Выбор используемых групп безопасности (Windows SharePoint Services)
Содержание:
Определение учетных записей и групп безопасности Windows, которые будут использоваться для предоставления доступа к сайтам
Принятие решения об использовании всех пользователей, прошедших проверку подлинности
Принятие решения о предоставлении доступа анонимным пользователям
Таблица
Чтобы упростить управление пользователями, рекомендуется назначать разрешения для сайтов группам, а не отдельным пользователям. В службе каталогов Microsoft Active Directory для организации пользователей обычно используются следующие два типа групп:
Группа распространения Незащищаемая группа, которая используется только для рассылки электронной почты. Группы распространения не могут быть указаны в списках управления доступом на уровне пользователей (DACL), используемых для определения разрешений для ресурсов и объектов.
Группа безопасности Группа, которая может быть указана в списках управления доступом на уровне пользователей (DACL), используемых для определения разрешений для ресурсов и объектов. Группа безопасности также может быть использована в качестве объекта электронной почты.
Группы безопасности можно использовать для управления разрешениями для веб-сайта путем прямого добавления группы безопасности и предоставления разрешений всей группе. Нельзя использовать группы распространения подобным образом; однако можно расширить список рассылки и добавить отдельных пользователей в группу SharePoint. При использовании этого способа необходимо управлять процессом синхронизации группы SharePoint с группой распространения. При использовании групп безопасности нет необходимости управлять отдельными пользователями в приложении SharePoint. Поскольку включена сама группа безопасности, а не ее отдельные члены, управление пользователями осуществляется службой каталогов Active Directory.
Определение учетных записей и групп безопасности Windows, которые будут использоваться для предоставления доступа к сайтам
Каждая организация настраивает группы безопасности Windows по-разному. Чтобы максимально упростить процесс управления разрешениями, группы безопасности должны быть:
Достаточно большими и с достаточно постоянными составом, чтобы не приходилось постоянно добавлять дополнительные группы к сайтам SharePoint
Достаточно маленькими, чтобы можно было назначать соответствующие разрешения
Например, группа безопасности под названием "все пользователи в здании 2", по всей видимости, не является достаточно маленькой для назначения разрешений, если только все пользователи в здании 2 не имеют одинаковые должности, такие как бухгалтер по дебиторской задолженности. В действительных ситуациях такие совпадения редко случаются, поэтому следует ориентироваться на небольшие наборы пользователей, такие как "бухгалтеры по дебиторской задолженности" или еще более маленькие тесно связанные между собой группы.
Принятие решения об использовании всех пользователей, прошедших проверку подлинности
Если требуется, чтобы все пользователи домена имели возможность просматривать контент сайта, рекомендуется предоставить доступ всем пользователям, прошедшим проверку подлинности (группа безопасности Windows "Пользователи домена"). Эта особая группа предоставляет всем членам домена доступ к веб-сайту (на выбранном уровне разрешений), избавляя от необходимости разрешать анонимный доступ.
Принятие решения о предоставлении доступа анонимным пользователям
Можно разрешить анонимный доступ, чтобы пользователи могли просматривать страницы анонимно. Большинство веб-сайтов Интернета разрешают анонимный просмотр, но при необходимости изменить веб-сайт или совершить покупку в Интернет-магазине может потребоваться пройти проверку подлинности. Анонимный доступ должен предоставляться на уровне веб-приложения во время его создания. Если анонимный доступ разрешен для веб-приложения, администраторы сайта могут принять решение о:
Предоставлении анонимного доступа к сайту
Предоставлении анонимного доступа только к спискам и библиотекам
Блокировке анонимного доступа к сайту в целом
Анонимный доступ основывается на учетной записи анонимного пользователя на веб-сервере. Эта учетная запись создается и поддерживается службами IIS, а не сайтом SharePoint. По умолчанию в службах IIS учетной записью анонимного пользователя является IUSR_имя_компьютера. При разрешении анонимного доступа этой учетной записи в действительности предоставляется доступ к сайту SharePoint. При разрешении доступа к сайту, спискам или библиотекам разрешение на просмотр элементов предоставляется учетной записи анонимного пользователя. Однако даже при наличии разрешения на просмотр элементов существуют ограничения относительно того, что могут делать анонимные пользователи. Анонимные пользователи не могут выполнять следующие действия.
Использовать удаленный вызов процедур (RPC) Microsoft Office SharePoint Designer; другими словами, они не могут открывать сайты для внесения изменений в Office SharePoint Designer. Они также не могут использовать DAV (протокол веб-папок в Windows); другими словами, они не могут просматривать сайт в папке "Сетевое окружение".
Передача или изменение документов в библиотеках документов, в том числе в вики-библиотеках.
Важно!
Чтобы создать более безопасные сайты, списки или библиотеки, анонимный доступ разрешать нельзя. Разрешение анонимного доступа позволяет пользователям добавлять или изменять контент в списках, обсуждениях и опросах, возможно, используя при этом дисковое пространство сервера и другие ресурсы. Кроме того, оно позволяет анонимным пользователям получать сведения на сайте, включая адреса электронной почты пользователей, а также любой контент в списках, библиотеках и обсуждениях.
Также можно устанавливать политики разрешений для анонимных пользователей разных зон (Интернет, экстрасеть, интрасеть и другие) при наличии в этих зонах одинакового контента обслуживания веб-приложения. Описание этих политик приведено в следующем списке:
Отсутствует Ни одна из политик не используется. Этот параметр установлен по умолчанию. Никакие дополнительные ограничения или добавления в отношении разрешений не применяются к анонимным пользователям сайта.
Чтение Анонимные пользователи могут читать контент; такая возможность предоставляется до тех пор, пока администратор сайта не запретит анонимный доступ.
Запретить запись Анонимные пользователи не могут выполнять запись контента, даже если администратор сайта намеренно предпримет попытку предоставить такое разрешение учетной записи анонимного пользователя.
Запретить все Анонимные пользователи не могут иметь никакого доступа, даже если администратор сайта намеренно предпримет попытку предоставить учетной записи анонимного пользователя доступ к сайтам.
Форма
Используйте следующий лист для перечисления используемых групп безопасности и уровней разрешений, требуемых для групп на каждом уровне иерархии сайтов.
- Таблица "Безопасность сайта и контента" (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73136&clcid=0x419) (на английском языке)
Загрузить эту книгу
Для упрощения чтения и печати этот раздел включен в следующую загружаемую книгу:
Полный список доступных книг см. в разделе Загружаемые книги для служб Windows SharePoint Services.