Alfresco - 如何让管理员无法从 Active Directory 中删除用户

Posted 2023-04-13

【中文标题】Alfresco - 如何让管理员无法从 Active Directory 中删除用户

【英文标题】：Alfresco - How to make admin unable to delete user from Active Directory

【发布时间】：2021-05-18 23:32:52

【问题描述】：

有没有办法让管理员无法从 Active Directory 中删除用户？我需要在全局属性中以某种方式禁用此功能，否则。我只希望管理员创建用户，编辑它们并禁用它们，而不是删除它们。 Alfresco 的版本是 Community 5.2。提前致谢。

【问题讨论】：

你是如何设置与活动目录的同步的？

不是我，我在项目中已经有人进行了设置，我现在必须以某种方式更改它，第一次这样做并且不知道如何执行此操作，有关信息文档不多。 @Gagravarr

Alfresco 是否自动从 Active Directory (AD) 同步用户？在 Alfresco 中同步删除的用户，但在 AD 中存在的用户将重新创建。如果您在alfresco-global.properies 中设置了选项synchronization.allowDeletions=false，则将不允许同步作业删除在AD 中删除的Alfresco 中的用户。但这仅适用于同步设置。

我已经这样做了，但正如你所说，这仅适用于同步设置。有没有办法禁用管理员删除用户？我所做的只是使用 css 隐藏按钮，但我认为这种方法不好。有任何想法吗？ @AlekseyB。

@john2994 我同意不支持限制管理员权限的方法

【参考方案1】：

我猜你的意思是相反的：

有没有办法阻止管理员删除由 ldap sync 创建的用户？

或者你的意思是：

有没有办法撤销删除任何用户的权限？

您了解通过 ldap sync 创建的用户和在 Alfresco 管理 UI 中手动创建的用户之间的区别吗？

据我所知，没有（简单且受支持的）方法可以限制管理员权限或 ALFRESCO_ADMINISTRATORS 组的成员。 ROLE_ADMINISTRATOR 始终拥有任何权限。

也许有一种方法可以实现您在自定义模块中的期望，该模块实现了一种新行为，该行为不允许在特定区域中删除用户，或者通过在customPermissionDefinitions 中创建您自己的权限组/权限，为用户设置新引入的权限特定组的区域，但这种自定义很难在以后的更新/升级中维护。

编辑： 尽管您有一个用户目录 (AD)，但您允许（最终）用户在 Alfresco 中创建新用户的用例是什么？

如果您的目标是支持由特定内部用户组管理的外部用户，您可以添加另一个目录，例如 samba4，您的内部用户可以获得创建/删除用户的权限（这就是我们通过/通过我们的 CRM 系统实际执行的操作）或者，如果您更喜欢与 Google、Facebook、Github 等 OAuth2 提供商集成，您可以查看Spring Cloud Gateway for the Alfresco platform 项目