Поделиться через


Определение требуемых уровней разрешений и групп (Windows SharePoint Services)

Содержание:

  • Обзор доступных групп по умолчанию

  • Обзор доступных уровней разрешений

  • Определение потребности в дополнительных уровнях разрешений или группах

  • Таблица

Наиболее важное решение, касающееся безопасности сайта и контента в Windows SharePoint Services 3.0, состоит в том, как распределить пользователей по категориям и какие уровни разрешений им присвоить.

В SharePoint имеется несколько групп по умолчанию, с помощью которых можно распределить пользователей по категориям в зависимости от вида их деятельности, но могут существовать и уникальные требования или другие подходы к группированию пользователей. Подобно этому имеется несколько уровней разрешений по умолчанию, но они не всегда могут точно соответствовать задачам, стоящим перед группами.

В данной статье рассматриваются группы и уровни разрешений по умолчанию, после ознакомления с которыми можно принять решение, использовать ли их "как есть", настроить их или создать другие группы и уровни разрешений.

Обзор доступных групп по умолчанию

В случае групп SharePoint речь идет об управлении коллективами пользователей, а не отдельными пользователями. Группы SharePoint могут состоять из нескольких индивидуальных пользователей, могут включать в себя одну группу безопасности Windows или могут быть комбинацией этих двух вариантов. Группы SharePoint не предоставляют никаких особых прав на сайте; они просто являются способом объединения нескольких пользователей. В зависимости от размера и сложности организации или веб-сайта можно распределить пользователей по нескольким группам или ограничиться совсем небольшим числом групп.

Группы SharePoint по умолчанию, создаваемые для сайтов в Windows SharePoint Services 3.0, приведены в следующей таблице.

Имя группы Уровень разрешений по умолчанию

Посетители <имя сайта>

Чтение

Участник <имя сайта>

Участие

Владельцы <имя сайта>

Полный доступ

Кроме того, для решения задач администрирования более высокого уровня доступны следующие особые пользователи и группы:

  • Администраторы семейства сайтов   Одного или нескольких пользователей можно назначить главными и дополнительными администраторами семейства сайтов. Эти пользователи записаны в базе данных как контактные лица для данного семейства сайтов, они имеют полный доступ ко всем сайтам данного семейства, могут проверять контент сайта и получать любые административные предупреждения (например проверить, используется ли данный сайт). Обычно администраторы семейства сайтов назначаются при создании сайта, но в случае необходимости их можно заменить, используя веб-сайт центра администрирования или страницы параметров сайта.

  • **Администраторы фермы   **Эти лица определяют, какие пользователи могут управлять сервером и параметрами фермы серверов. Наличие группы администраторов фермы исключает необходимость добавления пользователей в группу администраторов для сервера или в группу администраторов SharePoint, которая использовалась в Windows SharePoint Services версии 2.0. По умолчанию администраторы фермы не имеют доступа к контенту сайта; для просмотра любого контента они должны стать владельцами сайта. Чтобы это сделать, они добавляют себя как администраторов семейства сайтов, и эта операция регистрируется в журналах аудита. Группа администраторов фермы используется только в центре администрирования и недоступна для любого сайта.

  • **Администраторы   **Члены группы администраторов на локальном сервере могут выполнять все операции администратора фермы и ряд других, включая:

    • Установку новых продуктов или приложений

    • Развертывание веб-частей и новых функций в глобальном кэше сборок

    • Создание новых веб-приложений и веб-сайтов IIS

    • Запуск служб

    Члены группы администраторов на локальном сервере, как и члены группы администраторов фермы, по умолчанию не имеют доступа к контенту сайта.

После формирования необходимых групп определите уровни разрешений, которые должны быть присвоены каждой группе на вашем сайте.

Действие листа

Для записи всех групп, которые требуется создать, используется лист Пользовательские уровни разрешений и группы (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73133&clcid=0x419) (на английском языке).

Обзор доступных уровней разрешений

Возможность просматривать или изменять конкретный сайт, а также управлять им, определяется уровнем разрешений, присвоенным пользователю или группе. Этот уровень разрешений указывает все разрешения для данного сайта и всех дочерних сайтов, списков, библиотек документов, папок, а также элементов или документов, которые наследуют разрешения сайта. Без соответствующих уровней разрешений пользователи могут оказаться неспособными решить поставленные перед ними задачи либо им может быть предоставлена возможность решать те задачи, которые не предполагалось им поручать.

По умолчанию доступны следующие уровни разрешений:

  • **Ограниченный доступ   **Включает разрешения, позволяющие пользователям просматривать конкретные списки, библиотеки документов, элементы списков, папки или документы.

  • **Чтение   **Включает разрешения, позволяющие пользователям просматривать элементы на страницах сайта.

  • **Участие   **Включает разрешения, позволяющие пользователям добавлять или изменять элементы на страницах сайта или в списках и библиотеках документов.

  • **Проектирование   **Включает разрешения, позволяющие пользователям изменять макет веб-страниц с помощью браузера или Microsoft Office SharePoint Designer 2007.

  • **Полный доступ   **Включает все разрешения.

Дополнительные сведения о разрешениях, включенных в уровни разрешений по умолчанию, см. в разделе Пользовательские разрешения и уровни разрешений.

Определение необходимости дополнительных уровней разрешений или групп

Группы и уровни разрешений предназначены для того, чтобы предоставить общую структуру для разрешений, охватывающую широкий спектр типов организаций и ролей в этих организациях. Однако эта структура может не отражать во всех подробностях конкретные особенности вашей организации или все разнообразие задач, которые решают пользователи на ваших сайтах. Если группы и уровни разрешений по умолчанию не соответствуют потребностям организации, можно создать пользовательские группы, изменить разрешения, включенные в конкретные уровни разрешений или создать пользовательские уровни разрешений.

Потребность в пользовательских группах

Решение создать пользовательские группы является вполне очевидным и мало повлияет на безопасность сайта. По существу, создание пользовательских групп вместо использования групп по умолчанию целесообразно в следующих ситуациях:

  • В организации имеется больше (или меньше) ролей пользователей, чем предусмотрено в группах по умолчанию. Например, если кроме разработчиков в организации имеется ряд сотрудников, в задачу которых входит публикация контента на сайте, может оказаться полезной группа "Издатели".

  • В организации имеются широко известные названия уникальных ролей, решающих совершенно различные задачи. Например, если создается общедоступный сайт для продажи продукции организации, может оказаться полезной группа "Клиенты", создаваемая вместо групп "Посетители" или "Наблюдатели".

  • Есть необходимость сохранить однозначное соответствие между группами безопасности Windows и группами SharePoint. (Например, в организации имеется группа безопасности для управляющих веб-сайтов, и требуется использовать это имя как имя группы для простоты идентификации при управлении сайтом).

  • Вы предпочитаете другие имена групп.

Потребность в пользовательских уровнях разрешений

Решение создать пользовательские уровни разрешений менее очевидно, чем решение о создании пользовательских групп SharePoint. Если изменяются разрешения, присвоенные конкретному уровню разрешений, необходимо понимать последствия такого изменения, проверить, как оно повлияет на все группы и сайты, имеющие отношение к этому изменению, и убедиться, что данное изменение не окажет отрицательного влияния на безопасность или на работоспособность и производительность сервера.

Например, с точки зрения безопасности, если уровень разрешений "Участие" изменяется таким образом, чтобы включить разрешение "Создание дочерних узлов", которое обычно относится к уровню разрешений "Полный доступ", то "Участники" смогут создавать свои собственные дочерние веб-сайты, приглашать на них злонамеренных пользователей или помещать нежелательный контент. Что касается работоспособности, то если уровень разрешений "Чтение" изменяется таким образом, чтобы включить разрешение "Создание оповещений", которое обычно относится к уровню разрешений "Участие", все члены группы "Посетители" смогут создавать оповещения и это может привести к перегрузке серверов.

Изменение настройки уровней разрешений по умолчанию целесообразно в следующих ситуациях:

  • Уровень разрешений по умолчанию включает все разрешения, кроме одного, которое необходимо пользователям для выполнения их работы, и вы хотите добавить это разрешение.

  • Уровень разрешений по умолчанию включает разрешение, в котором пользователи не нуждаются.

    Примечание

    Не следует изменять настройку уровней разрешений по умолчанию, если организация озабочена конкретным разрешением по соображениям безопасности или каким-либо другим причинам и хочет сделать это разрешение недоступным для всех пользователей, которым присвоен этот уровень разрешений или другие уровни, включающие данное разрешение. В этом случае следует просто отключить это разрешение для всех веб-приложений в ферме серверов, а не изменять все уровни разрешений. Чтобы изменить разрешения для веб-приложений, в центре администрирования на странице "Управление решениями" щелкните Разрешения пользователя для веб-приложения в разделе Безопасность приложений.

Если требуется внести несколько изменений в конкретный уровень разрешений, лучше создать пользовательский уровень разрешений, включающий все необходимые разрешения.

Создание дополнительных уровней разрешений может оказаться целесообразным в следующих ситуациях:

  • Необходимо исключить несколько разрешений из конкретного уровня разрешений.

  • Необходимо определить уникальный набор разрешений для нового уровня разрешений.

Чтобы создать уровень разрешений, можно скопировать существующий уровень разрешений и внести в него изменения или создать уровень разрешений и выбрать необходимые разрешения.

Примечание

Некоторые разрешения зависят от других разрешений. Если удаляется разрешение, от которого зависит другое разрешение, это другое разрешение тоже удаляется.

Действие листа

Для записи всех уровней разрешений, которые требуется изменить или создать, используйте лист Пользовательские уровни разрешений и группы (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73133&clcid=0x419) (на английском языке).

Форма

Для определения требуемых уровней разрешений и групп используйте следующий лист:

Загрузить эту книгу

Для упрощения чтения и печати этот раздел включен в следующую загружаемую книгу:

Полный список доступных книг см. в разделе Загружаемые книги для служб Windows SharePoint Services.