过使用先前添加的 AD 组中的用户登录（我们将其称为自动配置的用户）。在“关于用户”页面上查看更多信息。

如果目录用户存在于 Orchestrator 中，则目录用户总是从其父组继承访问权限。

访问	本地用户	目录用户
继承访问权限
可以具有显式访问权限
AD 是用户信息的中心
SSO

目录组

通过将 AD 组引用到 Orchestrator 实例中而创建的用户实体。该组的所有成员都是 Orchestrator 的潜在用户。为组设置的所有访问权限都将传递给属于该组的任何目录用户（自动配置或单独添加）。我们将它们称为“继承的访问权限”，与“显式访问权限”不同，后者只能针对每个用户单独设置。

属于多个组的用户将从所有这些组继承访问权限。
属于多个组并且还被显式授予访问权限的用户，具有从父组继承并显式设置的所有权限的集合。

使用目录组可以根据在目录组中添加或删除的用户（例如，在切换部门时）自动使用组权限进行访问，而无需单独管理用户权限。

示例

目录组	继承的权限	显式权限
添加了具有 X 组访问权限的 X 组和具有 Y 组访问权限的 Y 组。	John Smith 同时属于组 X 和 Y。他登录到 Orchestrator。他的用户已自动配置有以下权限：X 和 Y。	除了集 X 和 Y 外，John 还被显式授予了集 Z。John 现在拥有以下权限：X、Y 和 Z。如果删除组 X 和 Y，则 John 仅拥有访问权限集 Z。