规划网站安全性 (Windows SharePoint Services)
本文内容:
关于网站安全性要素
关于分配权限
关于细化权限和权限继承
选择使用哪个级别的网站安全性
制定权限继承计划
工作表
本文讨论在网站集、网站和子网站级别为访问控制和授权制定计划,并不讨论有关服务器或服务器场安全性的规划。有关为安全性的其他方面(例如身份验证方法和加密)制定计划的详细信息,请参阅规划网站和内容安全性 (Windows SharePoint Services)。
网站安全性是通过针对特定的安全对象(例如网站、列表或项目)向用户和组分配权限来控制的。当您为网站安全性制定计划时,需要确定:
对于各个安全对象,您想要在什么样的程度上控制权限。例如,您是希望控制对整个网站的访问,还是需要针对特定列表、文件夹或项目指定专门的安全设置?
您希望如何(通过使用组)对用户进行分类和管理?本文介绍有关网站安全性的要点内容,并在您确定应用特定权限的安全对象时为您提供帮助。有关用户分组的详细信息,请参阅选择要使用的安全组 (Windows SharePoint Services)。
备注
与以前的版本相比,组和权限的交互方式有了显著的变化。在以前的版本中,使用网站级的组来同时包含用户和权限(即,当您将一个用户添加到网站组中时,也就自动确定了该用户获得的网站权限)。在此版本中,用户组和权限的概念已经分开:网站集级别的 SharePoint 组包含用户,权限级别包含权限,并且只有针对特定安全对象(例如网站、列表或库、文件夹、项目或文档)为组分配了权限级别,组才具有权限。
关于网站安全性要素
不管您创建的网站属于哪种类型,网站的安全性都包括以下五个要素:
单个用户权限 赋予执行特定操作的能力的单个权限。例如,“查看项目”权限赋予用户查看列表中的项目的能力。服务器场管理员可以使用管理中心的“Web 应用程序的用户权限”页面(若要打开此页面,请在“应用程序管理”页面上的“应用程序安全性”下单击“Web 应用程序的用户权限”)控制对服务器场可用的权限。有关可用权限的信息,请参阅用户权限和权限级别。
权限级别 一组预定义的权限,可向用户授予执行多个相关操作的权限。默认权限级别如下:“受限访问”、“读取”、“参与讨论”、“设计”和“完全控制”。例如,“读取”权限级别包括“查看项目”、“打开项目”、“查看页面”和“查看版本”等权限,它们都是读取 SharePoint 网站中的文档、项目和页面所必需的。权限可以包含在多个权限级别中。分配到包含“管理权限”权限的权限级别的任何用户都可以自定义权限级别。有关默认权限级别及其包含的权限的信息,请参阅用户权限和权限级别。
用户 拥有用户帐户的人员,用户帐户可通过用于服务器的身份验证方法进行验证。您可以添加单个用户,直接向每个用户分配权限级别;用户不必是组的成员。我们建议您向组而不是用户分配权限。因为直接维护用户帐户缺乏效率,只有在例外的情况下才应该对单个用户分配权限。有关用户帐户类型的详细信息,请参阅用户权限和权限级别。
组 一组用户。可以是添加到网站中的 Windows 安全组(例如 Department_A),也可以是 SharePoint 组(例如,Site Owners、Site Members 或 Site Visitors)。每个 SharePoint 组都分配了默认权限级别,但可以根据需要更改任何组的权限级别。被分配了包含“创建组”权限(默认情况下,包含在“完全控制”权限级别中)的权限级别的任何用户都可以创建自定义 SharePoint 组。
安全对象 对于用户或组,是针对特定安全对象(网站、列表、库、文件夹、文档或项目)来分配权限级别的。默认情况下,列表、库、文件夹、文档或项目的许可权限从父网站、父列表或库继承。但是,只要向用户或组分配的针对特定安全对象的权限级别包含“管理权限”权限,则该用户或组便可以更改该安全对象的权限。默认情况下,最初是在网站级别控制权限,所有列表和库都继承网站权限。使用列表级别、文件夹级别和项目级别的权限可以进一步控制哪些用户能够查看网站内容或与之进行交互。您可以随时恢复到从父列表、整个网站或父网站继承权限。
关于分配权限
可以针对特定安全对象(网站、列表或项目)向用户或组分配权限级别。各个用户或组对不同的安全对象可以拥有不同的权限级别。
备注
由于直接维护用户帐户缺乏效率,因此建议尽量使用组权限。特别是,如果要使用细化权限(请参阅下一节),则应使用组,以避免必须跟踪各个用户帐户的麻烦。工作组中的成员及其责任可能会经常变动,您不希望必须跟踪所有这些变动,不断地为各个安全对象更新权限。
下面的图表演示了针对特定的安全对象,如何向用户和组分配特定的权限级别。
.gif "特定的权限级别")
关于细化权限和权限继承
使用细化权限(有关列表或库、文件夹、项目或文档级别的权限)可以更加精确地控制用户能够在网站上执行的操作。可以针对以下安全对象分配权限:
网站 从网站整体角度控制对网站的访问。
列表或库 控制对特定列表或库的访问。
文件夹 控制对某个文件夹的属性(例如该文件夹的名称)的访问。
项目或文档 控制对特定列表项或文档的访问。
继承权限和细化权限
默认情况下,网站内部的权限从该网站继承。但是,对于网站层次结构中任何级别较低的安全对象,可以编辑对该对象的权限(创建独特的权限分配)来断开这种继承关系。例如,可以编辑文档库的权限来断开从该网站继承权限。但是,断开继承关系是仅针对为其分配权限的特定安全对象而言的;网站中的其他权限将保持不变。您可以随时恢复到从父列表或网站继承权限。
权限继承和子网站
网站本身即是一个可对其分配权限的安全对象。可以将子网站配置为从父网站继承权限,也可以为特定的网站创建独特的权限。继承权限是管理一组网站最为简便的方法。但是,如果子网站从其父网站继承权限,则该组权限是共享的。这意味着如果子网站从父网站继承权限,则子网站的所有者可以编辑父网站的权限。如果您只想更改子网站的权限,那么必须终止继承权限,然后再进行更改。
子网站可以从父网站继承权限。您可以通过为子网站创建独特的权限来终止该子网站继承权限。这会将组、用户和权限级别从父网站复制到子网站,然后断开继承。如果您从独特权限更改回到继承权限,则开始从父网站继承用户、组和权限级别,而且,您为子网站专门定义的所有用户、组或权限级别都将丢失。权限级别也可以被继承(并且默认情况下将继承它们),这样,不论将“读取”权限级别应用于哪个对象,它都是相同的。您可以通过编辑权限级别来断开继承。例如,您可能不希望某个特定子网站上的“读取”权限级别包括“创建警报”权限。
选择使用哪个级别的网站安全性
当您创建权限结构时,应该在方便管理、性能和控制单个项目的特定权限的需求之间找到平衡,这一点非常重要。如果大量使用细化权限,则需要花费更多的时间来管理权限,并且用户在尝试访问网站内容时会感到运行速度下降。与任何服务器或网站一样,按照最小特权的原则授予网站访问权限也非常重要:用户应该仅拥有他们需要使用的权限级别。从使用标准组(例如 Members、Visitors 和 Owners)开始,并在网站级别控制权限,以实现最方便的管理控制。让大多数用户成为 Visitors 或 Members 组的成员。限制 Owners 组的人数,仅使那些您想要允许他们更改网站的结构或更改网站设置和外观的用户成为该组成员。默认情况下,Members 组中的用户可以参与网站的内容创作,比如添加或删除项目或文档,但他们不能更改网站的结构或者更改网站设置或外观。如果需要更好地控制用户可执行的操作,可以创建更多的 SharePoint 组和权限级别。
如果存在包含敏感数据的特定列表、库、文件夹、项目或文档,因而必须使其具有更高的安全性,那么您可以向特定组或单个用户授予权限。但请注意,没有办法查看特定于网站中的列表、库、文件夹、项目或文档的所有权限。这意味着很难快速确定哪些人对哪些安全对象有权限,同时也很难批量重置任何细化权限。
制定权限继承计划
如果权限以及继承的权限的层次结构非常清晰,则权限的管理最为容易。如果网站内的某些列表应用了细化权限,或者一些网站的子网站具有独特的权限,而另一些网站的子网站具有继承的权限,这时管理起来就比较困难。请尽可能妥善组织网站和子网站、列表和库,使其可以最大程度地共享权限。将敏感数据放入单独的列表、库或子网站中。
例如,管理下表所示的具有权限继承的网站会容易得多。
| 安全对象 | 说明 | 独特的权限或继承的权限 |
|---|---|---|
SiteA |
组主页 |
独特 |
SiteA/SubsiteA |
敏感组 |
独特 |
SiteA/SubsiteA/ListA |
敏感数据 |
独特 |
SiteA/SubsiteA/LibraryA |
敏感文档 |
独特 |
SiteA/SubsiteB |
组共享的项目信息 |
继承 |
SiteA/SubsiteB/ListB |
非敏感数据 |
继承 |
SiteA/SubsiteB/LibraryB |
非敏感文档 |
继承 |
比较而言,管理下表所示的具有权限继承的网站就不那么容易了。
| 安全对象 | 说明 | 独特的权限或继承的权限 |
|---|---|---|
SiteA |
组主页 |
独特 |
SiteA/SubsiteA |
敏感组 |
独特 |
SiteA/SubsiteA/ListA |
非敏感数据 |
与 SiteA 相同的独特权限 |
SiteA/SubsiteA/LibraryA |
非敏感文档,但是有一两个敏感文档 |
继承权限,在文档级别有独特权限 |
SiteA/SubsiteB |
组共享的项目信息 |
继承 |
SiteA/SubsiteB/ListB |
非敏感数据,但是有一两个敏感项目 |
继承权限,在项目级别有独特权限 |
SiteA/SubsiteB/LibraryB |
非敏感文档,但是有一个包含敏感文档的特殊文件夹 |
继承权限,在文件夹和文档级别有独特权限 |
工作表
请使用下面的工作表填写您的网站层次结构,然后列出在该层次结构的每个级别所需的权限以及任何权限继承的情况: