使用するアクセス許可レベルおよびグループを決定する (Office SharePoint Server)

この記事の内容 :

• 使用可能な既定のグループを確認する

• 使用可能なアクセス許可レベルを確認する

• 追加のアクセス許可レベルやグループが必要かどうかを判断する

• ワークシート

Microsoft Office SharePoint Server 2007 でサイトおよびコンテンツのセキュリティに関して行う最も重要な決定は、ユーザーをどのように分類し、どのようなアクセス許可レベルを割り当てるのかを決定することです。

さまざまな既定の SharePoint グループがあり、これらを使用して、実行する必要がある操作の種類に基づいてユーザーを分類できますが、独自の要件がある場合や異なる観点からユーザーをグループ分けしたい場合もあります。同様に、既定のアクセス許可レベルが用意されていますが、それらが必ずしもグループで実行する必要のあるタスクに完全に適合しているとは限りません。

ここでは、既定のグループおよびアクセス許可レベルを確認し、それらをそのまま使用するか、カスタマイズするか、別のグループおよびアクセス許可レベルを作成するかを決定します。

使用可能な既定のグループを確認する

SharePoint グループでは、個別のユーザーではなく、ユーザーをグループとして管理できます。SharePoint グループは、多数の個人ユーザーで構成される場合、単一の Windows セキュリティ グループの場合、そしてこれら 2 つの組み合わせの場合があります。SharePoint グループは、サイトに対して特定の権限を付与するものではなく、単にユーザー グループを含める手段です。組織や Web サイトの規模と複雑さに応じて、複数のユーザーをいくつかのグループに整理することができます。

Office SharePoint Server 2007 でサイトに対して作成されている既定の SharePoint グループを、次の表に示します。

グループ名	既定のアクセス許可レベル
制限付き閲覧者	サイトに対する制限付き読み取り (および特定のリストへの制限付きアクセス)
スタイル リソース閲覧者	マスタ ページ ギャラリーに対する読み取り、およびスタイル ライブラリに対する制限付き読み取り
Viewers	表示のみ
ホーム閲覧者	読み取り
Home Members	投稿
簡易展開ユーザー	簡易展開アイテム ライブラリへの投稿 (およびサイトのその他の場所への制限付きアクセス)
承認者	承認 (および制限付きアクセス)
編集者	デザイン
階層管理者	階層の管理 (および制限付きアクセス)
Home Owners	フル コントロール

注意

制限付きアクセスのアクセス許可レベルは、サイト全体へのアクセスは許可せずに、特定のリスト、ドキュメント ライブラリ、アイテム、またはドキュメントに対するグループ アクセスを与えるために使用します。このアクセス許可レベルは、上記に示したグループから削除しないでください。このアクセス許可レベルを削除してしまうと、グループはサイト内を移動できなくなり、操作する必要のあるアイテムに到達できなくなる可能性があります。

また、高度な管理タスクには、以下の特殊なユーザーとグループを使用できます。

• サイト コレクションの管理者   サイト コレクションの管理者および代理の管理者として、1 人以上のユーザーを指定できます。これらのユーザーは、サイト コレクションの問い合わせ先としてデータベースに記録され、サイト コレクション内のすべてのサイトに対するフル コントロールを持ち、すべてのサイト コンテンツを監査することができ、管理上の通知 (サイトが使用中かどうかの確認など) を受信します。通常は、サイトを作成するときにサイト コレクションの管理者を指定しますが、サーバーの全体管理サイトまたは [サイトの設定] ページを使用して必要に応じて変更することもできます。

• ファームの管理者   サーバーおよびサーバー ファームの設定を管理できるユーザーを制御します。ファームの管理者グループは、サーバーの管理者グループまたは Windows SharePoint Services Version 2.0 で使用されていた SharePoint 管理者グループにユーザーを追加する必要のある場合に使用します。ファームの管理者は、既定ではサイト コンテンツへのアクセス権を持っていないため、コンテンツを表示するにはサイトの所有権を取得する必要があります。その場合、ファームの管理者はサイト コレクションの管理者として自分を追加しますが、この操作は監査ログに記録されます。ファームの管理者グループは、サーバーの全体管理でのみ使用され、サイトに対しては使用できません。

• 管理者 (Administrators)   ローカル サーバー上の Administrators グループのメンバは、ファームの管理者が行うすべての操作に加えて、以下の操作を実行できます。

  • 新しい製品またはアプリケーションをインストールする。

  • Web パーツおよび新機能をグローバル アセンブリ キャッシュに展開する。

  • 新しい Web アプリケーションと新しい IIS Web サイトを作成する。

  • サービスを開始する。

  ファームの管理者グループと同様に、ローカル サーバーの Administrators グループのメンバには、既定ではサイト コンテンツへのアクセス権がありません。

必要なグループが明確になったら、サイト上の各グループに割り当てるアクセス許可レベルを決定します。

ワークシートでの作業
カスタム アクセス許可レベルおよびグループ ワークシート (https://go.microsoft.com/fwlink/?linkid=73134&clcid=0x411) を使用して、作成する必要のあるグループを記録します。

使用可能なアクセス許可レベルを確認する

特定のサイトを表示、変更、または管理できるかどうかは、ユーザーまたはグループに割り当てるアクセス許可レベルによって決まります。このアクセス許可レベルにより、サイトと、サイトの権限を継承するサブサイト、リスト、ドキュメント ライブラリ、フォルダ、アイテムまたはドキュメントに対するすべての権限が制御されます。適切なアクセス許可レベルが設定されていないと、ユーザーが自分のタスクを実行できない場合や、管理者が意図していないタスクを実行できてしまう場合があります。

既定では、以下のアクセス許可レベルを使用できます。

• **制限付きアクセス   **権限が付与されたときに、ユーザーが特定のリスト、ドキュメント ライブラリ、リスト アイテム、フォルダ、またはドキュメントを表示できる権限が含まれています。

• **読み取り   **ユーザーがサイト ページのアイテムを表示できる権限が含まれています。

• **投稿   **ユーザーがサイト ページ、リスト、ドキュメント ライブラリのアイテムを追加または変更できる権限が含まれています。

• **デザイン   **ユーザーがブラウザまたは Microsoft Office SharePoint Designer 2007 を使用してサイト ページのレイアウトを変更できる権限が含まれています。

• **承認   **ページ、リスト アイテム、およびドキュメントを編集および承認できる権限が含まれています。

• **階層の管理   **サイト、ページ、リスト アイテム、およびドキュメントを編集できる権限が含まれています。

• **制限付き読み取り   **ページとドキュメントを表示できる権限が含まれていますが、過去のバージョンやユーザー権限情報は表示できません。

• **フル コントロール   **すべての権限が含まれています。

既定のアクセス許可レベルに含まれる権限の詳細については、「User permissions and permission levels」を参照してください。

追加のアクセス許可レベルやグループが必要かどうかを判断する

既定のグループおよびアクセス許可レベルは、権限の一般的なフレームワークを提供するように設計されており、幅広い組織の種類と、それらの組織内のさまざまな役割に対応しています。ただし、ユーザーのグループ分けや、ユーザーがサイトで実行するさまざまなタスクに、これらが完全に適合するとは限りません。既定のグループおよびアクセス許可レベルが組織に適していない場合は、カスタム グループを作成したり、特定のアクセス許可レベルに含まれている権限を変更したり、カスタム アクセス許可レベルを作成したりすることができます。

カスタム グループが必要かどうかの判断

カスタム グループを作成するかどうかの判断は非常に簡単で、サイトのセキュリティにほとんど影響を与えません。基本的に、以下のいずれかに該当する場合は、既定のグループを使用する代わりにカスタム グループを作成する必要があります。

• 組織内のユーザーの役割が、既定のグループにあるユーザーの役割より多い (または少ない)。たとえば、承認者、編集者、および階層管理者以外に、サイトへのコンテンツ発行を担当する社員がいる場合は、発行者グループを作成するとよいでしょう。

• 組織内に、サイトでさまざまなタスクを実行する、既知の名前の独自の役割がある場合。たとえば、組織の製品を販売するためのパブリック サイトを作成する場合は、閲覧者や Viewers の代わりに、顧客グループを作成すると便利です。

• Windows セキュリティ グループと SharePoint グループの間で一対一の関係を維持する場合 (たとえば、Web サイト管理者用にセキュリティ グループが設定されている組織で、サイトを管理するときに識別しやすいようにその名前をグループ名として使用したい場合)。

• 他のグループ名を使用したい場合。

カスタム アクセス許可レベルが必要かどうかの判断

アクセス許可レベルをカスタマイズするかどうかの判断は、SharePoint グループのカスタマイズの判断に比べると複雑です。特定のアクセス許可レベルに割り当てられている権限をカスタマイズする場合は、変更内容を記録し、変更の影響を受けるすべてのグループおよびサイトで変更したアクセス許可レベルが機能していることを確認し、変更によってセキュリティ、サーバーの容量、またはパフォーマンスに悪影響が及ばないことを確認する必要があります。

たとえば、セキュリティについては、投稿のアクセス許可レベルに、通常はフル コントロールのアクセス許可レベルの一部であるサブサイトの作成権限を含むようにカスタマイズすると、投稿者グループのメンバがサブサイトを作成および所有することができるようになります。しかし同時に、サブサイトに悪意のあるユーザーがアクセスできるようになり、未承認のコンテンツが投稿されるおそれもあります。また、容量に関しては、通常は投稿アクセス許可レベルに含まれる通知の作成権限を、読み取りアクセス許可レベルに含むようにカスタマイズする場合、ホーム閲覧者のすべてのメンバが通知を作成することが可能となり、サーバーに過度の負荷がかかる可能性があります。

以下のどちらかに該当する場合は、既定のアクセス許可レベルをカスタマイズする必要があります。

• 既定のアクセス許可レベルに、ユーザーが業務を遂行するために必要な権限以外のすべての権限が含まれていて、必要な権限を追加したい場合。

• 既定のアクセス許可レベルに、ユーザーには不要な権限が含まれている場合。

  注意

  特定の権限に関するセキュリティ上またはその他の考慮事項が組織にあり、その権限を含む単一または複数のアクセス許可レベルに割り当てられているすべてのユーザーに対してその権限を無効にする場合は、既定のアクセス許可レベルをカスタマイズしないでください。この場合は、すべてのアクセス許可レベルを変更する代わりに、サーバー ファーム内のすべての Web アプリケーションに対してこの権限を無効にします。Web アプリケーションの権限を管理するには、サーバーの全体管理の [アプリケーション構成の管理] ページで、[アプリケーション セキュリティ] セクションの [Web アプリケーションのユーザー権限] をクリックします。

特定のアクセス許可レベルに対して複数の変更を加える必要がある場合は、必要な権限すべてを含むカスタム アクセス許可レベルを作成することをお勧めします。

以下のどちらかに該当する場合は、アクセス許可レベルを追加して作成します。

• 特定のアクセス許可レベルから複数の権限を除外する場合。

• 新しいアクセス許可レベルに対して、固有の複数の権限を定義する場合。

アクセス許可レベルを作成するには、既存のアクセス許可レベルをコピーして変更を加えるか、アクセス許可レベルを作成して必要な権限を選択します。

注意

一部の権限は、他の権限に依存します。他の権限が依存している権限を無効にすると、依存している権限も無効になります。

ワークシートでの作業
カスタム アクセス許可レベルおよびグループ ワークシート (https://go.microsoft.com/fwlink/?linkid=73134&clcid=0x411) を使用して、カスタマイズまたは作成するアクセス許可レベルを記録します。

ワークシート

使用するアクセス許可レベルおよびグループを決定するには、以下のワークシートを使用します。

• カスタム アクセス許可レベルおよびグループ ワークシート (https://go.microsoft.com/fwlink/?linkid=73134&clcid=0x411)

このブックをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収められています。

• Office SharePoint Server 2007 の計画とアーキテクチャ、パート 1

入手できるすべてのブックの一覧については、「Office SharePoint Server 2007 のダウンロード可能なブック」を参照してください。