帐户和组

在“帐户和组”页面上，您可以为组织定义本地用户帐户、机器人帐户和本地组。

使用两个元素控制用户可以执行的访问级别和操作：

帐户，用于建立用户身份并用于登录到 UiPath 应用程序
角色，这些角色被分配给帐户，以便在 UiPath 生态系统中向其授予某些权限。

帐户不在 Orchestrator 中创建或管理，仅在角色及其分配中创建或管理。

关于帐户

帐户是具有依赖访问权限的功能的 UiPath 平台实体，其对 Orchestrator 的查看和控制取决于所分配的访问权限。

帐户可以是：

从以下位置在本地创建和管理（本地帐户）：
- 管理门户。有关更多信息，请参阅管理帐户和组。
在外部目录中创建和管理（目录帐户和目录组）。请参阅下方的“AD 集成”一节，以便更好地了解目录集成。

您可以从组织级别的管理门户添加帐户，并且帐户仅在相应的组织内可用。

成功添加帐户后，有两种方法可以向其授予 Orchestrator 的访问权限：将帐户添加到组中，以便继承组的角色，或在服务级别为每个帐户分配角色。您可以使用这两种方法对帐户在组织中的访问权限进行精细控制。

AD 集成

Orchestrator 中引用的活动目录 (AD) 使其成员成为潜在的 Orchestrator 用户。在 Orchestrator 中，可以在组级别（目录组）或用户级别（目录用户）配置目录帐户的访问权限级别。

您可以集成：

本地 Active Directory（独立 Orchestrator）
Azure Active Directory（独立 Orchestrator）

注意：将 AD 集成与 Attended Robot 自动配置和分层文件夹一起使用，可以轻松设置大型部署。有关详细信息，请参阅“管理大型部署”。

先决条件

在 WindowsAuth.Domain 参数中填充有效的域。添加目录用户/组时，与 WindowsAuth.Domain 参数中指定的域双向信任的林中的所有域和子域均可用。
将安装了 Orchestrator 的计算机加入到 WindowsAuth.Domain 参数中设置的域中。要查看设备是否已加入域，请从命令提示符中运行 dsregcmd /status，然后导航至“设备状态”部分。
运行 Orchestrator 应用程序池的身份必须属于 Windows 授权访问组 (WAA)。

行为

添加目录组会在 Orchestrator 中创建一个用户组实体，您可以根据需要为其配置访问权限。Orchestrator 中的此条目用作 AD 中找到的组的参考。
登录时，Orchestrator 会检查您的组成员身份。如果确认，它会自动配置您的用户帐户，然后将其与从组继承的访问权限相关联。继承的权限仅在用户会话期间保留。
系统会在您首次登录时进行自动配置。注销时不会删除自动配置的用户帐户，因为您可能需要该条目进行审核。
登录时，Orchestrator 会检查帐户的组成员身份，或在活动会话期间每小时检查一次。如果帐户的组成员身份发生更改，则该帐户的更改将在下次登录时应用，如果当前已登录，则在一小时内应用更改。

系统设置的检查组成员身份的时间间隔（一小时）可以通过设置 IdentityServer.GroupMembershipCacheExpireHours 的值来进行更改。
AD 中的组会与 Orchestrator 同步，但在 Orchestrator 中所做的更改不会影响 AD 中的用户配置。
无法确定继承的访问权限（从组成员身份）的 AD 用户的行为类似于本地用户，这意味着它们仅依赖于分配给用户帐户的角色。
无论组成员身份如何变化，配置在会话之间持续存在的访问权限的唯一方法是直接将角色分配给 Orchestrator 中的用户帐户，而不是使用组来分配角色。

已知问题

由于各种网络或配置问题，可能并非“域名”下拉列表中显示的所有域都可访问。
在 AD 中对用户名或组名所做的更改不会传播到 Orchestrator。
使用新添加的双向信任域更新域列表最多可能需要一个小时。
GetOrganizationUnits(Id) 和 GetRoles(Id) 请求仅返回为自动配置的用户显式设置的文件夹和角色。从组配置继承的文件夹和角色可通过 /api/DirectoryService/GetDirectoryPermissions?userId={userId} 端点检索。
用户界面也是如此，用户页面上仅显示显式设置的文件夹和角色。相反，继承的文件夹和角色具有新的专用位置，即用户权限窗口（用户>更多操作>查看权限）。
默认情况下，用户不会从父组继承警示订阅设置，也不会接收任何警示。要访问警示，您需要显式授予用户相应的权限。
删除目录组并不会删除相关目录用户的许可证，即使删除组后取消了从任何文件夹中分配用户。释放许可证的唯一方法是关闭机器人托盘。
在某些浏览器上，使用您的 AD 凭据登录 Orchestrator 时仅需要用户名。无需同时指定域。因此，如果 domain\username 语法不起作用，请尝试仅填写用户名。

审核注意事项

用户成员身份：用户 [用户名] 已分配到以下目录组 [用户在当前会话中继承访问权限的目录组]。
自动配置：从以下目录组 [用户在当前会话中继承访问权限的目录组] 自动配置用户 [用户名]。

用户类型

组

通过组，您可以通过组对多个用户应用相同的角色和配置，同时管理多个用户。

用户的成员身份可从“管理”>“帐户和组”进行设置。
用户组基于组中添加或删除的用户而启用具有组权限的自动访问，而无需单独管理用户权限。
有 4 个默认的本地组： Administrators、 Automation Users、 Automation Developers和 Everyone。在您创建的每个新服务中，所有组都附带一组默认权限。以后可以为每个 Orchestrator 服务自定义开箱即用角色。
如果您需要的组超过 UiPath 提供的 4 个默认组，则可以创建自定义本地组。与默认本地组不同，自定义组需要在 Orchestrator 中手动添加，以确保用户的组成员身份与 Orchestrator 中的相应角色之间的正确映射。

组的角色将传递给属于该组的任何用户，无论是自动配置的还是手动添加的。我们将它们称为“继承的角色”，而不是“直接分配的角色”，后者只能针对每个帐户设置。

备注：

属于多个组的用户将从所有这些组继承访问权限。
属于多个组并已直接分配角色的用户具有从组继承并直接分配的所有角色的并集。
如果您属于已添加到 Orchestrator 的组，则不需要显式用户帐户即可登录 Orchestrator。
继承的角色取决于关联的用户组。如果组已从服务中删除，则该帐户的继承角色也将删除。
直接分配的角色不受帐户所在组的影响。无论组状态如何，它们都会持续存在。

示例

假设我将 John Smith 添加到了我的 Automation Cloud 组织中的 Automation Users 和 Administrators 用户组。

Automation User 组存在于 Finance Orchestrator 服务中
Administrator 组存在于 HR Orchestrator 服务中
在这两个服务中，John 的帐户也被直接分配了角色。

John 拥有每个服务的继承权限和显式权限的并集：

服务/角色	用户组	继承的角色	显式角色	整体
财务租户	自动化用户
租户级别角色	Allow to be Automation User	Allow to be Automation User	Allow to be Folder Administrator	Allow to be Automation User Allow to be Folder Administrator
文件夹级角色	文件夹 A 的 Automation User 文件夹 B 的 Automation User	文件夹 A 的 Automation User 文件夹 B 的 Automation User	文件夹 A 的 Folder Administrator	文件夹 A 的 Automation User 文件夹 B 的 Automation User 文件夹 A 的 Folder Administrator
HR 租户	管理员
租户级别角色	Allow to be Folder Administrator	Allow to be Folder Administrator		Allow to be Folder Administrator
文件夹级角色	文件夹 D 的 Folder Administrator 文件夹 E 的 Folder Administrator	文件夹 D 的 Folder Administrator 文件夹 E 的 Folder Administrator	文件夹 F 的 Folder Administrator	文件夹 D 的 Folder Administrator 文件夹 E 的 Folder Administrator 文件夹 F 的 Folder Administrator