在 SharePoint 中确定权限级别和组
适用于:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
SharePoint 组是一组可统一管理的用户。 权限级别是一组可分配给特定安全对象的特定组的权限。 默认情况下,SharePoint 组和权限级别是在网站集级别定义的且继承自父对象。 本文介绍默认组和权限级别,并帮助您确定是按原样使用它们,还是对其进行自定义,或者是创建其他组和权限级别。
有关 SharePoint Server 中网站和内容安全性的最重要决策是如何对用户进行分组以及要分配的权限级别。
了解 Microsoft 365 中的默认 SharePoint 组。
查看可用默认组
利用 SharePoint 组,你可以管理用户组而不是单个用户。 这些组可以包含许多单个用户,也可以包含任何公司标识系统的内容,包括 Active Directory 域服务 (AD DS) 、基于 LDAPv3 的目录、特定于应用程序的数据库以及以用户为中心的新标识模型,例如 Windows Live ID。 SharePoint 组不会授予对网站的特定权限;这些组只不过是指定一组用户的一种方式。 您可以将用户组织成任意数量的组,具体取决于您的组织或网站的大小和复杂程度。 SharePoint 组不能嵌套。
下表显示了为 SharePoint Server 中的团队网站创建的默认组。 每个默认组均分配有默认权限级别。
| 组名称 | 默认权限级别 | 说明 |
|---|---|---|
| 访问者 |
读取 |
使用此组可对用户授予 SharePoint 网站的"读取"权限。 |
| 成员 |
编辑 |
使用此组可对用户授予 SharePoint 网站的"编辑"权限。 |
| 所有者 |
完全控制 |
使用此组可对用户授予 SharePoint 网站的"完全控制"权限。 |
| 查看者 |
仅查看 |
使用此组可对用户授予 SharePoint 网站的"仅查看"权限。 |
如果您使用的是工作组网站模板以外的网站模板,您将看到不同的默认 SharePoint 组列表。 例如,下表显示了发布网站模板提供的其他组。
| 组名称 | 默认权限级别 | 说明 |
|---|---|---|
| 受限制读者 |
受限的网站读取权限以及特定列表的受限访问权限 |
此组的成员可以查看页面和文档,但无法查看历史版本或用户权限信息。 |
| 样式资源读者 |
母版页样式库读取权限以及受限的样式库读取权限。 |
向此组的成员授予了母版页样式库读取权限以及受限的样式库读取权限。 默认情况下,所有经身份验证的用户都是此组的成员。 |
| 设计者 |
设计,有限访问 |
此组的成员可以使用浏览器或 SharePoint Designer 2013 查看、添加、更新、删除、批准和自定义网站页面的布局。 |
| 审批者 |
审批权限以及受限访问权限 |
此组的成员可以编辑和批准页面、列表项和文档。 |
| 层次结构管理者 |
管理层次结构的权限以及受限访问权限 |
此组的成员可以创建网站、列表、列表项和文档。 |
注意
不要从样式资源读取器组中删除所有经过身份验证的用户,因为母版页库和样式库在网站集中的所有网站之间共享,并且必须可供所有网站的所有用户访问。 如果从组中删除所有经身份验证的用户,则子网站上具有此权限级别的任何用户将无法呈现网站。 SharePoint 不会根据需要自动向此组中添加或从中删除子网站的用户。
提示
受限访问权限级别用于为组提供对特定列表、库、文件夹、文档或项的访问权,而不为组提供对整个网站的访问权。 请勿从上面列出的组中删除此权限级别。 如果删除此权限级别,这些组可能无法在网站中导航以获取他们进行交互所需的特定项。
使大多数用户成为“访问者”或“成员”组的成员。 默认情况下,Members 组中的用户可以通过添加或移除项目或文档参与网站的创作,但他们不能更改网站的结构、网站设置或外观。 Visitors 组对网站拥有只读访问权限,这意味着他们可查看页面和项目,打开项目和文档,但不能添加或移除页面、项目或文档。
如果默认组未映射到组织中具体的用户组,可以创建自定义组。
除了上述 SharePoint 组外,还有执行较高级别的管理任务的管理员组。 他们是 Windows 管理员、SharePoint 场管理员以及网站集管理员。
有关详细信息,请参阅在 SharePoint 2013 中选择管理层次结构的管理员和所有者。
查看可用权限级别
能否查看、更改或管理网站是由您分配给用户或组的权限级别决定的。 此权限级别可控制对网站以及继承该网站权限的子对象的所有权限。 如果没有适当的权限级别,用户可能无法执行他们的任务,或者,他们可能会执行您不希望他们执行的任务。
默认情况下,可以使用下列权限级别:
仅查看 包括允许用户查看页面、列表项和文档的权限。
受限访问 包括允许用户查看特定列表、文档库、列表项、文件夹或文档的权限,而无需授予对网站所有元素的访问权限。 You cannot edit this permission level directly.
注意
如果移除此权限级别,即使组成员对网站内的项目有适当的权限,他们可能也无法导航到该网站以访问这些项目。
读 包括允许用户查看网站页面上的项目的权限。
编辑 包括允许用户添加、编辑和删除列表的权限;可以查看、添加、更新和删除列表项和文档。
贡献 包括允许用户在网站页面或列表和文档库中添加或更改项目的权限。
设计 包括允许用户使用浏览器或 SharePoint Designer 2013 查看、添加、更新、删除、批准和自定义网站页面布局的权限。
完全控制 包括所有权限。
有关默认权限级别中包含的权限的详细信息,请参阅SharePoint 2013 中的用户权限和权限级别。
默认情况下,发布模板会提供以下额外权限级别:
批准 包括编辑和批准页面、列表项和文档的权限。
管理层次结构 包括对网站和编辑页面、列表项和文档的权限。
受限读取 包括查看页面和文档的权限,但不包括历史版本或权限信息。
确定是否需要自定义权限级别或组
默认组和权限级别可提供一个常规权限框架结构,以此涵盖许多组织类型及其内部的角色。 不过,这些默认组和权限级别可能不会准确映射到用户组织方式或用户可在网站上执行的许多不同任务。 如果默认组和权限级别不适合您的组织,您可以创建自定义组、更改特定权限级别中包括的权限,也可以创建自定义权限级别。
是否需要自定义组?
确定是否创建自定义组的过程相当简单,并且这种决策对网站的安全性影响很小。 如果出现以下任一情况,请创建自定义组,而不是使用默认组:
您的组织内部的用户角色比默认组中的用户角色多(或少)。 例如,如果除审批者、设计人员以及层次结构管理者外,还有一组人员的任务是向网站发布内容,则您可能需要创建一个"发布者"组。
组织中在站点中执行不同任务的唯一角色有众所周知的名称。 例如,如果您要创建一个公共网站来出售组织的产品,则可能需要创建一个"客户"组来代替"访问者"组或"查看者"组。
您希望保留 Windows 安全组和 SharePoint 组之间的一对一关系。 例如,如果你的组织有一个名为“网站管理员”的安全组,则你可能希望使用该名称作为组名称,以便在管理网站时进行标识。
您希望使用其他组名。
是否需要自定义权限级别?
确定是否自定义权限级别不如确定是否自定义 SharePoint 组那样简单。 如果自定义分配给权限级别的权限,则必须跟踪该更改,验证它是否适用于受更改影响的所有组和站点,并确保更改不会对安全性、服务器容量或性能产生负面影响。
例如,如果您自定义了参与讨论权限级别,使其包括通常属于完全控制权限级别的创建子网站权限,则 Contributors 组的成员就可以创建和拥有子网站,他们可能会邀请恶意用户访问他们的子网站或发布未批准的内容。 如果您自定义了读取权限级别,使其包括通常属于完全控制权限级别的查看使用率数据权限,则 Visitors 组的所有成员都可以查看使用率数据,这可能会引发性能问题。
如果出现以下任一情况,请自定义默认权限级别:
默认权限级别包括除用户执行工作所必需的权限以外的所有权限,而您希望添加该权限。
默认权限级别包括用户不需要的权限。
注意
如果你的组织对属于权限级别的特定权限有安全性或其他顾虑,请不要自定义默认权限级别。 如果要使分配给包含该权限的权限级别或级别的所有用户无法使用该权限,请关闭服务器场中所有 Web 应用程序的权限,而不是更改所有权限级别 若要管理 Web 应用程序的权限,请参阅 在 SharePoint Server 中管理 Web 应用程序的权限。
如果必须对某权限级别进行多处更改,请创建一个包含所需全部权限的自定义权限级别。
如果满足以下任一条件,则可能需要创建更多权限级别:
您希望从特定权限级别中排除几个权限。
您希望为新权限级别定义一组独特的权限。
若要创建权限级别,可以创建权限级别然后选择要包括的权限。
注意
某些权限依赖于其他权限。 如果清除了另一个权限所依赖的权限,也将清除另一个权限。