了解权限和权限级别 (Office SharePoint Server)
本主题提供有关网站集、网站和子网站级别的访问控制和授权的信息。
网站安全性要素
分配权限
细化权限和权限继承
不管您是创建什么类型的网站,网站的安全性都包括五个要素:权限、权限级别、用户、组和安全对象。
权限
权限赋予执行特定操作的能力。例如,“查看项目”权限赋予用户和组查看列表中的项目的能力。服务器场管理员可以使用管理中心中的“Web 应用程序的用户权限”页控制哪些权限可用于服务器场(若要打开该页,请在“应用程序管理”页上的“应用程序安全性”下单击“Web 应用程序的用户权限”)。
有关可用权限的信息,请参阅默认权限和权限级别 (Office SharePoint Server)。
权限级别
权限级别是一组预定义的权限,它授予用户或组执行相关操作的权限。默认权限级别如下:“读取”、“参与讨论”、“设计”和“完全控制”。例如,“读取”权限级别包括“查看项目”、“打开项目”、“查看页面”和“查看版本”等权限,它们都是读取 SharePoint 网站中的文档、项目和页面所必需的。权限可以包含在多个权限级别中。分配到包含“管理权限”权限的权限级别的任何人都可以自定义权限级别。
有关默认权限级别及其包含的权限的信息,请参阅默认权限和权限级别 (Office SharePoint Server)。
用户
用户是拥有用户帐户的人员,用户帐户可通过服务器所用的身份验证方法进行验证。您可以添加个别用户并直接将一个或多个权限级别分配给每个用户。由于直接为单独的用户帐户维护权限在管理和计算方面效率都很低(除了在规模很小的组织中),因此,只应在例外情况下按用户分配权限。我们建议您通常情况下向组(而不是用户)分配权限。
有关用户帐户类型的详细信息,请参阅默认权限和权限级别 (Office SharePoint Server)。
组
组包含一组用户。组可以是您添加到网站中的 Windows 安全组(例如,Department_A),也可以是 SharePoint 组(例如,Site Owners、Site Members 或 Site Visitors)。SharePoint 组分配有默认权限级别,但可以根据需要更改任何组的权限级别。分配了包含“创建组”权限(默认情况下包含在“完全控制”权限级别中)的权限级别的任何人都可以创建自定义 SharePoint 组。
安全对象
对于用户或组,是针对特定安全对象(网站、列表、库、文件夹、文档或项目)来分配权限级别的。默认情况下,列表、库、文件夹、文档或项目的权限继承自父网站、父列表或库。但是,只要向用户或组分配的针对特定安全对象的权限级别包含“管理权限”权限,则该用户或组便可以更改对该安全对象的权限。默认情况下,最初是在网站级别控制权限,所有列表和库都继承网站权限。使用列表级别、文件夹级别和项目级别的权限可以进一步控制哪些用户能够查看网站内容或与之进行交互。您可以随时恢复为从父列表、整个网站或父网站继承权限。
可以向用户或组分配针对特定安全对象(网站、列表或项目)的权限级别。各个用户或组对不同的实体可以拥有不同的权限级别。
备注
由于为单个用户维护权限的效率低下,因此建议尽可能使用组权限。需要特别指出,如果要使用细化权限(请参阅下一节),则应使用组,以避免跟踪个别用户帐户的权限。由于团队中的成员及其责任会经常变动,因此您可能不希望跟踪所有这些更改并不断地为各个受独特保护的对象更新权限。
使用细化权限(即对于列表或库、文件夹、项目或文档的权限)可以更加精确地控制用户能够在网站上执行的操作。以下实体可用于权限分配:
网站 控制对网站以及继承其权限的任何对象的访问。
列表或库 控制对列表及列表中的所有文件夹和项目(从列表继承其权限)的访问。
文件夹 控制对文件夹本身及该文件夹中的任何项目(从文件夹继承其权限)的访问。
项目或文档 控制对特定列表项或文档的访问。
默认情况下,网站内的权限是从该网站继承的。但是,对于网站层次结构中任何级别较低的安全对象,可以通过编辑对该安全对象的权限(创建独特的权限分配)来断开这种继承关系。例如,可以编辑文档库的权限来断开从网站的继承关系。但是,仅对于特定安全对象及该对象内的任何项目(继承自该对象),才会断开继承关系,网站的其余权限保持不变。您可以使安全对象的访问权限比父网站更多或更少。可以随时恢复为从父列表或网站继承权限。
网站本身是可对其分配权限的安全对象。可以将子网站配置为从父网站继承权限,也可以为特定的网站创建独特的权限。继承权限是管理一组网站最为简便的方法。但是,如果子网站从其父网站继承权限,则必须在父网站上进行任何权限更改。如果要完全控制子网站权限,应在创建子网站时选择“使用独有权限”。