選擇要使用的安全性群組 (Office SharePoint Server)
本文內容:
決定用來授與網站存取權的 Windows 安全性群組和帳戶
決定是否使用所有已驗證的使用者
決定是否允許匿名使用者存取
工作表
建議您將網站權限指定給群組,而不要指定給個別使用者,以便於管理使用者。在 Microsoft Active Directory 目錄服務中,常使用下列兩種群組類型組織使用者:
通訊群組 僅用於電子郵件通訊但未啟用安全性的群組。通訊群組無法列在定義資源及物件權限所使用的任意存取控制清單 (DACL) 中。
安全性群組 可以列在定義資源及物件權限所使用之任意存取控制清單 (DACL) 中的群組。安全性群組也可用為電子郵件實體。
您可利用直接新增安全性群組並授與整個群組權限的方式,使用安全性群組以控制網站的權限。雖不能以此方式使用通訊群組;但卻可以展開通訊群組清單,並將個別使用者新增至 SharePoint 群組。如使用此方法,即必須管理保持 SharePoint 群組與通訊群組同步處理的程序。如果使用安全性群組,就不需要管理 SharePoint 應用程式中的個別使用者。因為您已將安全性群組本身包含在內,而不是包含群組的個別成員,所以 Active Directory 會替您管理使用者。
決定用於授與網站存取權的 Windows 安全性群組及帳戶
每個組織設定 Windows 安全性群組的方式都不相同。若要以最簡單的方式管理權限,安全性群組應該:
具有足夠的規模和穩定性,使您不需要經常新增其他群組到 SharePoint 網站。
規模不致於過大,如此您才可以指定適當的權限。
例如,名稱為「2 館所有使用者」(all users in building 2) 的安全性群組,其規模可能太大,而無法指定權限,除非剛好 2 館的所有使用者都擁有相同的工作職責,例如應收帳款催收人員。但是這種狀況非常少見,因此您應該尋找一組人數較少的使用者,例如「應收帳款」(accounts receivable) 或其他較小、相關性較高的群組。
決定是否使用所有已驗證的使用者
如果您希望網域內的所有使用者都能夠檢視網站上的內容,請考慮授與所有已驗證的使用者存取權限 (亦即「網域使用者」Windows 安全性群組)。這個特殊的群組允許網域中所有成員存取網站 (按照您選擇的權限層級),不需要您啟用匿名存取。
決定是否允許匿名使用者存取
您可以啟用匿名存取,允許使用者以匿名方式檢視網頁。大部分的網際網路網站都允許匿名檢視網站,但若有人想要編輯網站或在購物網站購買商品,即可能會要求驗證。匿名存取必須在建立 Web 應用程式時,於 Web 應用程式層級授與。若允許 Web 應用程式匿名存取,則網站管理員可決定是否:
授與網站的匿名存取權限。
僅授與清單和文件庫的匿名存取權限。
完全封鎖網站的匿名存取權限。
匿名存取依存於網頁伺服器上的匿名使用者帳戶。這個帳戶是由 Microsoft Internet Information Services (IIS) 建立及維護,而非 SharePoint 網站。根據 IIS 的預設,匿名使用者帳戶為 IUSR_ 電腦名稱。當您啟用匿名存取時,實際上等於是授與該帳戶存取 SharePoint 網站的權限。允許存取網站或存取清單及文件庫,即是將「檢視項目」權限授與匿名使用者帳戶。縱使具有「檢視項目」權限,但匿名使用者能執行的作業仍有限制。匿名使用者無法:
使用 Microsoft Office SharePoint Designer 遠端程序呼叫 (RPC);換言之,他們不能開啟網站以 Office SharePoint Designer 進行編輯。他們也不能使用 DAV (Windows 的網頁資料夾通訊協定);換言之,他們不能檢視 [網路上的芳鄰] 中的網站。
上載或編輯文件庫的文件,包括 wiki 文件庫。
重要
若要建立更安全的網站、清單或文件庫,請勿啟用匿名存取。啟用匿名存取可讓使用者回應清單、討論區和問卷,有可能耗盡伺服器磁碟空間和其他資源。此外,它允許匿名使用者探索網站資訊,包括使用者電子郵件地址和張貼在清單、文件庫和討論區的任何內容。
如果您在不同的區域 (網際網路、外部網路、內部網路、其他) 中擁有相同的 Web 應用程式服務內容,也可以設定匿名使用者在這些區域中的權限原則。以下清單描述這些原則:
無 無任何原則。此為預設選項。網站匿名使用者不套用任何其他權限限制或新增。
讀取 匿名使用者可閱讀內容,除非網站管理員關閉匿名存取。
拒絕寫入 匿名使用者無法寫入內容,即使網站管理員特別嘗試授與匿名使用者帳戶該權限亦然。
拒絕全部 匿名使用者沒有任何存取權限,即使網站管理員特別嘗試將其網站存取權授與匿名使用者帳戶亦然。
工作表
在網站及內容安全性工作表中 (https://go.microsoft.com/fwlink/?linkid=73135&clcid=0x404),列出要使用的安全性群組,及其在網站階層各層級中所需之權限層級。
下載本書
本主題隨附於下列可下載的叢書中,以便於閱讀與列印:
請參閱 Office SharePoint Server 2007 可下載的內容 (英文) 上提供的完整叢書清單。