使用するセキュリティ グループを選択する (Windows SharePoint Services)

この記事の内容 :

• サイトへのアクセスの許可に使用する Windows セキュリティ グループとアカウントを決定する

• すべての認証されたユーザーを使用するかどうかを決定する

• 匿名ユーザーにアクセスを許可するかどうかを決定する

• ワークシート

ユーザー管理を簡単にするため、個々のユーザーにではなくグループにサイトのアクセス権を割り当てることをお勧めします。通常、Microsoft Active Directory ディレクトリ サービスでは、以下の 2 種類のグループにユーザーを分類します。

• 配布グループ   電子メールの配布にのみ使用される、セキュリティ保護されていないグループです。配布グループは、リソースとオブジェクトのアクセス権の定義に使用される随意アクセス制御リスト (DACL) に入れることはできません。

• セキュリティ グループ   リソースとオブジェクトのアクセス権の定義に使用される随意アクセス制御リスト (DACL) に入れることができるグループです。セキュリティ グループは電子メール エンティティとしても使用できます。

セキュリティ グループを使用すると、セキュリティ グループを直接追加し、グループ全体のアクセス権を付与することで、サイトのアクセス権を制御できます。配布グループをこのように使用することはできません。ただし、配布リストを拡張し、個々のユーザーを SharePoint グループに追加することはできます。この方法を使用する場合、SharePoint グループと配布グループとの同期を保つプロセスを管理する必要があります。セキュリティ グループを使用する場合、SharePoint アプリケーションで個々のユーザーを管理する必要はありません。グループの個々のメンバではなくセキュリティ グループ自体を指定しているため、ユーザーは Active Directory によって管理されます。

サイトへのアクセスの許可に使用する Windows セキュリティ グループとアカウントを決定する

各組織では、Windows セキュリティ グループの設定が異なります。権限管理をできるだけ簡単にするため、以下のようなセキュリティ グループを選択します。

• SharePoint サイトに絶えずグループを追加しなくて済む程度に大きく安定している。

• 適切なアクセス権の割り当てができる程度に小さい。

たとえば、"ビル 2 の全ユーザー" というセキュリティ グループは、ビル 2 のすべてのユーザーが売掛金担当者など、同じ職務についているのではない限り、アクセス権を割り当てるには大きすぎる可能性が高くなります。このような場合には、"売掛金" など、より小さくて関連性が高い他のグループを探す必要があります。

すべての認証されたユーザーを使用するかどうかを決定する

ドメイン内のすべてのユーザーがサイトのコンテンツを表示できるようにする場合、すべての認証されたユーザー (Domain Users Windows セキュリティ グループ) にアクセスを許可することを検討してください。この特殊グループを使用すると、ドメインのすべてのメンバは (指定したアクセス許可レベルで) Web サイトにアクセスできます。この際、匿名アクセスを有効にする必要はありません。

匿名ユーザーにアクセスを許可するかどうかを決定する

匿名アクセスを有効にすると、ユーザーはページを匿名で閲覧できます。ほとんどのインターネット Web サイトではサイトを匿名で閲覧できますが、サイトを編集したり、ショッピング サイトで商品を購入する場合は、認証が求められます。匿名アクセスは、Web アプリケーションの作成時に Web アプリケーション レベルで許可する必要があります。Web アプリケーションへの匿名アクセスを許可する場合、サイト管理者は以下のいずれかを指定できます。

• サイトへの匿名アクセスの許可

• リストとライブラリのみへの匿名アクセスの許可

• サイトへの匿名アクセスのブロック

匿名アクセスは、Web サーバー上の匿名ユーザー アカウントに依存します。このアカウントの作成と管理は、SharePoint サイトではなく、Microsoft インターネット インフォメーション サービス (IIS) によって行われます。IIS の既定の匿名ユーザー アカウントは、IUSR_ComputerName です。匿名アクセスを有効にすると、このアカウントは実際に SharePoint サイトにアクセスできるようになります。サイトへのアクセス、またはリストとライブラリへのアクセスを許可すると、匿名ユーザー アカウントにアイテムの表示権限が付与されます。ただし、アイテムの表示権限があっても、匿名ユーザーには制限があります。匿名ユーザーは以下の操作を行うことができません。

• Microsoft Office SharePoint Designer リモート プロシージャ コール (RPC) の使用。つまり、Office SharePoint Designer でサイトを開き、編集することはできません。また、DAV (Windows の Web フォルダ プロトコル) を使用できないので、[マイ ネットワーク] にサイトは表示されません。

• Wiki ライブラリを含むドキュメント ライブラリのドキュメントのアップロードまたは編集。

  重要

  サイト、リスト、またはライブラリのセキュリティを強化する場合は、匿名アクセスを有効にしないでください。匿名アクセスを有効にすると、ユーザーがリスト、ディスカッション、アンケートに投稿することができ、サーバーのディスク容量やその他のリソースが使い果たされる可能性があります。さらに、匿名アクセスを有効にすることで、匿名ユーザーがユーザーの電子メール アドレスやリスト、ライブラリ、ディスカッションに投稿した内容など、サイトの情報を検出することが可能になります。

同じ Web アプリケーションで異なるゾーン (インターネット、エクストラネット、イントラネット、その他) にコンテンツを提供している場合、これらのゾーンに匿名ユーザーの権限ポリシーを設定することもできます。ポリシーの一覧を以下に示します。

• なし   ポリシーはありません。これが既定値です。サイトの匿名ユーザーにさらに権限の制限や追加は適用されません。

• 閲覧   サイト管理者が匿名アクセスを無効にしない限り、匿名ユーザーはコンテンツを閲覧できます。

• 書き込み拒否   サイト管理者が匿名ユーザー アカウントに書き込み権限を特別に付与しようとしても、匿名ユーザーはコンテンツを書き込むことができません。

• すべて拒否   サイト管理者が匿名ユーザー アカウントにサイトへのアクセスを特別に許可しようとしても、匿名ユーザーはアクセスできません。

ワークシート

使用するセキュリティ グループおよびサイト階層の各レベルでそのグループに必要なアクセス許可レベルを記入するには、以下のワークシートを使用します。

• サイトおよびコンテンツのセキュリティ ワークシート (https://go.microsoft.com/fwlink/?linkid=73136&clcid=0x411)

このドキュメントをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。

• Windows SharePoint Services セキュリティ

入手可能なドキュメントの詳細な一覧については、「Windows SharePoint Services 3.0 テクニカル ライブラリ」を参照してください。