Elección de los grupos de seguridad (SharePoint Foundation 2010)

  • Artículo

 

Se aplica a: SharePoint Foundation 2010

Última modificación del tema: 2016-11-30

En este artículo se describen los grupos de seguridad y distribución que conforman los Servicios de dominio de Active Directory® (AD°DS). También se proporcionan recomendaciones para usar esos grupos en la organización de usuarios de los sitios de SharePoint.

En este artículo:

  • Decisión sobre agregar grupos de seguridad

  • Determinación de los grupos de seguridad que se deben usar para conceder acceso a los sitios

  • Decisión sobre permitir el acceso de todos los usuarios autenticados

  • Decisión sobre permitir el acceso a usuarios anónimos

Introducción

La administración de usuarios de sitios de SharePoint es más sencilla si se asignan niveles de permisos a grupos en lugar de a usuarios individuales. El grupo de SharePoint es un conjunto de usuarios individuales y también puede incluir grupos de Active Directory. En Servicios de dominio de Active Directory (AD DS), normalmente se usan los siguientes grupos para organizar los usuarios:

  • Grupo de distribución   Grupo que solo se usa para la distribución de correo electrónico y no tiene habilitada la seguridad. Los grupos de distribución no se pueden incluir en las listas de control de acceso discrecional (DACL) que se usan para definir permisos en recursos y objetos.

  • Grupo de seguridad   Grupo que se puede incluir en las DACL. Un grupo de seguridad también puede usarse como una entidad de correo electrónico.

Puede usar los grupos de seguridad para controlar los permisos del sitio agregando los grupos de seguridad a grupos de SharePoint y concediendo permisos a estos últimos. No se pueden agregar grupos de distribución a grupos de SharePoint pero se puede expandir un grupo de distribución y agregar cada uno de los miembros a un grupo de SharePoint. Si usa este método, debe mantener el grupo de SharePoint sincronizado con el grupo de distribución manualmente. Si usa grupos de seguridad, no tiene que administrar a cada uno de los usuarios en la aplicación de SharePoint. AD DS se ocupa de la administración de los usuarios, porque ha incluido el grupo de seguridad en lugar de cada uno de los usuarios del grupo.

Nota

Para facilitar la administración de la seguridad, no se recomiendan los siguientes elementos en la administración de grupos de Active Directory.

  • Asignar niveles de permisos directamente a los grupos de Active Directory.

  • Agregar grupos de seguridad que contienen listas de distribución, contactos o grupos de seguridad anidados.

Decisión sobre agregar grupos de seguridad

La adición de grupos de seguridad a grupos de SharePoint proporciona una administración centralizada de los grupos y la seguridad. El grupo de seguridad es el único lugar donde se administran usuarios individuales. Después de agregar el grupo de seguridad a un grupo de SharePoint, no es necesario administrar a los miembros del grupo de seguridad en ese grupo de SharePoint. Si se quita un usuario del grupo de seguridad, el usuario se quitará automáticamente del grupo de SharePoint.

Sin embargo, el uso de grupos de seguridad en sitios de SharePoint no proporciona una visibilidad completa de lo que sucede. Por ejemplo, cuando se agrega un grupo de seguridad a un grupo de SharePoint para un sitio específico, el sitio no aparece en Mis sitios de los usuarios. La lista de información del usuario no mostrará usuarios individuales hasta que estos hayan colaborado con el sitio. Además, los grupos de seguridad con estructura anidada profunda pueden dividir los sitios de SharePoint.

Teniendo en cuenta las ventajas y desventajas anteriores, estas son las recomendaciones:

  • En el caso de los sitios de intranet a los que acceden los usuarios en general, use grupos de seguridad porque no le preocupan los usuarios individuales que accedieron a la página principal del sitio de intranet.

  • En el caso de los sitios de colaboración a los que accede un pequeño grupo de usuarios, agregue usuarios directamente a los grupos de SharePoint. En este caso, es más que necesario saber quién es miembro para que los miembros del grupo conozcan sus direcciones de correo electrónico y sepan cómo ponerse en contacto entre sí.

Determinación de los grupos de seguridad que se deben usar para conceder acceso a los sitios

Cada organización configura sus grupos de seguridad de distintas maneras. Para que la administración de permisos sea más sencilla, los grupos de seguridad deben ser:

  • Lo suficientemente grandes y estables para que no haya que agregar grupos de seguridad a los sitios de SharePoint constantemente.

  • Lo suficientemente pequeños para poder asignar los permisos adecuados.

Por ejemplo, es probable que un grupo de seguridad denominado "todos los usuarios del edificio 2" no sea lo suficientemente pequeño para asignar permisos, a menos que todos los usuarios del edificio 2 tengan la misma función en su trabajo, por ejemplo administrativos de cuentas por cobrar. Esto no suele ser así, por lo que debería buscar un grupo de usuarios más pequeño y específico, como "cuentas por cobrar".

Decisión sobre permitir el acceso de todos los usuarios autenticados

Si desea que todos los usuarios del dominio puedan ver el contenido del sitio, considere la posibilidad de conceder acceso a todos los usuarios autenticados (grupo de seguridad de Windows Usuarios de dominio). Este grupo especial permite a todos los usuarios del dominio tener acceso a un sitio web, con el nivel de permisos que se elija, sin tener que habilitar el acceso anónimo.

Decisión sobre permitir el acceso a usuarios anónimos

Puede habilitar el acceso anónimo para que los usuarios puedan ver las páginas de forma anónima. La mayoría de los sitios web de Internet permiten que se vea el sitio de forma anónima, pero podrían solicitar la autenticación si alguien desea modificar el sitio o adquirir algún artículo en un sitio de compras. El acceso anónimo está deshabilitado de forma predeterminada y se debe conceder en el nivel de la aplicación web en el momento de crearla.

Si se permite el acceso anónimo a la aplicación web, los administradores del sitio pueden decidir si desean conceder acceso anónimo a un sitio o a cualquier contenido de dicho sitio.

El acceso anónimo se basa en la cuenta de usuario anónimo en el servidor web. Esta cuenta se crea y mantiene mediante Microsoft Internet Information Services (IIS), no mediante su sitio de SharePoint. De forma predeterminada en IIS, la cuenta de usuario anónimo es IUSR. Cuando se habilita el acceso anónimo, se concede dicho acceso de cuenta para el sitio de SharePoint. Permitir el acceso a un sitio, o a las listas y bibliotecas, concede el permiso Ver elementos a la cuenta de usuario anónimo. Sin embargo, incluso con el permiso Ver elementos, hay restricciones referentes a las acciones que pueden llevar a cabo los usuarios. Los usuarios anónimos no pueden realizar lo siguiente:

  • Abrir sitios para editarlos en Microsoft Office SharePoint Designer.

  • Ver sitios en Mis sitios de red.

  • Cargar o editar documentos en bibliotecas de documentos, incluidas las bibliotecas wiki.

    Importante

    Para mejorar la seguridad de los sitios, listas o bibliotecas, no habilite el acceso anónimo. El acceso anónimo permite que los usuarios contribuyan a listas, discusiones y encuestas, lo que probablemente usará espacio en disco del servidor y otros recursos. Además, el acceso anónimo permite a los usuarios anónimos detectar información del sitio, incluidas las direcciones de correo electrónico y todo el contenido expuesto en listas, bibliotecas y discusiones.

Las directivas de permisos permiten configurar y administrar, de forma centralizada, un conjunto de permisos que se aplica solo a un subconjunto de usuarios o grupos en una aplicación web. Se puede administrar una directiva de permisos para usuarios anónimos habilitando o deshabilitando el acceso anónimo de una aplicación web. Si lo habilita, los administradores de sitios pueden conceder o denegar el acceso anónimo por colección de sitios, sitio o nivel de elemento. Si lo deshabilita, ningún usuario anónimo puede obtener acceso a ningún sitio dentro de esa aplicación web.

  • Ninguno   Sin directiva. Ésta es la opción predeterminada. No se aplican otras adiciones o restricciones de permisos a los usuarios anónimos del sitio.

  • Denegar escritura   Los usuarios anónimos no pueden escribir contenido, incluso si el administrador del sitio intenta conceder este permiso a la cuenta de usuario anónimo.

  • Denegar a todos   Los usuarios anónimos no pueden tener ningún acceso, incluso si los administradores de sitios intentan conceder a la cuenta de usuario anónimo acceso a sus sitios.

Para obtener más información acerca de las directivas de permisos, vea Administración de directivas de permisos para una aplicación web (SharePoint Foundation 2010).