Поделиться через


Планирование ролей безопасности (Office SharePoint Server)

Содержание:

  • Администрирование на уровне фермы

  • Администрирование на уровне общей службы

  • Администрирование на уровне сайта

  • Таблица

Одна из новых возможностей в Microsoft Office SharePoint Server 2007 — это трехуровневая модель администрирования, позволяющая централизованно выполнять задачи настройки и администрирования и разграничивать административные роли, а также передавать и назначать администрирование соответствующим лицам в организации. Усовершенствования в модели администрирования могут помочь ИТ-организациям более эффективно и рационально выполнять административные задачи. Модель администрирования и группы SharePoint можно использовать, чтобы предоставлять только необходимые права для выполнения определенных задач на основе конкретных ролей в организации. Для более эффективного использования трехуровневой модели администрирования многие организации определяют специальные административные роли на каждом уровне. В данной статье описаны административные роли каждого уровня, которые можно использовать для управления решением.

Далее приводится описание каждого уровня администрирования.

  • Уровень 1: Администраторы на уровне фермы   Администраторы данного верхнего уровня получают разрешения на доступ ко всем серверам и службам на уровне фермы серверов, а также несут ответственность за них. Члены этой группы могут выполнять все задачи администрирования на веб-сайте центра администрирования SharePoint для сервера или фермы серверов.

  • **Уровень 2: Администраторы на уровне общей службы   **Администраторы данного уровня отвечают за администрирование и назначение администрирования общих служб. Указанные далее список и таблица описывают роли в данной категории:

    • Администратор семейства сайтов для сайта администрирования общих служб   Получают уровень разрешения полного доступа к сайту администрирования общих служб и разрешения на управление всеми общими службами, кроме управления пользователями и каталогом бизнес-данных.

      Примечание

      Административные разрешения на управление службами пользователей и каталога бизнес-данных автоматически предоставляются только учетной записи, назначенной администратором семейства сайтов при создании сайта администрирования общих служб.

    • Администраторы общих служб   Добавляются администратором семейства сайтов в качестве пользователей сайта администрирования общих служб, которым предоставлены разрешения, связанные с одной или более общей службой.

      В следующей таблице указаны роли безопасности и разрешения 2-го уровня, которые требуются для администрирования или управления общей службой. Полное описание каждой роли см. в разделе Администрирование на уровне общей службы далее в данной статье.

      Имя роли Минимальное требуемое разрешение Описание

      Администратор семейства сайтов для сайта администрирования общих служб

      Участие в группе администраторов семейства сайтов на сайте администрирования общих служб

      Пользователь с учетной записью, из которой осуществлялась установка Office SharePoint Server 2007, может администрировать все параметры на сайте администрирования общих служб. Учетные записи пользователей, которым было предоставлено участие после установки, не могут получать доступ к указанным далее страницам, если им специально не будет предоставлен доступ к этим страницам:

      • Профили и свойства пользователей.

      • Политики службы профилей.

      • Параметры личного сайта.

      Администратор службы поиска

      Доступ на чтение или более высокий уровень разрешения на сайте администрирования общих служб

      Администрирование всех параметров поиска в поставщике общих служб.

      Управляющий профилями пользователей

      Разрешение на управление профилями пользователей для служб профилей

      Добавление импорта подключений, управление профилями пользователей и настройка параметров личных сайтов.

      Управляющий аудиториями

      Разрешение на управление аудиториями для служб профилей

      Управление параметрами аудиторий в поставщике общих служб.

      Управляющий каталогом бизнес-данных

      Разрешения на редактирование или на редактирование и выполнение для каталога бизнес-данных

      Импорт определений приложений в каталог бизнес-данных, выбор объектов и свойств, используемых на сайтах и списках SharePoint, и выборочное выполнение методов с экземплярами объектов.

      Управляющий разрешениями для каталога бизнес-данных

      Разрешение на задание разрешений для каталога бизнес-данных

      Управление разрешениями для каталога бизнес-данных

      Управляющий разрешениями для служб профилей

      Разрешение на управление разрешениями для служб профилей

      Управление разрешениями для служб профилей.

      Администратор служб Excel

      Доступ на чтение или более высокий уровень разрешения на сайте администрирования общих служб

      Администрирование всех параметров служб Excel в поставщике общих служб.

      Управляющий отчетами об использовании

      Разрешение на управление данными анализа использования для служб профилей.

      Администрирование параметров отчетов об использовании в поставщике общих служб.

  • Уровень 3: Администраторы семейства сайтов   Администраторы семейства сайтов имеют разрешения полного доступа к своим семействам сайтов.

Дополнительные сведения о трехуровневой модели администрирования см. в статье Новые возможности Office SharePoint Server 2007 для ИТ-специалистов.

Службы Office SharePoint Server 2007 обеспечивают гибкость в назначении административных ролей. Централизованная модель управления позволяет назначать несколько ролей одному или двум лицам в организации. Распределенная модель управления, наоборот, дает возможность назначать определенные роли разным лицам в организации.

Администрирование на уровне фермы

Администрирование на уровне фермы, главным образом, осуществляется следующими ролями:

  • Администраторы фермы

  • Администраторы единого входа (в том числе администраторы определений корпоративных приложений)

  • Администраторы уровня серверов

Администраторы фермы

Администратор фермы имеет разрешения на все серверы фермы и отвечает за них. Группа SharePoint "Администраторы фермы" заменяет группу SharePoint "Администраторы", которая использовалась в службах Windows SharePoint Services версии 2.0. Членов группы "Администраторы фермы" не требуется добавлять в группу "Администраторы" каждого сервера. Администраторы фермы являются членами групп WSS_WPG и WSS_RESTRICTED_WPG на компьютерах, где размещен центр администрирования, и имеют уровень разрешений "Полный доступ" на все серверы в среде. По умолчанию члены группы "Администраторы" являются членами группы SharePoint "Администраторы фермы".

Члены группы "Администраторы фермы" имеют широкие возможности управления сайтом центра администрирования, но не могут выполнять некоторые действия (а именно, создавать веб-сайты служб IIS, создавать или удалять веб-приложения SharePoint, изменять пароли учетных записей или службы Windows) по причине определенных ограничений в IIS и Microsoft .NET Framework. По умолчанию членам группы "Администраторы фермы" не предоставляется доступ администратора к отдельным сайтам или их содержимому. Однако они могут управлять определенным семейством сайтов для просмотра любого содержимого. Например, если администратор семейства сайтов увольняется из организации и необходимо добавить нового администратора, администраторы фермы могут добавлять себя в качестве администраторов семейства сайтов, что записывается в журналах аудита. В таких случаях рекомендуется удалять разрешения администраторов на семейство сайтов после выполнения необходимого действия на уровне сайта. Группа "Администраторы фермы" используется только в центре администрирования, она недоступна для каких-либо сайтов.

Примечание

Любой пользователь с уровнем разрешения полного доступа к сайту центра администрирования может удалить веб-приложение поставщика общих служб с сайта центра администрирования, однако это крайне не рекомендуется, поскольку может привести к нарушению работоспособности поставщика общих служб. В случае удаления веб-приложения единственным решением может быть восстановление поставщика общих служб из последней резервной копии. Дополнительные сведения о восстановлении из резервной копии см. в статье Резервное копирование и восстановление всей фермы (Office SharePoint Server 2007).

Примечание

Хорошо подумайте о том, кого включить в группу администраторов локального сервера базы данных и кому предоставить предопределенные роли базы данных и сервера в Microsoft SQL Server. Дело в том, что эта группа и эти роли имеют полный доступ к базе данных конфигурации продуктов и технологий SharePoint.

В следующей таблице указаны задачи, которые могут выполнять члены группы администраторов фермы.

Группа SharePoint Существует ли эта роль по умолчанию? Возможные действия Невозможные действия

Администраторы фермы

Да

Выполнение административных задач в центре администрирования.

Получение прав владельца любого сайта содержимого.

Администрирование отдельных сайтов или содержимого сайтов, если не получены права владельца.

Управление личными сайтами.

Доступ к сайту администрирования общих служб.

Создание и удаление веб-приложений SharePoint.

Обновление учетных записей и паролей для существующих веб-приложений и служб NT.

Развертывание решений,которым требуется обновление глобального кэша сборок (GAC).

Восстановление из резервного копирования.

Дополнительные сведения о группе администраторов фермы см. в статье Выбор администраторов и владельцев для иерархической структуры администрирования (Office SharePoint Server).

Администраторы единого входа

Администраторы единого входа (SSO) устанавливают, настраивают и администрируют учетные записи единого входа, выполняют резервное копирование ключа шифрования, а также создают и изменяют ключ шифрования. Для обеспечения безопасности администратор единого входа должен зайти на сервер ключа шифрования локально, чтобы устанавливать, настраивать и управлять единым входом, поскольку удаленное управление параметрами сервера единого входа запрещено. С помощью учетной записи администратора единого входа также можно выполнять резервное копирование ключа шифрования.

В следующей таблице описаны роли администраторов единого входа.

Группа SharePoint Существует ли эта роль по умолчанию? Возможные действия Невозможные действия

Администраторы единого входа

Нет. Для администрирования необходимо включить службу единого входа, а затем создать группу SharePoint.

Создание и администрирование службы единого входа в Office SharePoint Server 2007, в том числе управление ключом шифрования.

Создание, изменение и удаление определений корпоративных приложений в рамках Office SharePoint Server 2007.

Изъятие билетов единого входа. В сценариях, в которых учетные записи проходят через промежуточную службу (например, Microsoft BizTalk Server) перед достижением определения корпоративного приложения, эта группа используется для предоставления промежуточным службам разрешений на изъятие билетов единого входа.

Управление отдельными сайтами и содержимым сайтов.

Управление личными сайтами.

Использование веб-сайта администрирования общих служб.

Использование центра администрирования.

Дополнительные сведения о едином входе см. в статье Планирование единого входа.

Администраторы определений корпоративных приложений

В среде единого входа фоновые внешние источники данных и системы относятся к корпоративным приложениям. После настройки среды единого входа можно создавать определения корпоративных приложений. Администраторы определений корпоративных приложений выполняют следующие задачи:

  • Создание, удаление и управление определениями корпоративных приложений.

  • Обновление учетных записей и учетных данных, которые используются для доступа к корпоративным приложениям.

Администраторы определений корпоративных приложений могут управлять определениями корпоративных приложений удаленно. Дополнительные сведения об определениях корпоративных приложений см. в разделе "Определения корпоративных приложений" статьи Планирование единого входа.

В следующей таблице описаны роли администраторов определений корпоративных приложений.

Группа SharePoint Существует ли эта роль по умолчанию? Возможные действия Невозможные действия

Администраторы определений корпоративных приложений

Нет. Для администрирования следует включить службу единого входа. Необходима учетная запись глобальной группы или учетная запись отдельного пользователя. Эта учетная запись не может быть локальной группой домена или списком рассылки.

Создание, управление и удаление определений корпоративных приложений.

Обновление учетных записей и учетных данных корпоративных приложений.

Администрирование отдельных сайтов и содержимого.

Примечание

Возможность администрирования сайтов только,если разрешения на чтение предоставлены явно. По умолчанию разрешения на чтение не предоставлены.

Управление личными сайтами.

Доступ к веб-сайту администрирования общих служб.

Доступ к центру администрирования.

Администратор уровня серверов

Участники группы администраторов на локальном сервере автоматически добавляются в группу SharePoint администраторов фермы и могут выполнять все действия администраторов фермы. Группа "Администраторы" является группой Windows, а не группой SharePoint, но группа "Администраторы" на локальном компьютере может выполнять определенные действия администрирования в службах Office SharePoint Server 2007. Подобно администраторам фермы, участники группы "Администраторы" на локальном компьютере не получают доступ администратора к содержимому сайта по умолчанию. Однако при необходимости они могут управлять определенными семействами сайтов. Для получения доступа они могут добавить себя в качестве администраторов семейства сайтов на странице "Администраторы семейства сайтов" в центре администрирования.

В приведенной ниже таблице описана роль администратора уровня серверов.

Группа Существует ли эта роль по умолчанию? Возможные действия Невозможные действия

Администраторы

Да. Группа Windows по умолчанию; не группа SharePoint.

Установка продуктов.

Создание новых веб-приложений и новых веб-сайтов служб IIS.

Запуск служб.

Развертывание веб-частей и новых функций в глобальном кэше сборок.

Выполнение всех задач уровня фермы в центре администрирования (при условии, что сайт центра администрирования расположен на локальном компьютере).

Запуск средства командной строки Stsadm.

Примечание

Для запуска средства командной строки Stsadm пользователь обязательно должен быть администратором уровня серверов. В зависимости от фактически выполняемой команды, могут потребоваться дополнительные права. Например, выполнение команды stsadm.exe –o deleteweb требует, чтобы учетная запись имела доступ для записи в базу данных контента, в которой находится веб-приложение.

Управление отдельными сайтами и содержимым сайтов.

Управление личными сайтами.

Управление базами данных.

Администрирование на уровне общей службы

Одной из новых функций в модели администрирования Office SharePoint Server 2007 является возможность организации назначать администрирование одной или более общей службы. Для больших организаций назначение администрирования общих служб может быть преимуществом. В данном случае администратор семейства сайтов для сайта администрирования общих служб определяет, назначать ли эти задачи одному или более администратору общих служб. В меньших организациях делегация служб может не практиковаться, в этом случае один администратор администрирует все общие службы.

К администрированию на уровне общих служб относятся следующие роли:

  • Администратор семейства сайтов для сайта администрирования общих служб

  • Администратор общих служб

Администратор семейства сайтов для сайта администрирования общих служб

Администратор семейства сайтов получает уровень разрешения полного доступа к сайту администрирования общих служб. Для установки Office SharePoint Server 2007 и создания поставщика общих служб требуется учетная запись администратора фермы. По умолчанию учетная запись администратора фермы, с помощью которой был создан поставщик общих служб, представляет администратора семейства сайтов для сайта администрирования общих служб и получает возможность управлять разрешениями для общих служб пользователей и каталога бизнес-данных.

  • В приведенной ниже таблице описана роль администратора семейства сайтов.
Административные роли Добавление роли Возможные действия Невозможные действия

Администратор семейства сайтов для сайта администрирования общих служб

Учетная запись администратора фермы, с помощью которой был создан поставщик общих служб, автоматически добавляется в качестве администратора семейства сайтов и может администрировать все параметры на сайте администрирования общих служб.

Использование веб-сайта администрирования общих служб с уровнем разрешения полного доступа.

Настройка отчетов об использовании.

Добавление пользователей в группу читателей по умолчанию для сайтов, содержащих личные сайты и профили.

Создание личных сайтов.

Управление сайтами и профилями пользователей.

Настройка разрешений для определенных служб и назначение администрирования общих служб другим пользователям.

Управление отдельными сайтами и содержимым сайтов.

Дополнительные учетные записи, которым было предоставлено участие после установки, не могут получить доступ с указанным далее страницам, если им специально не предоставят доступ:

  • Профили и свойства пользователей.

  • Политики службы профилей.

  • Параметры личного сайта.

  • Импорт определения приложения для каталога бизнес-данных

  • Включение и выключение отчетов об использовании

Действие листа

В ресурсе Таблица ­"Администраторы и владельцы­" (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x419) (на английском языке) в столбце поставщика общих служб или имени службы укажите Администратор семейства сайтов для сайта администрирования общих служб, а затем перечислите пользователей или учетные записи, которые необходимо назначить.

Администратор общих служб

Можно назначить администрирование для общей службы. Чтобы это сделать, администратор семейства сайтов для сайта администрирования общих служб добавляет пользователей к сайту администрирования общих служб. Каждый пользователь, добавленный в группу посетителей сайта администрирования общих служб, получает разрешения на чтение и может управлять поиском, службами Excel, профилями и свойствами пользователей, политиками служб профилей и параметрами личных сайтов. Кроме того, пользователь, добавленный к сайту администрирования общих служб в качестве администратора общих служб, может предоставлять разрешения на администрирование общей службы пользователей с помощью ссылки Разрешения служб личной настройки или администрировать общую службу каталога бизнес-данных с помощью ссылки Разрешения каталога бизнес-данных. Таким образом, необходимо тщательно выбирать пользователей, которые будут добавлены к сайту администрирования общих служб.

Важно!

Для управления общей службой пользователь должен в первую очередь быть добавлен к сайту администрирования общих служб администратором семейства сайтов для сайта администрирования общих служб. После добавления к сайту администрирования общих служб пользователь автоматически получает разрешения на управление службами Excel, поиском, профилями и свойствами пользователей, политиками служб профилей и параметрами личных сайтов. Дополнительные разрешения на управление службами пользователей и каталога бизнес-данных предоставляются отдельным пользователям на страницах "Управление разрешениями" соответствующих служб.

В следующем разделе описаны различные роли администраторов общих служб и управляющих общих служб.

Администратор службы поиска

Администраторы службы поиска управляют несколькими аспектами системы поиска, которые поддерживают основы использования поиска на сайтах. К этим аспектам относится обход контента для создания индекса, а также создание общих областей поиска, что позволяет пользователям выполнять поиск в поднаборах содержимого. Администраторы службы поиска определяют структуру содержимого сайта, чтобы упростить пользователям поиск, внесение и работу с содержимым сайта.

Важно!

По умолчанию любой пользователь, получивший минимальное разрешение на чтение сайта администрирования общих служб, получает и разрешения на управление параметрами поиска, отчетами об использовании поиска, службами Excel, профилями и свойствами пользователей, политиками профилей пользователей и параметрами личных сайтов.

В следующей таблице описаны задачи, которые может выполнять администратор службы поиска.

Административные роли Добавление роли Возможные действия Невозможные действия

Администратор службы поиска

Администратор семейства сайтов для сайта администрирования общих служб добавляет пользователя к сайту администрирования общих служб.

Создание источников контента и расписаний отчетов и управление ими.

Управление типами файлов.

Создание и управление учетной записью доступа к содержимому по умолчанию.

Создание сопоставлений имени сервера.

Включение и отключение связанных с поиском предупреждений.

Создание и управление областями поиска.

Указание достоверных веб-страниц.

Управление свойствами метаданных.

Доступ к сайту центра администрирования.

Действие листа

В ресурсе Таблица ­"Администраторы и владельцы­" (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x419) (на английском языке), в столбце поставщика общих служб или имени службы укажите Администратор службы поиска, а затем перечислите пользователей или учетные записи, которые необходимо назначить.

Управляющий профилями пользователей

Службы профилей — это общие службы для функций пользователей и личных настроек. Службы профилей подключаются к базам данных информации о пользователях из различных источников и интегрируют эту информацию в профили пользователей, которые составляют основу для мощных функций личных настроек. Управляющие профилями пользователей импортируют информацию о пользователях из служб каталогов, например из службы каталогов Active Directory и протокола LDAP, а также из бизнес-приложений, например SAP, с помощью каталога бизнес-данных.

Можно настраивать содержимое для каждого пользователя в организации, позволив администраторам устанавливать политики защиты конфиденциальности. В следующей таблице описаны роли управляющих профилями пользователей.

Административные роли Добавление роли Возможные действия Невозможные действия

Управляющий профилями пользователей

Администратор семейства сайтов предоставляет пользователю доступ к сайту администрирования общих служб, а затем управляющий профилями пользователей предоставляет пользователю разрешение на управление профилями пользователей на странице "Управление разрешениями: права для общих служб". Эта страница доступна при нажатии на ссылку Разрешения служб личной настройки.

Настройка и управление профилями пользователей.

Обзор и редактирование свойств профилей пользователей.

Настройка параметров и разрешений личных сайтов

Настройка политик служб профилей.

Управление ссылками на личные настройки, ссылками на доверенные размещения личных сайтов и ссылками клиентских приложений Office.

Доступ к страницам службы поиска и служб Excel, хотя эти задачи не связаны с данной ролью.

Доступ к сайту центра администрирования.

Управление аудиториями, если управляющий разрешениями служб профилей специально не предоставит разрешения на управление аудиториями.

Управление разрешениями, если управляющий разрешениями служб профилей специально не предоставит разрешения на управление разрешениями.

Управление отчетами об использовании, если специально не предоставлены разрешения на управление данными анализа использования.

.

Управляющий аудиториями

В Office SharePoint Server 2007 можно создавать аудитории, используя данные из профилей пользователей с помощью правил. Эти правила могут быть определены с помощью свойств профилей пользователей, например отделов и обязанностей, реляционной информации, например иерархии отчетов, или участия пользователей в списке рассылки и группе безопасности. В следующей таблице перечислены роли управляющего аудиториями.

Административные роли Добавление роли Возможные действия Невозможные действия

Управляющий аудиториями

Управляющий разрешениями служб профилей предоставляет пользователю разрешение на управление аудиториями на странице "Управление разрешениями: права для общих служб". Эта страница доступна при нажатии на ссылку Разрешения служб личной настройки.

Создание, компиляция и управление аудиториями и правилами аудиторий.

Обзор участия в аудиториях.

Управление ссылками на личные настройки, ссылками на доверенные размещения личных сайтов и ссылками клиентских приложений Office.

Доступ к страницам администрирования службы поиска и служб Excel.

Управление профилями пользователей или личными сайтами, если специально не предоставлены разрешения на управление профилями пользователей.

Управление каталогом бизнес-данных, если специально не предоставлено одно или более разрешение для каталога бизнес-данных.

Управление разрешениями, если специально не предоставлено разрешение на управление разрешениями.

Управление отчетами об использовании, если специально не предоставлены разрешения на управление данными анализа использования.

Доступ к странице центра администрирования.

Дополнительные сведения о настройке параметров и разрешений личных настроек см. в статье Настройка разрешений личной настройки.

Действие листа

В ресурсе Таблица ­"Администраторы и владельцы­" (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x419) (на английском языке) в столбце поставщика общих служб или имени службы укажите Управляющий профилями пользователей или Управляющий аудиториями, а затем перечислите пользователей или учетные записи, которые необходимо назначить.

Управляющий каталогом бизнес-данных

Управляющий каталогом бизнес-данных ответственен за регистрацию бизнес-приложений, а также выбранных типов и свойств бизнес-данных этих приложений. Управление каталогом бизнес-данных выполняется из страницы администрирования общих служб для каждого поставщика общих служб. Для каждого бизнес-приложения, которое используется веб-приложением и семействами сайтов поставщика общих служб, необходимо сначала зарегистрировать бизнес-приложение, а также типы и свойства бизнес-данных, которые следует предоставить пользователям, выполнив импортирование определение приложения для приложения.

В следующей таблице перечислены задачи, которые может выполнять управляющий каталогом бизнес-данных.

Административные роли Добавление роли Возможные действия Невозможные действия

Управляющий каталогом бизнес-данных

Управляющий разрешениями каталога бизнес-данных предоставляет пользователю разрешения на редактирование, а также на редактирование и выполнение для каталога бизнес-данных на странице "Управление разрешениями".

Импорт определений приложений в каталог бизнес-данных для бизнес-приложений.

Настройка типов (сущностей) и свойств бизнес-данных для каждого приложения.

Выполнение методов в экземплярах сущностей с разрешением на выполнение.

Обзор приложений и сущностей, а также редактирование шаблона страниц профиля и создание пользовательских бизнес-действий.

Управление поиском для источников контента бизнес-данных. Управление ссылками на личные настройки, ссылками на доверенные размещения личных сайтов и ссылками других клиентский приложений Office, хотя эти задачи не связано с данной ролью.

Доступ к страницам служб Excel, хотя эти задачи не связаны с данной ролью.

Управление разрешениями каталога бизнес-данных, если управляющий разрешениями для каталога бизнес данных специально не предоставит разрешения на задание разрешений.

Настройка списков, веб-частей и сайтов бизнес-данных, если управляющий разрешениями для каталога бизнес данных специально не предоставит пользователю, который также является администратором семейства сайтов или владельцем сайта, разрешения на выбор в клиентах.

Управление отчетами об использовании, если специально не предоставлены разрешения на управление данными анализа использования.

Доступ к любым другим общим службам, кроме служб Excel и поиска.

Доступ к сайту центра администрирования.

Дополнительные сведения о функциях бизнес-анализа см. в статье Настройка возможностей бизнес-аналитики.

Действие листа

В ресурсе Таблица ­"Администраторы и владельцы­" (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x419) (на английском языке) в столбце поставщика общих служб или имени службы укажите Управляющий каталогом бизнес-данных, а затем перечислите пользователей или учетные записи, которые необходимо назначить.

Управляющий разрешениями для каталога бизнес-данных

Управляющий разрешениями для каталога бизнес-данных отвечает за управление разрешениями всех параметров каталога бизнес-данных. Чтобы пользователь имел возможность использовать общие службы каталога бизнес-данных, следует выбрать Задание разрешений на странице "Управление разрешениями: каталог бизнес-данных". В следующей таблице описаны задачи, которые может выполнять управляющий разрешениями для каталога бизнес-данных.

Административные роли Добавление роли Возможные действия Невозможные действия

Управляющий разрешениями для каталога бизнес-данных

Администратор семейства сайтов по умолчанию для сайта администрирования общих служб, которому предоставлено разрешение на задание разрешений во время установки, предоставляет разрешение на задание разрешений другому пользователю на странице "Управление разрешениями: каталог бизнес-данных". Эта страница доступна при нажатии на ссылку Разрешения каталога бизнес-данных.

Настройка каталога бизнес-данных.

Управление ссылками на личные настройки, ссылками на доверенные размещения личных сайтов и ссылками других клиентских приложений Office, хотя эти задачи не связаны с данной ролью.

Доступ к страницам службы поиска и служб Excel, хотя эти задачи не связаны с данной ролью.

Доступ к сайту центра администрирования.

Управление разрешениями для служб профилей.

Управление профилями пользователей или личными сайтами, если специально не предоставлены разрешения на управление профилями пользователей.

Управление аудиториями, если администратор семейства сайтов специально не предоставит разрешения на управлениями аудиториями.

Управление отчетами об использовании, если специально не предоставлены разрешения на управление данными анализа использования.

Действие листа

В ресурсе Таблица ­"Администраторы и владельцы­" (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x419) (на английском языке) в столбце поставщика общих служб или имени службы укажите Управляющий разращениями для каталога бизнес-данных, а затем перечислите пользователей или учетные записи, которые необходимо назначить.

Управляющий разрешениями для служб профилей

Управляющий разрешениями для службы профилей ответственен за администрирование разрешений для служб профилей. Управляющий использует ссылку на Разрешения служб личной настройки сайта администрирования общих служб для задания разрешений. В следующей таблице описаны задачи, которые может выполнять управляющий разрешениями для служб профилей.

Административные роли Добавление роли Возможные действия Невозможные действия

Управляющий разрешениями для служб профилей

Администратор семейства сайтов по умолчанию для сайта администрирования общих служб, которому предоставлено разрешение на управление разрешениями во время установки, предоставляет разрешение на управление разрешениями другому пользователю на странице "Управление разрешениями: права для общих служб". Эта страница доступна при нажатии на ссылку Разрешения служб личной настройки.

Настройка разрешений служб личной настройки

Управление ссылками на личные настройки, ссылками на доверенные размещения личных сайтов и ссылками других клиентских приложений Office, хотя эти задачи доступны любому пользователю с доступом к сайту администрирования общих служб.

Доступ к страницам службы поиска и служб Excel, хотя эти задачи не связаны с данной ролью.

Управление разрешениями для каталога бизнес-данных.

Управление профилями пользователей или личными сайтами, если специально не предоставлены разрешения на управление профилями пользователей.

Управление аудиториями, если администратор семейства сайтов для сайта администрирования общих служб специально не предоставит разрешения на управление аудиториями.

Управление отчетами об использовании, если специально не предоставлены разрешения на управление данными анализа использования.

Управление каталогом бизнес-данных, если специально не предоставлено одно или более разрешение для каталога бизнес-данных.

Доступ к сайту центра администрирования.

Действие листа

В ресурсе Таблица ­"Администраторы и владельцы­" (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x419) (на английском языке) в столбце поставщика общих служб или имени службы укажите Управляющий разрешениями для служб профилей, а затем перечислите пользователей или учетные записи, которые необходимо назначить.

Администратор служб Excel

Службы Excel позволяют пользователям эффективно выполнять вычисление в серверной рабочей книге и предоставляют администраторам возможность контролировать доступ к рабочим книгам, а также защищать личные данные и интеллектуальную собственность. Это обеспечивает защиту данных в рабочих книгах, в то же время пользователи в полной мере используют возможности обновления данных и повторных вычислений.

В следующей таблице описаны задачи, которые может выполнять администратор служб Excel.

Административные роли Добавление роли Возможные действия Невозможные действия

Администратор служб Excel

Администратор семейства сайтов для сайта администрирования общих служб должен добавить пользователя к сайту администрирования общих служб.

Добавление доверенных расположений файлов.

Добавление доверенных поставщиков данных.

Добавление доверенных библиотек подключения данных.

Добавление сборок пользовательских функций.

Изменение параметров служб Excel.

Доступ к другим страницам администрирования, например к странице "Приложения каталога бизнес-данных".

Доступ к сайту центра администрирования.

Запуск и управление службой единого входа.

Запуск или остановка служб вычислений Excel или других служб.

Запуск административных операций командной строки Stsadm.

Дополнительные сведения о службах Excel см. в статье Планирование безопасности служб Excel.

Действие листа

В ресурсе Таблица ­"Администраторы и владельцы­" (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x419) (на английском языке) в столбце поставщика общих служб или имени службы укажите Администратор служб Excel, а затем перечислите пользователей или учетные записи, которые необходимо назначить.

Управляющий отчетами об использовании

Отчеты об использовании — это служба, позволяющая администраторам семейств сайтов, владельцам сайтов и администраторам общих служб отслеживать статистику использования их сайтов. Отчеты об использовании также содержат отчеты об использовании запросов поиска, которые могут просмотреть администраторы служб поиска и администраторы семейств сайтов. В следующей процедуре показан трехшаговый процесс настройки отчетов об использовании.

Настройка отчетов об использовании

  1. Администратор фермы включает использование Windows SharePoint Services путем входа на ферму, на которой размещено веб-приложение, содержащее поставщика общих служб.

  2. Управляющий отчетами об использовании включает и настраивает службу отчетов об использовании.

  3. Администраторы семейств сайтов могут активировать функцию отчетов, чтобы включить отчеты об использовании на их семействах сайтов.

В следующей таблице описаны задачи, которые может выполнять управляющий отчетами об использовании.

Административные роли Добавление роли Возможные действия Невозможные действия

Управляющий отчетами об использовании

Управляющий разрешениями для служб профилей предоставляет пользователю разрешение на управление данными анализа использования.

Включение службы отчетов об использовании с помощью сайта администрирования общих служб. Для просмотра и редактирования использования сайта или семейства сайтов владельцу сайта или администраторам семейства сайтов предоставляется задача. Она не может быть предоставлена до того, как управляющий отчетами об использовании включит отчеты об использовании.

Включение сбора данных о запросах поиска.

Доступ к любым другим общим службам, кроме тех, которые доступны для всех пользователей с доступом на чтение сайта администрирования общих служб.

Доступ к сайту центра администрирования.

Дополнительные сведения о службе отчетов об использовании см. в статье Настройка отчетов об использовании.

Действие листа

В ресурсе Таблица ­"Администраторы и владельцы­" (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x419) (на английском языке) в столбце поставщика общих служб или имени службы укажите Управляющий отчетами об использовании, а затем перечислите пользователей или учетные записи, которые необходимо назначить.

Администрирование на уровне сайта

Администрирование на уровне сайта включает следующие роли:

  • Администраторы семейства сайтов

  • Владельцы сайта

Администраторы семейства сайтов

Администраторы семейства сайтов получают уровень разрешений полного доступа ко всем веб-сайтам и содержимому в семействе сайтов. На уровне семейства сайтов администраторы семейства сайтов управляют параметрами (например, функциями семейств сайтов, параметрами аудита семейства сайтов и политиками семейства сайтов) на странице "Параметры сайта" для сайта верхнего уровня. При создании семейства сайтов можно указать главных и дополнительных администраторов семейства сайтов. Администратор семейства сайтов является пользователем с отметкой в базе данных контента, определяющей возможность выполнения администраторами всех действий в семействе сайтов, в том числе всех задач для определенных сайтов с семейством сайтов. Эту отметку можно изменить на странице "Администраторы семейства сайтов" центра администрирования, на странице "Параметры сайта" для сайта верхнего уровня или при помощи операции владельца сайта в средстве командной строки Stsadm. Как правило, администраторы семейства сайтов назначаются во время создания сайта, но их можно изменить в центре администрирования или на страницах параметров сайта.

В приведенной ниже таблице описана роль администратора семейства сайтов.

Группа SharePoint Существует ли эта роль по умолчанию? Возможные действия Невозможные действия

Администратор семейства сайтов

Да

Выполнение всех задач администрирования для сайтов в семействе сайтов.

Доступ к сайту центра администрирования.

Владельцы сайта

Владельцы сайта — это пользователи, которым специально предоставляется уровень разрешений полного доступа к сайту или непосредственно, или через членство в группе SharePoint. Это может быть группа владельцев с уровнем разрешений полного доступа к сайту. Владельцы сайта могут выполнять задачи, относящиеся исключительно к сайту, а не ко всему семейству сайтов.

Примечание

Создатель сайта автоматически добавляется в группу владельцев сайта.

В следующей таблице описаны задачи, которые могут выполнять владельцы сайтов.

Группа SharePoint Существует ли эта роль по умолчанию? Возможные действия Невозможные действия

Владельцы <имя сайта>

Да

Администрирование сайта, но не всего семейства сайтов.

Выполнение задач администрирования для документов, списков и библиотек.

Доступ к сайту центра администрирования.

Доступ к сайту администрирования общих служб.

Выполнение задач администрирования семейства сайтов, таких как восстановление элементов из корзины второго уровня и управление иерархией сайта.

Дополнительные сведения об администрировании на уровне сайта см. в статье Выбор администраторов и владельцев для иерархической структуры администрирования (Office SharePoint Server).

Форма

Следующая таблица используется при планировании ролей безопасности.

Загрузите эту книгу

Этот раздел включен в следующую загружаемую книгу для удобства чтения и печати:

Полный список доступных книг приведен в разделе Загружаемые материалы для Office SharePoint Server 2007.

См. также

Понятия

Запуск службы единого входа
Настройка единого входа (Office SharePoint Server)
Определение требуемых уровней разрешения и групп (Office SharePoint Server)
Планирование поставщиков общих служб
Планирование пользователей и профилей пользователей
Планирование персонализированного содержимого и сайтов
Планирование подключений бизнес-данных с использованием каталога бизнес-данных
Настройка доступа к бизнес-данным
Настройка служб Excel