Autorización, usuarios y grupos

Artículo
09/24/2014

Última modificación: miércoles, 14 de abril de 2010

Hace referencia a: SharePoint Foundation 2010

En Microsoft SharePoint Foundation, el acceso a sitios web, listas, carpetas y elementos de lista se controla mediante un sistema de pertenencia basado en roles según el cual se asignan roles a los usuarios que les permiten obtener acceso a los objetos de SharePoint Foundation.

Para conceder a un usuario acceso a un objeto, agréguelo a un grupo que ya tenga permisos en el objeto o cree un objeto de asignación de roles y establezca así el usuario para la asignación de roles. Otra posibilidad es enlazar la asignación de roles a la definición de roles correspondiente con permisos base y, a continuación, agregar la asignación a la colección de asignaciones de roles para el elemento de lista, la carpeta, la lista o el sitio web. Si no enlaza la asignación de roles a una definición de roles cuando asigne un usuario a un rol, éste carecerá de permisos.

A continuación se explican las distintas formas que SharePoint Foundation proporciona para controlar el acceso a sus objetos:

Los objetos pueden usar los mismos permisos que el sitio web, la lista o la carpeta primarios al heredar tanto los roles como los usuarios disponibles en el objeto primario, o bien pueden usar permisos únicos.
Cada sitio, lista, carpeta y elemento proporciona colecciones de asignaciones de roles, lo que permite administrar los accesos de usuario a objetos de forma precisa.
Los grupos constan de usuarios y pueden o no asignarse a roles. SharePoint Foundation incluye los tres grupos siguientes de forma predeterminada:
- owners (administrador)
- members (colaborador)
- visitors (lector)

Cuando se crea un sitio web con permisos únicos mediante la interfaz de usuario, tiene acceso a una página donde puede asignar usuarios a dichos grupos como parte del aprovisionamiento del sitio.

El acceso anónimo permite a los usuarios contribuir de forma anónima a las listas y encuestas o ver las páginas de forma anónima. Además, puede conceder acceso a "todos los usuarios autenticados" para permitir a todos los miembros de su dominio tener acceso a un sitio web sin tener que habilitar el acceso anónimo.
Los derechos de creación de sitios (CreateSSCSite y ManageSubwebs) controlan si los usuarios pueden crear sitios web, subsitios o áreas de trabajo de nivel superior.

Los usuarios se convierten en miembros de un objeto de SharePoint indirectamente mediante un grupo que tiene una asignación de roles o directamente mediante una asignación de roles. Además, los usuarios pueden ser miembros de un grupo de dominio de Microsoft Windows NT que se agrega a un grupo o un rol. Una definición de roles se asocia a un usuario o grupo con un solo derecho o un conjunto de derechos correspondientes a los valores de la enumeración Microsoft.SharePoint.SPBasePermissions. Cada usuario o grupo tiene un miembro ID único.

Puede usar el modelo de objetos para crear o modificar asignaciones y definiciones de roles de un modo diferente al del procedimiento que consiste en usar la funcionalidad de los archivos addrole.aspx y editrole.aspx. A diferencia de estas páginas presentadas en la interfaz de usuario, el modelo de objetos no aplica la dependencia de derechos; por lo tanto, puede crear una definición de roles con una combinación de derechos arbitraria. Sin embargo, planee de forma minuciosa el uso del modelo de objetos para personalizar definiciones y permisos de roles, ya que si se crea una definición de roles de forma incorrecta y se asignan derechos de forma inadecuada, es posible que esto repercuta negativamente en la experiencia del usuario.

Para obtener más información acerca de los derechos de SharePoint Foundation, vea SPBasePermissions.

Directiva de seguridad

Una directiva de seguridad proporciona un medio para aplicar una seguridad uniforme en todas las colecciones de sitios de una aplicación web (servidor virtual). Mediante la directiva, se puede asignar un rol o una colección de derechos a usuarios individuales de SharePoint Foundation, así como a grupos de dominio mediante la autenticación de Windows o los sistemas de autenticación acoplable, pero no a grupos de SharePoint. Cada entrada de directiva especifica los derechos para un usuario o grupo de la aplicación web.

La directiva se establece en el nivel lógico de la aplicación web o en el nivel de la zona. Un usuario puede tener, por ejemplo, diferentes directivas en https://Server y http://Server.extranet.microsoft.com, aunque las dos aplicaciones web tengan el mismo contenido.

Es posible conceder o denegar derechos mediante la directiva. La concesión de un derecho proporciona dicho derecho al usuario o grupo en todos los objetos protegidos de la aplicación web, independientemente de los permisos locales del objeto. La denegación de un derecho cancela su concesión y dicho derecho se bloquea activamente para el usuario o grupo en todos los objetos protegidos de la aplicación web. La denegación de todos los derechos de un usuario impide que dicho usuario pueda tener acceso al contenido, aunque el usuario tenga permisos explícitos en el contenido específico: la directiva invalida los permisos de nivel de sitio.

En los roles de directiva, los usuarios y grupos se identifican mediante su identificador de seguridad (SID) y su nombre de inicio de sesión o usuario. La aplicación de una función de directiva es similar a la administración de permisos para un sitio web, una lista, una carpeta o un documento: puede agregar usuarios o grupos y asignarlos a una o más definiciones de roles. Cada aplicación web tiene sus propios roles de directiva. Otra diferencia entre los roles de directiva y la administración de permisos es que los administradores centrales pueden denegar un derecho a un usuario en toda una aplicación web.

Nota

Los roles de directiva de administración central difieren de las definiciones de roles para una colección de sitios.