通过

选择安全组 (SharePoint Foundation 2010)

  • 项目

 

适用于: SharePoint Foundation 2010

上一次修改主题: 2016-11-30

本文描述了构成 Active Directory® 域服务 (ADDS) 的安全组和通讯组,还为使用这些组来组织 SharePoint 网站用户提供相关建议。

本文内容:

  • 决定是否添加安全组

  • 确定用于授予对网站的访问权限的安全组

  • 决定是否允许所有经过身份验证的用户访问

  • 决定是否允许匿名用户访问

简介

如果将权限级别分配给组而非单个用户,那么管理 SharePoint 网站用户其实很简单。SharePoint 组是一组单独的用户,它还可以包含 Active Directory 组。在 Active Directory 域服务 (ADDS) 中,通常会使用下面的组来组织用户:

  • 通讯组   仅用于电子邮件分发并且未启用安全的组。通讯组不能在用于定义对资源和对象的权限的自定义访问控制列表 (DACL) 中列出。

  • 安全组   可在 DACL 中列出的组。安全组也可用作电子邮件实体。

可以通过向 SharePoint 组添加安全组并授予 SharePoint 组相应权限的方式,使用安全组来控制网站的权限。不能向 SharePoint 组添加通讯组,但可以展开通讯组并将单个成员添加到 SharePoint 组中。如果使用此方法,则必须手动保持 SharePoint 组与通讯组同步。如果使用安全组,则无需在 SharePoint 应用程序中管理单个用户。由于包含的是安全组而非组中的单个成员,因此,ADDS 能为您管理用户。

备注

为便于进行安全管理,建议在管理 Active Directory 组时不进行以下操作。

  • 将权限级别直接分配给 Active Directory 组。

  • 添加包含嵌套安全组、联系人或通讯组列表的安全组。

决定是否添加安全组

向 SharePoint 组添加安全组可集中管理组和安全性。只能在安全组中管理单个用户。一旦向一个 SharePoint 组中添加安全组,您便无需管理该 SharePoint 组中的安全组成员。如果从安全组中删除某个用户,则将自动从 SharePoint 组中删除该用户。

但是,在 SharePoint 网站中使用安全组不会完全显示所执行的操作。例如,在将安全组添加到某个特定网站的 SharePoint 组中时,该网站将不会显示在用户的“我的网站”中。用户信息列表将不会显示单个用户,除非他们参与了网站工作。此外,具有深入嵌套结构的安全组可能会破坏 SharePoint 网站。

鉴于上述优缺点,下面提供了一些建议:

  • 对于用户广泛访问的 Intranet 网站,请使用安全组,因为您并不关心访问过 Intranet 网站主页的单个用户。

  • 对于少数用户访问的协作网站,请将用户直接添加到 SharePoint 组中。在此情况下,更需要了解哪些用户是成员,以便组成员知道彼此的电子邮件地址以及联系方式。

确定用于授予对网站的访问权限的安全组

每个组织设置其安全组的方式各不相同。为了便于权限管理,安全组应:

  • 足够的大且稳定,这样就不用持续向 SharePoint 网站中添加附加安全组了。

  • 足够的小,这样就可以分配适当的权限。

例如,一个称为“大厦 2 中的所有用户”的安全组可能不够小,无法分配权限,除非大厦 2 中所有用户的工作职责都相同(例如,应收帐款文员)。此情况很少见,因此您应查找更小、更特定的用户组(如“应收帐款”)。

决定是否允许所有已验证的用户访问

如果希望域中的所有用户都能够查看您的网站上的内容,可考虑将访问权授予所有经过身份验证的用户(Windows 安全组“Domain Users”)。此特定组允许域中的所有成员在您选定的权限级别访问网站,而无需进行匿名访问。

决定是否允许匿名用户访问

可以启用匿名访问来允许用户以匿名方式查看网页。大多数 Internet 网站允许以匿名方式查看网站,但当某人要编辑网站或在购物网站上购物时,可能会要求进行身份验证。默认情况下已禁用匿名访问,在创建 Web 应用程序时,必须在 Web 应用程序级别授予匿名访问权限。

如果允许对 Web 应用程序进行匿名访问,则网站管理员可以决定是授予对网站还是网站上的任意内容的匿名访问权限。

匿名访问依赖于 Web 服务器上的匿名用户帐户。此帐户由 Microsoft Internet Information Services (IIS) 而不是 SharePoint 网站创建和维护。在 IIS 中,默认情况下匿名用户帐户为 IUSR。当启用匿名访问时,实际上将授予此帐户访问 SharePoint 网站的权限。如果允许对网站、列表和库进行访问,将对匿名用户帐户授予查看项目权限。但是,即使具有查看项目权限,匿名用户可执行的操作也受到一定限制。匿名用户不能:

  • 在 Microsoft Office SharePoint Designer 中打开网站以进行编辑。

  • 在网上邻居中查看网站。

  • 上载或编辑文档库(包括 Wiki 库)中的文档。

    重要

    若要提高网站、列表或库的安全性,请不要启用匿名访问。启用匿名访问将允许用户编写列表、讨论和调查,从而可能耗尽服务器磁盘空间和其他资源。此外,匿名访问允许匿名用户查找网站信息,包括用户电子邮件地址以及张贴到列表、库和讨论的任何内容。

权限策略提供一种集中的方式,用于配置和管理仅适用于 Web 应用程序中的部分用户或组的一组权限。可以通过启用或禁用 Web 应用程序的匿名访问来管理针对匿名用户的权限策略。如果启用 Web 应用程序的匿名访问,则网站管理员可以在网站集、网站或项目级别授予或拒绝匿名访问。如果针对某一 Web 应用程序禁用匿名访问,则匿名用户将无法访问该 Web 应用程序内的任何网站。

  •    无策略。这是默认选项。未对网站匿名用户进行附加权限限制或添加权限。

  • 拒绝写入   匿名用户不能写入内容,即使网站管理员专门尝试为匿名用户帐户授予此权限。

  • 全部拒绝   匿名用户不具有任何访问权,即使网站管理员专门尝试为匿名用户帐户授予对其网站的访问权。

有关权限策略的详细信息,请参阅管理 Web 应用程序的权限策略 (SharePoint Foundation 2010)