SharePoint 中的各个权限级别
虽然 SharePoint 为网站提供了各种权限级别,但我们强烈建议对通信网站使用内置的 SharePoint 组,并通过关联的 Microsoft 365 组来管理团队网站权限。 这使得管理更加容易。 有关在 SharePoint 新式体验中管理权限的信息,请参阅SharePoint 新式体验中的共享和权限。
了解权限级别
处理权限的最简便方法是使用所提供的默认组和权限级别,这涵盖了大多数常见方案。 但是,如果需要,可以设置优于默认级别的更细化权限。 本文介绍不同的权限和权限级别、如何结合使用 SharePoint 组和权限以及权限如何通过网站集级联。
注意
想要直接转到更改或设置权限级别的步骤? 请参阅如何创建和编辑权限级别。
权限继承概述
如果在某个网站中操作,则同时也是在某个网站集内进行操作。 每个网站都存在于一个网站集中,网站集是指位于首要网站下的一组网站。 首要网站称为网站集的根网站。
以下网站集图显示了一个简单的网站、列表和列表项层次结构。 权限范围进行了编号,从可以设置权限的最广泛范围开始,在最窄级别处(列表中的单个项目)结束。
继承
权限继承是要了解的一个重要概念。 按照设计,集合中的所有网站和网站内容都会继承根网站或首要网站的权限设置。 为网站、库和项分配独有权限时,这些项不再从父网站继承权限。 下面详细介绍了权限在层次结构中的工作方式:
网站集管理员为整个集合配置首要网站或根网站的权限。
如果你是网站所有者,可以更改网站的权限设置,从而停止网站的权限继承。
列表和库会从其所属的网站继承权限。 如果你是网站所有者,则可以停止权限继承,并更改列表或库的权限设置。
列表项和库文件从其父列表或库继承权限。 如果拥有列表或库的控制权限,则可以停止权限继承,并直接在特定项目中更改权限设置。
用户可以通过与不具有访问权限的人员共享文档或项来中断列表或库项的默认权限继承,知道这一点非常重要。 在这种情况下,SharePoint 会自动停止文档的继承。
默认权限级别
使用默认权限级别,可快速轻松地为一个用户或多个用户组提供常见级别的权限。
可更改任何默认权限级别,“完全控制”和“受限访问”除外,下表对这两种情况进行了更详细的说明。
权限级别 | 说明 |
---|---|
完全控制 |
包含所有可用的 SharePoint 权限。 默认情况下,此权限级别分配给"所有者"组。 不能自定义或删除该权限级别。 |
设计 |
可以在网站上创建列表和文档库、编辑页面以及应用主题、边框和样式表。 该权限级别不会自动分配给任何 SharePoint 组。 |
编辑 |
添加、编辑和删除列表;查看、添加、更新和删除列表项和文档。 默认情况下,此权限级别分配给"成员"组。 |
参与 |
查看、添加、更新和删除列表项和文档。 |
读取 |
查看现有列表和文档库中的页面和项目,以及下载文档。 |
受限访问 |
在用户或组没有权限打开或编辑网站或库中任何其他项目的情况下,允许其浏览到网站页面或库以访问特定内容项目。 提供对一个特定项目的访问权限时,SharePoint 会自动分配此级别。 不能直接自行将"受限访问"权限分配给用户或组。 分配对单个项目的编辑或打开权限时,SharePoint 会自动将"受限访问"分配给其他所需位置,例如单个项目所在的网站或库。 这可让 SharePoint 正确显示用户界面,并向使用者显示使用者所在网站位置附近的一些内容。 受限访问不会授予任何其他权限给用户,因此他们无法查看或访问任何其他内容。 |
仅 Web 受限访问 |
仅 Web 受限访问是“受限访问”权限级别的一个变体,它允许用户仅访问 Web 对象。 |
批准 |
编辑并审批页面、列表项和文档。 默认情况下, “审批者” 组具有此权限。 |
管理层次结构 |
创建网站和编辑网页、列表项和文档。 默认情况下,此权限级别分配给 “层次结构管理器” 组。 |
受限读取 |
查看网页和文档,但无法查看历史版本或用户权限。 |
仅查看 |
查看页面、项目和文档。 任何具有服务器端文件处理程序的文档都可以在浏览器中查看,但不能下载。 无法在浏览器) 中打开没有服务器端文件处理程序 (的文件类型,例如视频文件和 .png 文件。 |
注意
Microsoft 365 订阅创建一个名为“除外部用户外的所有人”的安全组,该组包含添加到 Microsoft 365 目录中的每个人(明确添加为外部用户的人除外)。 此安全组会自动添加到新式团队网站上的“成员”组,并具有“公开”隐私设置,好让 Microsoft 365 中的用户可以访问并编辑 SharePoint 网站。 另外,对于创建为“私人”的新式团队网站,“除外部用户之外的所有人”都不能被授予任何权限,并且必须明确地授予人员权限。 此外,Microsoft 365 订阅会创建一个名为"公司管理员"的安全组,该组包含 Microsoft 365 管理员(如全局管理员和帐务管理员)。 此安全组已添加到网站集管理员组。 有关详细信息,请参阅默认 SharePoint 组。
默认情况下,站点所有者和成员可以向站点添加新用户。
要了解有关“除外部用户以外的所有人”权限的详细信息,请参阅特殊 SharePoint 组
权限级别和 SharePoint 组
权限级别可与 SharePoint 组结合使用。 SharePoint 组是一组具有相同权限级别的用户。
其工作方式是将相关权限放在一个权限级别。 然后将该权限级别分配给 SharePoint 组。
默认情况下,每种 SharePoint 网站都包含特定 SharePoint 组。 例如,工作组网站自动包括"所有者"、"成员"和"访问者"组。 "发布门户"网站包括以上组,还包括其他一些组,如"审批者"、"设计者"、"层次结构管理者"等。 在创建网站时,SharePoint 会自动为该网站创建预定义的 SharePoint 组集合。 此外,SharePoint 管理员可以定义自定义组和权限级别。
若需了解有关 SharePoint 组的详细信息,请参阅了解 SharePoint 组。
默认情况下你网站中包含的 SharePoint 组和权限级别可能有所不同,具体取决于:
您为网站选择的模板
SharePoint 管理员是否在网站上创建了具有特定用途(如搜索)的唯一权限集
下表描述了以下三个标准组的默认权限级别和关联权限:"访问者"、"成员"和"所有者"。
组 | 权限级别 |
---|---|
访问者 |
读取此级别包括以下权限: 打开 查看"项目"、"版本"、"页面"和"应用程序"页面 浏览用户信息 创建通知 使用自助式网站创建 使用远程接口 使用客户端集成功能 |
成员 |
编辑此级别包括"读取"中的所有权限,以及: 查看、添加、更新和删除项目 添加、编辑和删除列表 删除版本 浏览目录 编辑个人用户信息 管理个人视图 添加、更新或删除个人 Web 部件 |
所有者 |
完全控制 此级别包括所有可用的 SharePoint 权限。 |
网站权限和权限级别
网站权限通常应用于整个 SharePoint 网站。 下表描述了应用于网站的权限,并显示使用这些权限的权限级别。
权限 | 完全控制 | 设计 | 编辑 | 参与 | 读取 | 受限访问 | 批准 | 管理层次结构 | 受限读取 | 仅查看 |
---|---|---|---|---|---|---|---|---|---|---|
管理权限 |
X |
X |
||||||||
查看 Web 分析数据 |
X |
X |
||||||||
创建子网站 |
X |
X |
||||||||
管理网站 |
X |
X |
||||||||
添加和自定义网页 |
X |
X |
X |
|||||||
应用主题和边框 |
X |
X |
||||||||
应用样式表 |
X |
X |
||||||||
创建组 |
x |
|||||||||
浏览目录 |
X |
X |
X |
X |
X |
X |
||||
使用自助式网站创建 |
X |
X |
X |
X |
X |
X |
X |
X |
||
查看网页 |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
枚举权限 |
X |
X |
||||||||
浏览用户信息 |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
管理通知 |
X |
X |
||||||||
使用远程接口 |
X |
X |
X |
X |
X |
X |
X |
X |
||
使用客户端集成功能 |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
打开 |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
编辑个人用户信息 |
X |
X |
X |
X |
X |
X |
列表权限和权限级别
列表权限应用于列表和库中的内容。 下表描述了应用于列表和库的权限,并显示使用这些权限的权限级别。
权限 | 完全控制 | 设计 | 编辑 | 参与 | 读取 | 受限访问 | 批准 | 管理层次结构 | 受限读取 | 仅查看 |
---|---|---|---|---|---|---|---|---|---|---|
管理列表 |
X |
X |
X |
X |
||||||
替代签出 |
X |
X |
X |
X |
||||||
添加项目 |
X |
X |
X |
X |
X |
X |
||||
编辑项目 |
X |
X |
X |
X |
X |
X |
||||
删除项目 |
X |
X |
X |
X |
X |
X |
||||
查看项目 |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
审批项目 |
X |
X |
X |
|||||||
打开项目 |
X |
X |
X |
X |
X |
X |
X |
X |
||
查看版本 |
X |
X |
X |
X |
X |
X |
X |
X |
||
删除版本 |
X |
X |
X |
X |
X |
X |
||||
创建通知 |
X |
X |
X |
X |
X |
X |
X |
X |
||
查看应用程序页面 |
X |
X |
X |
X |
X |
X |
X |
X |
个人权限和权限级别
个人权限应用于属于单个用户的内容。 下表描述了应用于个人视图和 Web 部件的权限,并显示使用这些权限的权限级别。
权限 | 完全控制 | 设计 | 编辑 | 参与 | 读取 | 受限访问 | 批准 | 管理层次结构 | 受限读取 | 仅查看 |
---|---|---|---|---|---|---|---|---|---|---|
管理个人视图 |
X |
X |
X |
X |
X |
X |
||||
添加/删除专用 Web 部件 |
X |
X |
X |
X |
X |
X |
||||
更新个人 Web 部件 |
X |
X |
X |
X |
X |
X |
权限和依赖权限
SharePoint 权限可以依赖于其他 SharePoint 权限。 例如,要查看某个项目,必须能够将其打开。 这样,"查看项目"权限就依赖于"打开"权限。
当你选择依赖于另一个 SharePoint 权限的 SharePoint 权限时,SharePoint 会自动选择相关联的权限。 同样,当你清除 SharePoint 权限时,SharePoint 会自动清除依赖于该权限的任何 SharePoint 权限。 例如,当你清除"查看项目",SharePoint 会自动清除"管理列表"(如果不能查看项目,就不能管理列表)。
提示
[!提示] 只有"打开"才是没有依赖项的 SharePoint 权限。 所有其他 SharePoint 权限均依赖于该权限。 若要测试自定义权限级别,只需清除"打开"。 此操作将自动清除所有其他权限。
以下各节包含描述每个权限类别的 SharePoint 权限的表。 该表显示每个权限的依赖权限。
下表描述了应用于网站的权限,并显示依赖这些权限的权限。
权限 | 说明 | 依赖的权限 |
---|---|---|
管理权限 |
创建并更改网站上的权限级别,并为用户和组分配权限。 |
查看项目、打开项目、查看版本、查看页面、浏览目录、枚举权限、浏览用户信息、打开 |
查看 Web 分析数据 |
查看网站的使用情况报告。 |
查看网页、打开 |
创建子网站 |
创建子网站,例如工作组网站、会议工作区网站和文档工作区网站。 |
查看网页、浏览用户信息、打开 |
管理网站 |
执行网站的所有管理任务,其中包括管理内容。 |
查看页面、添加和自定义页面、浏览目录、枚举权限、浏览用户信息、打开 |
添加和自定义网页 |
添加、更改或删除 HTML 页面或 Web 部件页,通过使用与 Windows SharePoint Services 兼容的编辑器编辑网站。 |
查看项目、浏览目录、查看网页、打开 |
应用主题和边框 |
将主题或边框应用于整个网站。 |
查看网页、打开 |
应用样式表 |
将样式表(.css 文件)应用于网站。 |
查看网页、打开 |
创建组 |
创建可在网站集合内的任何位置使用的用户组。 |
查看网页、浏览用户信息、打开 |
浏览目录 |
使用界面(例如 SharePoint Designer 或基于 Web 的分布式制作和版本管理 (Web DAV))来枚举网站中的文件和文件夹。 |
查看网页、打开 |
使用自助式网站创建 |
通过使用自助式网站创建功能来创建网站。 |
查看网页、浏览用户信息、打开 |
查看网页 |
查看网站中的网页。 |
打开 |
枚举权限 |
枚举网站、列表、文件夹、文档或列表项的权限。 |
查看项目、打开项目、查看版本、浏览目录、查看网页、浏览用户信息、打开 |
浏览用户信息 |
查看有关网站用户的信息。 |
打开 |
管理通知 |
管理网站所有用户的通知。 |
查看项目、创建通知、查看网页、打开 |
使用远程接口 |
使用简单对象访问协议 (SOAP)、Web DAV 或 SharePoint Designer 界面访问网站。 |
打开 |
使用客户端集成功能 |
使用启动客户端应用程序的功能。 |
使用远程接口、打开 |
打开* |
打开网站、列表或文件夹以访问该容器中的项目。 |
没有依赖的权限 |
编辑个人用户信息 |
允许用户更改个人信息,例如添加图片。 |
浏览用户信息、打开 |
下表描述了应用于列表和库的权限,并显示依赖这些权限的权限。
权限 | 说明 | 依赖的权限 |
---|---|---|
管理列表 |
创建和删除列表、在列表中添加或移除列以及添加或移除列表的公共视图。 |
查看项目、查看网页、打开、管理个人视图 |
替代签出 |
放弃或签入已签出到另一个用户的文档。 |
查看项目、查看网页、打开 |
添加项目 |
向列表添加项目,向文档库添加文档,以及添加 Web 讨论备注。 |
查看项目、查看网页、打开 |
编辑项目 |
编辑列表中的项目、编辑文档库中的文档、编辑文档中的 Web 讨论备注,以及自定义文档库中的 Web 部件页。 |
查看项目、查看网页、打开 |
删除项目 |
删除列表中的项目,文档库中的文档,以及文档中的 Web 讨论备注。 |
查看项目、查看网页、打开 |
查看项目 |
查看列表中的项目、文档库中的文档以及 Web 讨论备注。 |
查看网页、打开 |
审批项目 |
审批列表项或文档的次要版本。 |
编辑项目、查看项目、查看网页、打开 |
打开项目 |
查看使用服务器端文件处理程序的文档源。 |
查看项目、查看网页、打开 |
查看版本 |
查看列表项或文档的以前版本。 |
查看项目、查看网页、打开 |
删除版本 |
删除列表项或文档的以前版本。 |
查看项目、查看版本、查看网页、打开 |
创建通知 |
创建电子邮件通知。 |
查看项目、查看网页、打开 |
查看应用程序页面 |
查看文档和列表或文档库中的视图。 |
打开 |
下表描述了应用于个人视图和 Web 部件的权限,并显示依赖这些权限的级别。
权限 | 说明 | 依赖的权限 |
---|---|---|
管理个人视图 |
创建、更改和删除列表的个人视图。 |
查看项目、查看网页、打开 |
添加/删除专用 Web 部件 |
添加或删除 Web 部件页上的专用 Web 部件。 |
查看项目、查看网页、打开、更新个人 Web 部件 |
更新个人 Web 部件 |
更新 Web 部件以显示个性化信息。 |
查看项目、查看网页、打开 |
锁定模式
受限访问用户权限锁定模式 是一种 网站集功能 ,可用于保护已发布的网站。 开启锁定模式后,会减少受限访问权限级别的细粒度权限。 下表详述了受限访问权限级别的默认权限和开启锁定模式功能后减少的权限。
权限 | 受限访问 - 默认 | 受限访问 - 锁定模式 |
---|---|---|
列表权限:查看应用程序页面 |
X |
|
网站权限:浏览用户信息 |
X |
X |
网站权限:使用远程接口 |
X |
|
网站权限:使用客户端集成功能 |
X |
X |
网站权限:打开 |
X |
X |
所有发布网站都默认开启锁定模式,包括已应用到网站集的旧发布网站模板。 如果你的网站对安全性具有更高要求,建议配置锁定模式。
如果禁用受限访问用户权限锁定模式网站集功能,则处于“受限访问”权限级别的用户(例如匿名用户)可以访问网站的某些区域。
制定权限策略
现在,你已了解权限、继承和权限级别,你可能需要制定策略,以便为用户设置指南、最小化维护并确保符合组织的数据管理策略。 有关制定策略的提示,请参阅制定权限策略。