Планирование ролей безопасности (Windows SharePoint Services)

Статья
05/17/2012

Содержание:

Администрирование на уровне фермы
Администрирование на уровне сайта
Таблица

Одна из новых возможностей в Windows SharePoint Services 3.0 — это двухуровневая модель администрирования, позволяющая централизованно выполнять задачи настройки и администрирования и разграничивать административные роли, а также передавать и назначать администрирование соответствующим лицам в организации. Усовершенствования в модели администрирования смогут помочь ИТ-организациям в более эффективном и рациональном выполнении административных задач. Модель администрирования и группы SharePoint можно использовать для предоставления только необходимых прав для выполнения определенных задач на основе конкретных ролей в организации. Для более эффективного использования двухуровневой модели администрирования многие организации определяют специальные административные роли на каждом уровне. В данной статье описаны административные роли каждого уровня, которые можно использовать для управления решением.

Далее приводится описание каждого уровня администрирования.

Уровень 1: Администраторы уровня фермы Администраторы данного верхнего уровня имеют разрешения на все серверы в ферме и несут ответственность за них. Члены этой группы могут выполнять все задачи администрирования на веб-сайте центра администрирования SharePoint для сервера или фермы серверов.
Уровень 2: Администраторы семейства сайтов Администраторы семейства сайтов имеют разрешения полного доступа к своим семействам сайтов.

Службы Windows SharePoint Services 3.0 обеспечивают гибкость в назначении административных ролей. Централизованная модель управления позволяет назначать несколько ролей одному или двум лицам в организации. Распределенная модель управления, наоборот, дает возможность назначать определенные роли разным лицам в организации.

Администрирование на уровне фермы

Администрирование на уровне фермы, главным образом, осуществляется следующими ролями:

Администраторы фермы
Администраторы уровня серверов

Администраторы фермы

Администратор фермы имеет разрешения на все серверы фермы и отвечает за них. Группа SharePoint "Администраторы фермы" заменяет группу SharePoint "Администраторы", которая использовалась в службах Windows SharePoint Services версии 2.0. Членов группы "Администраторы фермы" не требуется добавлять в группу "Администраторы" каждого сервера. Администраторы фермы являются членами групп WSS_WPG и WSS_RESTRICTED_WPG на компьютерах, где размещен центр администрирования, и имеют уровень разрешений "Полный доступ" на все серверы в среде. По умолчанию члены группы "Администраторы" являются членами группы SharePoint "Администраторы фермы".

Члены группы "Администраторы фермы" имеют широкие возможности управления сайтом центра администрирования, но не могут выполнять некоторые действия (а именно, создавать веб-сайты служб IIS, создавать или удалять веб-приложения SharePoint, изменять пароли учетных записей или службы Windows) по причине определенных ограничений в IIS и Microsoft .NET Framework. По умолчанию членам группы "Администраторы фермы" не предоставляется доступ администратора к отдельным сайтам или их контенту. Однако они могут управлять определенным семейством сайтов для просмотра любого контента. Например, если администратор семейства сайтов увольняется из организации и необходимо добавить нового администратора, администраторы фермы могут добавлять себя в качестве администраторов семейства сайтов, что записывается в журналах аудита. В таких случаях рекомендуется удалять разрешения администраторов на семейство сайтов после выполнения необходимого действия на уровне сайта. Группа "Администраторы фермы" используется только в центре администрирования, она недоступна для каких-либо сайтов.

Примечание

Любой пользователь с уровнем разрешения полного доступа к сайту центра администрирования может удалить веб-приложение поставщика общих служб с сайта центра администрирования, однако это крайне не рекомендуется, поскольку может привести к нарушению работоспособности поставщика общих служб. В случае удаления веб-приложения единственным решением может быть восстановление поставщика общих служб из последней резервной копии. Дополнительные сведения о восстановлении из резервной копии см. в разделе Администрирование резервного копирования и восстановления для технологии Windows SharePoint Services 3.0.

Примечание

Внимательно отнеситесь к выбору членов группы администраторов на локальном компьютере сервера базы данных и участников предопределенных ролей базы данных и сервера в Microsoft SQL Server. Это связано с тем, что эта группа и эти роли имеют уровень разрешений полного доступа к базе данных конфигураций продуктов и технологий SharePoint.

В следующей таблице указаны задачи, которые могут выполнять члены группы администраторов фермы.

Группа SharePoint	Существует ли эта роль по умолчанию?	Возможные действия	Невозможные действия
Администраторы фермы	Да	Выполнение задач администрирования в центре администрирования Получение прав владельца любого сайта контента.	Управление отдельными сайтами или контентом сайтов, если администратор не является владельцем.

Администраторы фермы

Да

Выполнение задач администрирования в центре администрирования

Получение прав владельца любого сайта контента.

Управление отдельными сайтами или контентом сайтов, если администратор не является владельцем.

Дополнительные сведения о группе администраторов фермы см. в разделе Выбор администраторов и владельцев для иерархии администрирования (Windows SharePoint Services).

Администраторы уровня серверов

Члены группы администраторов на локальном сервере автоматически добавляются в группу администраторов фермы и могут выполнять все действия администраторов фермы. Группа "Администраторы" является группой Windows, а не группой SharePoint, но группа "Администраторы" на локальном компьютере может выполнять определенные действия администрирования в службах Windows SharePoint Services 3.0. Подобно администраторам фермы, члены группы "Администраторы" на локальном компьютере не получают доступ администратора к контенту сайта по умолчанию. Однако при необходимости они могут управлять определенными семействами сайтов. Для получения доступа они могут добавить себя в качестве администраторов семейства сайтов на странице "Администраторы семейства узлов" в центре администрирования.

В приведенной ниже таблице описана роль администратора уровня серверов.

Группа	Существует ли эта роль по умолчанию?	Возможные действия	Невозможные действия
Администраторы	Да. Группа Windows по умолчанию; не группа SharePoint.	Установка продуктов. Создание новых веб-приложений и новых веб-сайтов служб IIS. Запуск служб. Развертывание веб-частей и новых функций в глобальном кэше сборок. Выполнение всех задач уровня фермы в центре администрирования (при условии, что сайт центра администрирования расположен на локальном компьютере). Запуск средства командной строки Stsadm. Примечание Для запуска средства командной строки Stsadm пользователь обязательно должен быть администратором уровня серверов. В зависимости от фактически выполняемой команды, могут потребоваться дополнительные права. Например, выполнение команды stsadm.exe –o deleteweb требует, чтобы учетная запись имела доступ для записи в базу данных контента, в которой находится веб-приложение.	Управление отдельными сайтами и контентом сайтов. Управление базами данных.

Администраторы

Да. Группа Windows по умолчанию; не группа SharePoint.

Установка продуктов.

Создание новых веб-приложений и новых веб-сайтов служб IIS.

Запуск служб.

Развертывание веб-частей и новых функций в глобальном кэше сборок.

Выполнение всех задач уровня фермы в центре администрирования (при условии, что сайт центра администрирования расположен на локальном компьютере).

Запуск средства командной строки Stsadm.

Примечание

Для запуска средства командной строки Stsadm пользователь обязательно должен быть администратором уровня серверов. В зависимости от фактически выполняемой команды, могут потребоваться дополнительные права. Например, выполнение команды stsadm.exe –o deleteweb требует, чтобы учетная запись имела доступ для записи в базу данных контента, в которой находится веб-приложение.

Управление отдельными сайтами и контентом сайтов.

Управление базами данных.

Администрирование на уровне сайта

Администрирование на уровне сайта включает следующие роли:

Администраторы семейства сайтов
Владельцы сайта

Администраторы семейства сайтов

Администраторы семейства сайтов имеют уровень разрешений полного доступа ко всем веб-сайтам и контенту в семействе сайтов. На уровне семейства сайтов администраторы семейства сайтов управляют параметрами (например, функциями семейств сайтов, параметрами аудита семейства сайтов и политиками семейства сайтов) на странице "Параметры узла" для сайта верхнего уровня. При создании семейства сайтов можно указать главных и дополнительных администраторов семейства сайтов. Администратор семейства сайта является пользователем с отметкой в базе данных контента, определяющей возможность выполнениями администраторами всех действий в семействе сайтов, в том числе всех задач для определенных сайтов с семейством сайтов. Эту отметку можно изменить на странице "Администраторы семейства узлов" центра администрирования, на странице "Параметры узла" для сайта верхнего уровня или при помощи операции владельца сайта в средстве командной строки Stsadm. Как правило, администраторы семейства сайтов назначаются во время создания сайта, но их можно изменить в центре администрирования или на страницах параметров сайта.

В приведенной ниже таблице описана роль администратора семейства сайтов.

Группа SharePoint	Существует ли эта роль по умолчанию?	Возможные действия	Невозможные действия
Администратор семейства сайтов	Да	Выполнение всех задач администрирования для сайтов в семействе сайтов.	Доступ к сайту центра администрирования.

Владельцы сайта

Владельцы сайта — это пользователи, которым специально предоставляется уровень разрешений полного доступа к сайту или непосредственно, или через членство в группе SharePoint. Это может быть группа владельцев с уровнем разрешений полного доступа к сайту. Владельцы сайта могут выполнять задачи, относящиеся исключительно к сайту, а не ко всему семейству сайтов.

Примечание

Создатель сайта автоматически добавляется в группу владельцев сайта.

В следующей таблице содержатся задачи, выполняемые владельцами сайтов.

Группа SharePoint	Существует ли эта роль по умолчанию?	Возможные действия	Невозможные действия
Владельцы имя_сайта	Да	Администрирование сайта, но не всего семейства сайтов. Выполнение задач администрирования для документов, списков и библиотек.	Доступ к сайту центра администрирования. Выполнение задач администрирования семейства сайтов, таких как восстановление элементов из корзины второго уровня и управление иерархией сайта.