Управление разрешениями сайта администрирования общих служб
Сайт администрирования общих служб — это семейство сайтов, содержащее страницы администрирования для параметров общих служб для поставщика общих служб. Для администрирования любой из общих служб для Microsoft Office SharePoint Server 2007 требуется разрешение только просмотра для сайта, и группа просматривающих по умолчанию создается с этим разрешением. Администраторы семейства сайтов и другие пользователи с разрешением полного доступа к сайту могут добавлять других пользователей на сайт и управлять разрешениями сайта. Администраторы семейства сайта также могут добавлять разрешения участия и разработки для пользователей, которые настраивают страницы администрирования и другой контент на семействе сайтов.
Обычно администраторами семейства сайтов, или те, кто приобретают права полного доступа, становится один пользователь или небольшая группа пользователей. Администратор семейства сайтов выбирает одного или нескольких дополнительных пользователей с правами только на просмотр в группе просматривающих, который будет выступать в качестве администратора для одной или нескольких общих служб.
В этой статье:
Разрешения по умолчанию для сайта администрирования общих служб
Управление разрешениями после установки
Использование учетной записи центра администрирования для добавления пользователей на сайт администрирования общих служб
Требования задачи
Управление разрешениями сайта администрирования общих служб
Сайт администрирования общих служб создается во время установки Microsoft Office SharePoint Server 2007. В базовой установке одна учетная запись используется во время установки в качестве учетной записи администратора фермы по умолчанию и администратора веб-сайта администрирования общих служб. В базовой установке автоматически создается поставщик общей службы и сайт администрирования общих служб с использованием учетной записи администратора фермы по умолчанию.
Примечание
В базовой установке учетная запись администратора фермы создается для администратора семейства сайтов для веб-сайта администрирования общих служб.
В установке фермы эти учетные записи администратора можно назначать для двух уникальных учетных записей следующим образом:
Учетная запись администратора фермы по умолчанию используется для создания веб-приложений во время установки, включая веб-приложение и пул приложений для сайта администрирования общих служб. Учетная запись администратора фермы должна принадлежать к группе администраторов на сервере, на котором находится сайт администрирования общих служб. Если учетная запись администратора фермы также не входит в группу локальных администраторов, то веб-приложения не создаются.
Администратор фермы может добавить еще одну учетную запись администратора фермы, и эта отдельная учетная запись может использоваться для создания поставщика общих служб, включая базу данных поставщика общих служб и семейство сайтов для сайта администрирования общих служб. Впоследствии эта учетная запись становится администратором семейства сайтов для сайта администрирования общих служб. Для этой учетной записи включается разрешение полного доступа для веб-сайта администрирования общих служб. Для этой учетной записи также предоставляются все разрешения для услуг персонализации и каталога бизнес-данных.
Примечание
Рекомендуется создать эти две уникальные учетные записи. В большинстве установок ферм за администрирование ферм и общих служб будут отвечать различные пользователи, и использование двух отдельных учетных записей помогает повысить безопасность благодаря ограничению разрешений на авторизацию любой из учетных записей.
Чтобы сохранить безопасность, учетная запись администратора веб-сайта администрирования общих служб не может получить доступ на веб-сайт центра администрирования общих служб и не может выполнять запись в базу данных конфигурации.
Учетные записи администраторов фермы обладают полными правами доступа для чтения и записи в базу данных конфигурации, центр администрирования и базу данных поставщика общих служб, однако не имеют разрешений для сайта администрирования общих служб. Учетная запись администратора фермы, используемая для создания поставщика общих служб, обладает разрешением полного доступа на веб-сайт администрирования общих служб. Другие учетные записи, добавляемые в группу администраторов фермы, не будут иметь прав доступа к на веб-сайт администрирования общих служб. Эти разрешения кратко перечислены в следующей таблице.
| Учетная запись | База данных конфигурации | Сайт центра администрирования SharePoint | База данных поставщика общих служб | Сайт администрирования общих служб |
|---|---|---|---|---|
Администратор фермы |
Полный доступ |
Полный доступ |
Полный доступ |
Нет доступа (за исключением учетной записи, которая использовалась для создания поставщика общих служб, или если создана политика для веб-приложения) |
Администратор поставщика общих служб |
Нет доступа |
Нет доступа |
Полный доступ |
Полный доступ |
Примечание
Любой пользователь с разрешением полного доступа к веб-сайту центра администрирования SharePoint (включая администраторов фермы) может удалить веб-приложение поставщика общих служб с центра администрирования, однако это крайне не рекомендуется, поскольку может привести к нарушению работоспособности поставщика общих служб. В случае удаления веб-приложения единственным решением может быть восстановление поставщика общих служб из последней резервной копии. Дополнительные сведения о восстановлении из резервной копии см. в статье Резервное копирование и восстановление всей фермы (Office SharePoint Server 2007).
После установки администратор семейства сайтов по умолчанию для сайта администрирования общих служб сможет предоставить администраторам одной или нескольких общих служб разрешение только на просмотр данного сайта. Любой пользователь с разрешением только просмотра для сайта сможет управлять конечными ссылками в персонализированных услуга, а также администрировать функцию поиска и службы Excel. Пользователи с разрешениями для дополнительных служб смогут управлять разрешениями, профилями пользователей, личными сайтами, аудиториями, а также отчетами об использовании. Следует иметь в виду, что ни для одной из этих задач управления не требуются разрешения администратора. Администратор семейства сайтов также предоставляет разрешения служб для других пользователей после установки. Для получения дополнительных сведений о разрешениях на обслуживание см. разделы Управление разрешениями для служб личной настройки и Управление проверкой прав доступа для каталога бизнес-данных..
Управление разрешениями после установки
Администраторы семейства сайтов и другие пользователи с разрешением полного доступа могу добавлять других администраторов семейства сайтов в любое время. Они также могут создавать и управлять группами SharePoint, добавлять или удалять пользователей из группу, а также добавлять или удалять разрешения напрямую, аналогично тому, как это могут делать администраторы семейства сайтов для любого другого сайта. Доступные разрешения: полный доступ, участие и разработка, чтение и только просмотр.
Рекомендуются следующие действия:
Разрешение полного доступа должно представляться только администраторам семейства сайтов. Полным доступом к сайту должны обладать как можно меньше людей.
Примечание
Новые администраторы семейства сайтов не обладают подобными разрешениями обслуживания до тех пор, пока им не предоставит разрешение пользователь, Новые администраторы семейства сайтов не имеют никаких разрешений в отношении служб до тех пор, пока им не будут предоставлены эти разрешения пользователем с разрешением на управление.Исключения включают учетную запись администратора фермы, которая использовалась для создания поставщика общих служб и семейство сайтов для сайта администрирования общих служб, а также любую учетную запись, обладающую разрешением полного доступа в политике для веб-приложения для сайта администрирования общих служб. Этим учетным записям предоставляются все разрешения в отношении служб.
Большинству пользователей следует предоставить разрешение только на просмотр. Его достаточно доя доступа к страницам администрирования, если пользователь также облагает необходимыми разрешениями в отношениями служб.
Разрешения участия и разработки должны назначаться только для учетных записей, которые используются для настройки страниц администрирования или утверждения контента сайта, если эти учетные записи отличаются от учетной записи администратора семейства сайтов. Если настройки или утверждения контента не требуется, не используйте эти группы.
Дополнительные группы обычно не требуются, и их следует создавать только в том случае, если имеется конкретная бизнес-потребность в другом наборе разрешений, отличном от того, что предоставляется в группах по умолчанию для сайта администрирования общих служб.
Следует иметь в виду, что любой пользователь, обладающий разрешением только на простом в отношении сайта администрирования общих служб, может управлять настройками общих служб для поиска, служб вычислений Excel, а также настройкой конечных ссылок. Пользователи должны иметь дополнительные разрешения в отношении служб для управления соединениями импорта, профилями пользователей, аудиториями или отчетами по использованию. Дополнительные сведения о разрешениях служб см. в разделах Управление разрешениями для служб личной настройки и Управление проверкой прав доступа для каталога бизнес-данных..
Использование учетной записи администратора фермы для добавления пользователей на сайт администрирования общих служб
Администраторы семейства сайта для сайта администрирования общих служб могут добавлять или удалять любую учетную запись из любой группы, включая свои собственные учетные записи. В результате этого можем возникать ситуация, когда администратором семейства сайтов не является ни один из пользователей и разрешениями для сайта больше никто не управляет. Администраторы семейства сайтов должны быть внимательными, чтобы не оказаться в подобной ситуации. Однако если она все же возникнет, можно воспользоваться учетной записью администратора фермы для добавления администратора семейства сайтов для данного сайта. Администратор фермы также может добавлять разрешения служб для сайта, если разрешение на управление удалена для всех пользователей.
Требования задачи
Для выполнения процедур данной задачи требуется следующее:
- Администраторы должны быть администраторами сайтов на сайте администрирования общих служб.
Для управления разрешениями для сайта администрирования поставщика общих служб можно выполнить следующие процедуры:
См. также
Понятия
Управление разрешениями для служб личной настройки
Управление проверкой прав доступа для каталога бизнес-данных.