Выбор групп безопасности (SharePoint Server 2010)
Применимо к: SharePoint Foundation 2010, SharePoint Server 2010
Последнее изменение раздела: 2016-11-30
В этой статье описываются группы безопасности и рассылки, входящие в службы домена Active Directory® (AD°DS). Также в этой статье представлены рекомендации по использованию этих групп для организации пользователей веб-сайтов SharePoint.
Содержание:
Принятие решения о добавлении групп безопасности
Определение групп безопасности, используемых для предоставления доступа к сайтам
Принятие решения о предоставлении доступа всем пользователям, прошедшим проверку подлинности
Принятие решения о предоставлении доступа анонимным пользователям
Введение
Чтобы упростить управление пользователями сайтов SharePoint, рекомендуется назначать уровни разрешений группам, а не отдельным пользователям. Группа SharePoint представляет собой набор отдельных пользователей, а также может включать в себя группы Active Directory. В службе каталогов AD°DS для организации пользователей обычно используются следующие два типа групп:
Группа распространения Незащищаемая группа, которая используется только для рассылки электронной почты. Группы распространения не могут быть указаны в списках управления доступом на уровне пользователей (DACL), используемых для определения разрешений для ресурсов и объектов.
Группа безопасности Группа, которая может быть указана в списках управления доступом на уровне пользователей (DACL). Группа безопасности также может быть использована в качестве объекта электронной почты.
Группы безопасности можно использовать для управления разрешениями для веб-сайта путем добавления групп безопасности в группы SharePoint и предоставления разрешений группам SharePoint. Нельзя добавлять группы рассылки в группы SharePoint, однако можно расширить группу рассылки и добавить отдельных членов в группу SharePoint. При использовании этого способа необходимо вручную синхронизировать группу SharePoint с группой распространения. При использовании групп безопасности нет необходимости управлять отдельными пользователями в приложении SharePoint. Поскольку включена сама группа безопасности, а не ее отдельные члены, управление пользователями осуществляется службой каталогов AD°DS.
Примечание
Для упрощения управления безопасностью при управлении группами Active Directory не рекомендуется:
-
назначать уровни разрешений непосредственно для групп Active Directory;
-
добавлять группы безопасности, содержащие вложенные группы безопасности, контакты или списки рассылки.
Принятие решения о добавлении групп безопасности
Добавление групп безопасности в группы SharePoint обеспечивает централизованное управление группами и безопасностью. Группа безопасности — это единственное место, где осуществляется управление отдельными пользователями. После добавления группы безопасности в группу SharePoint управлять членами группы безопасности в этой группе SharePoint не нужно. Если пользователь удаляется из группы безопасности, он будет автоматически удален из группы SharePoint.
Однако группы безопасности в SharePoint не обеспечивают полной прозрачности происходящего. Например, при добавлении группы безопасности в группу SharePoint для определенного сайта, этот сайт не появляется в личных сайтах пользователя. Отдельные пользователи не отображаются в списке сведений о пользователях, пока они не совершат какое-либо действие на сайте. Кроме того, группы безопасности с многими уровнями вложения могут нарушить работу сайтов SharePoint.
Учитывая данные преимущества и недостатки, предлагаются следующие рекомендации.
Для сайтов в интрасети, которые часто посещаются пользователями компании, можно использовать группы безопасности, поскольку вести учет отдельных пользователей, посетивших домашнюю страницу сайта в интрасети не нужно.
Для сайтов совместной работы с небольшой аудиторией, пользователей следует добавлять непосредственно в группы SharePoint, поскольку важнее знать, кто является членом, чтобы члены группы знали электронную почту и контактные данные друг друга.
Определение групп безопасности, используемых для предоставления доступа к сайтам
Каждая организация настраивает группы безопасности по-разному. Чтобы упростить процесс управления разрешениями, группы безопасности должны быть:
Достаточно большими и с достаточно постоянным составом, чтобы не приходилось постоянно добавлять дополнительные группы безопасности к сайтам SharePoint.
Достаточно маленькими, чтобы можно было назначать соответствующие разрешения
Например, группа безопасности под названием "все пользователи в здании 2", по всей видимости, не является достаточно маленькой для назначения разрешений, если только все пользователи в здании 2 не имеют одинаковые должности, такие как бухгалтер по дебиторской задолженности. В действительных ситуациях такие совпадения редко случаются, поэтому следует ориентироваться на небольшие наборы пользователей, такие как "бухгалтеры по дебиторской задолженности".
Принятие решения о предоставлении доступа всем пользователям, прошедшим проверку подлинности
Если требуется, чтобы все пользователи домена имели возможность просматривать контент сайта, рекомендуется предоставить доступ всем пользователям, прошедшим проверку подлинности (группа безопасности Windows "Пользователи домена"). Эта особая группа предоставляет всем членам домена доступ к веб-сайту (на выбранном уровне разрешений), избавляя от необходимости разрешать анонимный доступ.
Принятие решения о предоставлении доступа всем пользователям, прошедшим проверку подлинности
Можно разрешить анонимный доступ, чтобы пользователи могли просматривать страницы анонимно. Большинство веб-сайтов Интернета разрешают анонимный просмотр, но при необходимости изменить веб-сайт или совершить покупку в интернет-магазине может потребоваться пройти проверку подлинности. Анонимный доступ по умолчанию отключен и должен предоставляться на уровне веб-приложения во время его создания.
Если анонимный доступ разрешен для веб-приложения, администраторы сайта могут принять решение о предоставлении анонимного доступа к сайту или к любому расположенному на нем контенту.
Анонимный доступ основывается на учетной записи анонимного пользователя на веб-сервере. Эта учетная запись создается и поддерживается службами Microsoft IIS, а не сайтом SharePoint. По умолчанию в службах IIS учетной записью анонимного пользователя является IUSR. При разрешении анонимного доступа этой учетной записи предоставляется доступ к сайту SharePoint. При разрешении доступа к сайту, спискам или библиотекам разрешение на просмотр элементов предоставляется учетной записи анонимного пользователя. Однако даже при наличии разрешения на просмотр элементов действия анонимных пользователей ограничены. Анонимные пользователи не могут выполнять следующие действия:
Открытие сайтов для редактирования в Microsoft Office SharePoint Designer.
Просмотр сайтов в сетевом окружении.
Передача или изменение документов в библиотеках документов, в том числе в вики-библиотеках.
Важно!
Для обеспечения безопасности сайтов, списков или библиотек анонимный доступ необходимо запретить. Разрешение анонимного доступа позволяет пользователям добавлять или изменять контент в списках, обсуждениях и опросах, при этом возможно использование дискового пространства сервера и других ресурсов. Анонимный доступ также позволяет анонимным пользователям получать сведения на сайте, включая адреса электронной почты пользователей, а также любой контент в списках, библиотеках и обсуждениях.
Политики разрешений предоставляют централизованный способ настройки и управления набором разрешений, которые применяются только к подмножеству пользователей или групп в веб-приложении. Управлять политикой разрешений для анонимных пользователей можно путем включения и отключения анонимного доступа для веб-приложения. Если анонимный доступ к веб-приложению разрешен, администраторы сайта могут предоставлять или отклонять анонимный доступ на уровне семейства сайтов, сайта или элемента. Если аномнимный доступ к веб-приложению запрещен, анонимные пользователи не смогут зайти ни на один сайт в веб-приложении.
Отсутствует Ни одна из политик не используется. Этот параметр установлен по умолчанию. Никакие дополнительные ограничения или добавления в отношении разрешений не применяются к анонимным пользователям сайта.
Запретить запись Анонимные пользователи не могут выполнять запись контента, даже если администратор сайта намеренно предпримет попытку предоставить такое разрешение учетной записи анонимного пользователя.
Запретить все Анонимные пользователи не могут иметь никакого доступа, даже если администратор сайта намеренно предпримет попытку предоставить учетной записи анонимного пользователя доступ к сайтам.
Дополнительные сведения о политиках разрешений см. в статье Manage permission policies for a Web application (SharePoint Server 2010).