选择安全组 (SharePoint Server 2010)

 

适用于: SharePoint Foundation 2010, SharePoint Server 2010

上一次修改主题: 2016-11-30

本文介绍包含 Active Directory® 域服务 (ADDS) 的安全组和通讯组,还为使用这些组来组织 SharePoint 网站用户提供相关建议。

本文内容:

  • 决定是否添加安全组

  • 确定用于授予对网站的访问权限的安全组

  • 决定是否允许所有经过身份验证的用户访问

  • 决定是否允许匿名用户访问

简介

如果将权限级别赋予组而不是赋予单个用户,那么管理 SharePoint 网站用户会更简单。SharePoint 组是一组单个用户,并且还可以包括 Active Directory 组。在 Active Directory 域服务 (ADDS) 中,通常使用以下组来组织用户:

  • 通讯组   仅用于电子邮件通讯组且未启用安全功能的组。随机访问控制列表(DACL,用于定义资源和对象的权限)中无法列出通讯组。

  • 安全组   可在 DACL 中列出的组。安全组也可用作电子邮件实体。

可以通过直接向 SharePoint 组添加安全组并授予 SharePoint 组相应权限的方式,使用安全组来控制网站的权限。不能直接向 SharePoint 组添加通讯组,但可以展开通讯组并将单个成员添加到 SharePoint 组中。如果使用此方法,则必须手动保持 SharePoint 组与通讯组同步。如果使用安全组,则无需在 SharePoint 应用程序中管理单个用户。由于包含的是安全组本身而不是组中的单个成员,因此,ADDS 能为您管理用户。

备注

为了简化安全性管理,在管理 Active Directory 组时不建议采用以下做法。

  • 直接向 Active Directory 组分配权限级别。

  • 添加包含嵌套安全组、联系人或通讯组列表的安全组。

决定是否添加安全组

向 SharePoint 组添加安全组可实现组和安全性的集中管理。安全组是用于管理单个用户的唯一位置。向 SharePoint 组添加安全组后,就不必再管理该 SharePoint 组中的安全组成员。如果从安全组中移除某个用户,该用户会自动从 SharePoint 组中移除。

但是,在 SharePoint 网站中使用安全组时不能充分了解正在发生的情况。例如,向特定网站的 SharePoint 组添加安全组时,该网站不会出现在用户的“我的网站”中。在单个用户参与网站创作之前,“用户信息列表”也不会显示这些用户。此外,具有深度嵌套结构的安全组可能会破坏 SharePoint 网站。

考虑到上述优点和缺点,可采用下面的建议:

  • 对于用户大量访问的 Intranet 网站,使用安全组,因为您不必担心访问 Intranet 网站主页的单个用户。

  • 对于由一小组用户访问的协作网站,直接向 SharePoint 组中添加用户。在这种情况下,更需要关注谁是成员,以便组成员知道彼此的电子邮件地址以及如何相互联系。

确定用于授予对网站的访问权限的安全组

每个组织设置其安全组的方式各不相同。为了简化权限管理,安全组应:

  • 足够大,足够稳定,这样就无需不断向 SharePoint 网站中添加更多安全组。

  • 足够小,这样就可以分配适当的权限。

例如,有一个称为“建筑物 2 中的所有用户”的安全组,它可能还未小到可以分配权限的程度,除非建筑物 2 中的所有用户都具有同样的工作职能(例如,应收帐款职员),但这种情形很少见。因此,您应该寻求更小、更具体的用户集(如“应收帐款”)。

决定是否允许所有经过身份验证的用户访问

如果希望域中的所有用户都能够查看您的网站上的内容,可考虑将访问权授予所有经过身份验证的用户(Windows 安全组“Domain Users”)。此特定组允许域中的所有成员在您选定的权限级别访问网站,而无需进行匿名访问。

决定是否允许匿名用户访问

可以启用匿名访问来允许用户以匿名方式查看网页。大多数 Internet 网站允许以匿名方式查看网站,但当某人要编辑网站或在购物网站上购物时,可能会要求进行身份验证。默认情况下禁用匿名访问,在创建 Web 应用程序时,必须在 Web 应用程序级别授予匿名访问权限。

如果允许对 Web 应用程序进行匿名访问,则网站管理员可以决定是否向网站或该网站上的任何内容授予匿名访问权限。

匿名访问依赖于 Web 服务器上的匿名用户帐户。此帐户由 Microsoft Internet Information Services (IIS) 而不是 SharePoint 网站创建和维护。在 IIS 中,默认情况下匿名用户帐户为 IUSR。当启用匿名访问时,实际上将授予此帐户访问 SharePoint 网站的权限。如果允许对网站、列表和库进行访问,将对匿名用户帐户授予查看项目权限。但是,即使具有查看项目权限,匿名用户可执行的操作也受到一定限制。匿名用户不能:

  • 在 Microsoft Office SharePoint Designer 中打开网站以进行编辑。

  • 查看“网上邻居”中的网站

  • 在文档库(包括 Wiki 库)中上载或编辑文档。

    重要

    若要提高网站、列表或库的安全性,请不要启用匿名访问。启用匿名访问将允许用户编写列表、讨论和调查,从而可能耗尽服务器磁盘空间和其他资源。此外,匿名访问允许匿名用户查找网站信息,包括用户电子邮件地址以及张贴到列表、库和讨论的任何内容。

权限策略提供一种集中的方式,用于配置和管理仅适用于 Web 应用程序中的部分用户或组的一组权限。可以通过对 Web 应用程序启用或禁用匿名访问来管理权限策略。如果启用 Web 应用程序的匿名访问,则网站管理员可以在网站集、网站或项目级别授予或拒绝匿名访问。如果针对某一 Web 应用程序禁用匿名访问,则匿名用户将无法访问该 Web 应用程序内的任何网站。

  •    无策略。这是默认选项。未对网站匿名用户进行附加权限限制或添加权限。

  • 拒绝写入   匿名用户不能写入内容,即使网站管理员专门尝试为匿名用户帐户授予此权限。

  • 全部拒绝   匿名用户不具有任何访问权限,即使网站管理员专门尝试为匿名用户帐户授予对其网站的访问权限。

有关权限策略的详细信息,请参阅管理 Web 应用程序的权限策略 (SharePoint Server 2010)