Planeación de los permisos del sitio (SharePoint 2010)
Se aplica a: SharePoint Foundation 2010, SharePoint Server 2010
Última modificación del tema: 2016-11-30
Este artículo le ayuda a planear el control de acceso en los niveles de colección de sitios, sitio, subsitio y contenido del sitio (lista o biblioteca, carpeta, elemento o documento). En este artículo también se describen los conceptos sobre la herencia de permisos y la personalización avanzada de permisos.
En este artículo no se explica la planeación de la seguridad de la totalidad del servidor o la granja de servidores. Para obtener más información acerca de la planeación de otros aspectos de la seguridad, como los métodos y modos de autenticación, vea Planeación de los métodos de autenticación (SharePoint Server 2010).
En este artículo:
Permisos del sitio
Herencia de permisos
Planeación de los permisos del sitio
Planeación de la herencia de permisos
Introducción
Se puede controlar el acceso al sitio y al contenido del sitio mediante la asignación de permisos a usuarios o grupos para un sitio o contenido del sitio específicos en los siguientes niveles dentro de una colección de sitios:
Sitio
Biblioteca o lista
Carpeta
Documento o elemento
Antes de desarrollar el plan de acceso al sitio y al contenido, debe tener en cuenta las siguientes preguntas:
¿Hasta qué granularidad desea controlar los permisos para el sitio o el contenido del sitio? Por ejemplo, quizás desee controlar el acceso a todo el sitio o es posible que necesite una configuración de seguridad más restrictiva para una lista, una carpeta o un elemento en particular.
¿Cómo desea categorizar y administrar los usuarios mediante grupos de SharePoint? Los grupos no tienen permisos hasta que se les asigna un nivel de permisos para un sitio específico o para un contenido del sitio en particular. Cuando asigna niveles de permisos a grupos de SharePoint en la colección de sitios, de manera predeterminada todos los sitios y su contenido heredan dichos niveles de permisos.
Para obtener más información acerca del uso de grupos para la administración de permisos, vea Elección de los grupos de seguridad (SharePoint Server 2010).
Permisos del sitio
Antes de diseñar el plan de permisos, es necesario comprender los conceptos siguientes:
Permisos Los permisos conceden a un usuario la capacidad de realizar acciones específicas. Por ejemplo, el permiso Ver elementos concede al usuario la capacidad de ver elementos de una lista o carpeta, pero no de agregar o quitar elementos. Se puede conceder permisos a usuarios individuales en los niveles de sitio o contenido del sitio.
Para obtener información acerca de los permisos disponibles, vea Permisos de usuario y niveles de permisos (SharePoint Server 2010).
Personalización avanzada de permisos La Personalización avanzada de permisos implica permisos únicos en objetos protegibles que se encuentran en un nivel inferior de una jerarquía de sitios, como los permisos en una lista o biblioteca, una carpeta o un elemento o documento. La Personalización avanzada de permisos permite una mayor granularidad y personalización de los permisos del usuario en una colección de sitios.
Nivel de permisos Los niveles de permisos son colecciones de permisos que permiten que los usuarios realicen un conjunto de tareas relacionadas. Por ejemplo, el nivel de permiso de lectura incluye los permisos Ver elementos, Abrir elementos, Ver páginas y Ver versiones (entre otros), todos los cuales son necesarios para ver páginas, documentos y elementos en un sitio de SharePoint. Los permisos se pueden incluir en más de un nivel de permisos.
Los niveles de permisos se definen en el nivel de la colección de sitios y los puede personalizar cualquier usuario o grupo cuyo nivel de permisos incluya el permiso Administrar permisos. Para obtener más información acerca de la personalización de niveles de permisos, vea Configuración de permisos personalizados (SharePoint Server 2010).
Los niveles de permisos predeterminados son: Acceso limitado, Lectura, Colaborar, Diseño y Control total. Para obtener información acerca de los niveles de permisos predeterminados y los permisos incluidos en cada nivel, vea Permisos de usuario y niveles de permisos (SharePoint Server 2010).
Grupo de SharePoint Un grupo de SharePoint es un grupo de usuarios que se define en el nivel de la colección de sitios para facilitar la administración de permisos. A cada grupo de SharePoint se le asigna un nivel de permisos predeterminado. Por ejemplo, los grupos de SharePoint predeterminados son Propietarios, Visitantes e Integrantes, cuyos niveles de permisos predeterminados son Control total, Lectura y Contribuir, respectivamente. Cualquier usuario con permiso Control total puede crear grupos personalizados.
Usuario Un usuario puede ser una persona con una cuenta de usuario de cualquier proveedor de autenticación compatible con la aplicación web. Se recomienda asignar permisos a grupos y no a usuarios, aunque es posible conceder directamente a usuarios individuales permisos en un sitio o contenido específico. Dado que no es eficaz mantener cuentas de usuario individuales, debe asignar permisos a usuarios individuales solamente en casos excepcionales.
Objeto protegible Un objeto protegible es un sitio, biblioteca, carpeta, documento o elemento para el cual se puede asignar un nivel de permisos a los usuarios o grupos. De manera predeterminada, todas las listas y bibliotecas de un sitio heredan los permisos del sitio. Puede usar los permisos de nivel de lista, nivel de carpeta y nivel de elemento para tener más control sobre qué usuarios pueden ver o interactuar con el contenido del sitio. Antes de cambiar o asignar permisos para un objeto protegible, debe interrumpir la herencia de permisos. En cualquier momento, puede volver a heredar los permisos de la lista o el sitio primarios.
Puede asignar permisos a un usuario o grupo para un objeto protegible específico. Los usuarios individuales o grupos pueden tener diferentes permisos para diferentes objetos protegibles. El siguiente diagrama ilustra las relaciones entre permisos, usuarios, grupos y objetos protegibles.
Herencia de permisos
Los permisos para los objetos protegibles dentro de un sitio se heredan del objeto primario de manera predeterminada. Puede interrumpir la herencia y usar Personalización avanzada de permisos (permisos únicos en los niveles de lista o biblioteca, carpeta, elemento o documento) para controlar con mayor precisión las acciones que pueden realizar los usuarios en el sitio. Para obtener más información sobre los procedimientos recomendados para la Personalización avanzada de permisos, vea el tema sobre los procedimientos recomendados para la Personalización avanzada de permisos.
Si se detiene la herencia de permisos, se copian los grupos, usuarios y niveles de permisos del objeto primario en el objeto secundario y, a continuación, se interrumpe la herencia. Cuando esto ocurre, todos los permisos son explícitos y los cambios en el objeto primario no afectan al objeto secundario. Si se restablecen los permisos heredados, el objeto secundario hereda los usuarios, grupos y niveles de permisos del elemento primario nuevamente, y se pierden todos los usuarios, grupos o niveles de permisos que eran exclusivos del objeto secundario.
Para facilitar la administración, use la herencia de permisos siempre que sea posible.
Sugerencia
Si decide interrumpir la herencia y usar Personalización avanzada de permisos, debe usar grupos para evitar tener que realizar un seguimiento de usuarios individuales. Dado que los usuarios entran a los equipos y salen de estos y cambian de responsabilidades con frecuencia, realizar un seguimiento de todos esos cambios y actualizar los permisos para objetos protegibles de forma exclusiva requeriría mucho tiempo y provocaría errores.
Planeación de los permisos del sitio
Cuando se crean permisos, hay que buscar un equilibrio entre la facilidad de administración y el rendimiento, por un lado, y la necesidad de controlar el acceso a elementos individuales, por otro. Si usa la Personalización avanzada de permisos excesivamente, empleará más tiempo administrando los permisos y los usuarios podrían sufrir un menor rendimiento cuando intenten tener acceso al contenido del sitio.
Siga estas instrucciones para planear los permisos de un sitio:
Adopte el principio de privilegios mínimos: los usuarios solo deberían tener los niveles de permiso o los permisos individuales que precisan para llevar a cabo las tareas asignadas.
Use grupos estándar (por ejemplo, Miembros, Visitantes y Propietarios) y controle los permisos en el nivel de sitio.
Incluya a la mayoría de los usuarios en los grupos Visitantes o Miembros. De forma predeterminada, los usuarios del grupo Miembros pueden colaborar en el sitio, agregando o quitando elementos o documentos, pero no pueden cambiar la estructura, la configuración del sitio o su apariencia. El grupo de visitantes tiene acceso de solo lectura al sitio, lo que significa que puede ver páginas y elementos, y abrir elementos y documentos, pero no pueden eliminar páginas, elementos ni documentos.
Limite el número de personas del grupo Propietarios e incluya solo a aquellos usuarios a los que permitirá cambiar la estructura, la configuración o la apariencia del sitio.
Use niveles de permisos en lugar de asignar permisos individuales.
Nota
-
Puede crear grupos de SharePoint y niveles de permisos adicionales si necesita un mayor control sobre las acciones que pueden realizar los usuarios. Por ejemplo, si no desea que el nivel de permiso de lectura en un subsitio específico incluya Crear alertas, rompa la herencia y personalice el nivel del permiso de lectura para ese subsitio.
-
Microsoft SharePoint Foundation 2010 y SharePoint Server 2010 usan Comprobar permisos para determinar los permisos que tiene un grupo o un usuario para todos los recursos de una colección de sitios. Ahora puede encontrar los permisos directamente asignados al usuario y los asignados a los grupos de los que el usuario es miembro mediante la comprobación de permisos para un sitio o contenido del sitio específicos.
Planeación de la herencia de permisos
Resulta mucho más sencillo administrar permisos cuando existe una jerarquía definida de permisos y permisos heredados. Se vuelve más complicado cuando algunas listas de un sitio tienen aplicada la Personalización avanzada de permisos y cuando algunos sitios tienen subsitios con permisos exclusivos y subsitios con permisos heredados. En la medida de lo posible, organice sitios y subsitios, y bibliotecas y listas de modo que puedan compartir la mayoría de los permisos. Coloque la información confidencial en listas, bibliotecas o subsitios independientes.
Por ejemplo, resulta mucho más sencillo administrar un sitio con permisos heredados, como se describe en la siguiente tabla.
Objeto protegible | Descripción | Permisos exclusivos o heredados |
---|---|---|
SitioA |
Página principal del grupo |
Exclusivo |
SitioA/SubsitioA |
Grupo confidencial |
Exclusivo |
SitioA/SubsitioA/ListaA |
Información confidencial |
Exclusivo |
SitioA/SubsitioA/BibliotecaA |
Documentos confidenciales |
Exclusivo |
SitioA/SubsitioB |
Información de proyecto compartida en grupo |
Heredado |
SitioA/SubsitioB/ListaB |
Información no confidencial |
Heredado |
SitioA/SubsitioB/BibliotecaB |
Documentos no confidenciales |
Heredado |
Sin embargo, no resulta tan sencillo administrar un sitio con permisos heredados, como se muestra en la siguiente tabla.
Objeto protegible | Descripción | Permisos exclusivos o heredados |
---|---|---|
SitioA |
Página principal del grupo |
Exclusivo |
SitioA/SubsitioA |
Grupo confidencial |
Exclusivo |
SitioA/SubsitioA/ListaA |
Información no confidencial |
Exclusivo, pero con los mismos permisos que SitioA |
SitioA/SubsitioA/BibliotecaA |
Documentos no confidenciales, pero con uno o dos documentos confidenciales |
Heredados, pero con permisos exclusivos en el nivel de documento |
SitioA/SubsitioB |
Información de proyecto compartida en grupo |
Heredado |
SitioA/SubsitioB/ListaB |
Datos no confidenciales, pero con uno o dos elementos confidenciales |
Heredados, pero con permisos exclusivos en el nivel de elemento |
SitioA/SubsitioB/BibliotecaB |
Documentos no confidenciales, pero con una carpeta especial que contiene documentos confidenciales |
Heredados, pero con permisos exclusivos en el nivel de carpeta y documento |