网站权限概述

大家好，我是 Monica Xie，是一名专门研究 Microsoft SharePoint 2010 产品的网站权限的技术文档撰稿人。权限在管理 SharePoint 层次结构的几乎每一级别（从服务器场到列表项）上的安全性方面都发挥着重要作用。在本博客中，我们将通过介绍三个权限概念、两个与权限管理相关的因素和 SharePoint Server 2010 中引入的两个新功能来讨论网站和网站内容级别的权限。

三个概念

权限

权限（又称为单个权限或基本权限）授予用户执行特定操作的能力，例如查看页面、打开项目和创建子网站。不过，除非您要添加自定义权限级别，否则您将很少有机会处理这些个人权限（图 1）。

图 1

权限级别

权限级别 是捆绑在一起以允许用户执行一组相关任务的个人权限集合。可以将一个或多个权限级别分配给用户或组。

当我们说向用户或组授予权限时，我们实际上是指向用户或组授予权限级别。不要混淆 UI 中的“授予权限”(Grant Permissions)（图 2）和“直接授予用户权限”(Grant users permission directly)（图 3）；此外，此处的权限均相当于权限级别。有关每个权限和权限级别的详细信息，请参阅用户权限和权限级别 (SharePoint Foundation 2010)（该链接可能指向英文页面）和用户权限和权限级别 (SharePoint Server 2010)（该链接可能指向英文页面）。

图 2

图 3

细化权限

网站管理员通过向用户或组分配权限级别来控制对网站和网站内容的访问。权限（级别）分配可以在网站层次结构的以下任何级别上进行：首要网站、网站、子网站、列表或库、文件夹、项目或文档。如果您将权限（级别）分配给细化为列表或库、文件夹或项目或文档的较低级别，我们将这些权限（级别）称为细化权限。在某些主题中，细化权限又称为“列表级别权限”或“项目级别权限”。有关细化权限的详细信息，请下载白皮书使用细化权限的最佳实践（SharePoint 产品和技术）（该链接可能指向英文页面）。

两个因素

除了单个权限、权限级别和细化权限外，还有两个与权限管理相关的关键因素：权限继承和组创建。

权限继承

默认情况下，所有网站和内容都从它上面的父对象向上直至网站集中的首要网站（例如，列表项 --> 文件夹 --> 列表 --> 网站 --> 首要网站）继承权限。因此，如果您没有中断网站中的任何权限继承，则继承并共享权限。不过，所有网站和内容都共享相同的权限并不现实。SharePoint 提供了在任何网站或内容级别上中断此继承并随后添加自定义权限的机制。图 4 显示了“继承”(Inheritance) 组，它可用于管理权限继承。

图 4

注意： 为便于管理，应安排网站、子网站、列表和库以使其可以共享大多数权限。将敏感数据单独放置到它们自己的列表、库或子网站中并在那里分配特定权限。

组创建

SharePoint 组是可共享特定网站或内容上的相同权限的用户集合。在您创建组时，应始终将特定权限级别与该组捆绑在一起。然后，当您要为某人分配该特定权限级别时，只需将该用户添加到该组中即可。

另外，您还可以在 SharePoint 组中嵌套 Active Directory 组（具体来说是安全组），这将更易于管理权限。当用户进入或离开公司时，您不必管理 AD 组中的单个用户；AD DS（Active Directory 域服务）将为您管理用户。当您具有多个包括 AD 组的 SharePoint 组时，这种管理方式的好处将变得显而易见。有关使用安全组的建议的详细信息，请参阅选择安全组 (SharePoint Foundation 2010) 和选择安全组 (SharePoint Server 2010)。

图 5 显示了“授予”(Grant) 组，它可用于创建 SharePoint 组。

图 5