規劃網站安全性 (Windows SharePoint Services)
本文內容:
關於網站安全性元素
關於指派權限
關於微調權限及權限繼承
選擇要使用的網站安全性級
規劃權限繼承
工作表
本文說明網站集合、網站和子網站層級之存取控制和授權的規劃,並不會說明伺服器或伺服器陣列安全性的規劃。如需規劃其他安全性層面的詳細資訊,例如驗證方法及加密,請參閱<規劃網站和內容安全性 (Windows SharePoint Services)>。
將權限指派給特定安全物件 (如網站、清單或項目) 的使用者和群組,就可以控制網站安全性。當您規劃網站安全性時,需要決定:
想要控制個別安全物件權限的程度。例如,您是否想要控制整個網站的存取,或是否需要特定清單、資料夾或項目的特定安全性設定?
想要分類和管理使用者的方式 (透過使用群組)。本文涵蓋網站安全性的基本項目,並協助您決定要套用特定權限的安全物件。如需將使用者分組的詳細資訊,請參閱<選擇要使用的安全性群組 (Windows SharePoint Services)>。
注意
群組和權限的互動方式與舊版本有極大的變更。在舊版本中,網站層級群組用來包含使用者和權限,即當您將使用者新增至網站群組時,就會自動決定要授與使用者的網站權限。在這個版本中,使用者和權限群組的概念已加以區分:網站集合層級的 SharePoint 群組包含使用者、權限層級則包含權限,而群組在獲得指派特定安全物件 (如網站、清單或文件庫、資料夾、項目或文件) 的權限層級之前沒有任何權限。
關於網站安全性元素
不論建立的網站類型為何,網站的安全性都包括下列五種元素:
個別使用者權限 授與執行特定動作之能力的個別權限。例如,檢視項目權限會授與使用者檢視清單項目的能力。伺服器陣列管理員可以使用管理中心的 [Web 應用程式的使用者權限] 頁面來控制伺服器陣列的可用權限 (若要開啟此頁面,請在 [應用程式管理] 頁面的 [應用程式安全性] 下,按一下 [Web 應用程式的使用者權限]****)。如需可用權限的相關資訊,請參閱<使用者權限與權限層級>。
權限層級 授與使用者執行相關動作之權限的預先定義權限集。預設的權限層級如下:限制存取、讀取、參與、設計和完全控制。例如,「讀取」權限層級包括「檢視項目」、「開啟項目」、「檢視頁面」和「檢視版本」權限等,而且需要所有這些權限,才能讀取 SharePoint 網站的文件、項目和頁面。權限可以包括多個權限層級。權限層級可以由已被指定該權限層級且包含「管理權限」權限的任何使用者加以自訂。如需預設權限層級及其中包含哪些權限的相關資訊,請參閱<使用者權限與權限層級>。
使用者 具有使用者帳戶且可以透過伺服器所用驗證方法進行驗證的人員。您可以新增個別使用者,並直接指派每位使用者的權限層級;而使用者並不需要是群組的成員。建議您將權限指派給群組,而不是使用者。因為直接維護使用者帳戶是沒有效率的作法,所以您應該只有在例外情況下才以個別方式指派使用者的權限。如需使用者帳戶類型的詳細資訊,請參閱<使用者權限與權限層級>。
群組 使用者的群組。可以是您新增至網站的 Windows 安全性群組 (如 Department_A) 或 SharePoint 群組 (如網站擁有者、網站成員或網站訪客)。每個 SharePoint 群組都會獲指派預設權限層級,但是您可以根據需要來變更任何群組的權限層級。指定包含「建立群組」權限 (預設包含在「完全控制」權限層級) 之權限層級的任何使用者,皆可建立自訂 SharePoint 群組。
安全物件 將特定安全物件 (網站、清單、文件庫、資料夾、文件或項目) 的權限層級指派給使用者或群組。根據預設,清單、文件庫、資料夾、文件或項目的權限,會繼承自上層網站或上層清單或文件庫。不過,已指派特定安全物件之權限層級且包括「管理權限」權限的所有人,都可以變更該安全物件的權限。根據預設,權限一開始是在網站層級控制,所有清單和文件庫都會繼承網站的權限。而使用清單層級、資料夾層級和項目層級的權限,即可進一步控制哪些使用者可以檢視網站內容或與之互動。您隨時都可以回復從父項清單、整個網站或父項網站繼承權限。
關於指派權限
您可以將特定安全物件 (網站、清單或項目) 的權限層級指派給使用者或群組。個別使用者或群組可以具有不同安全物件的不同權限層級。
注意
因為直接維護使用者帳戶是沒有效率的作法,所以建議您盡量使用群組權限。特別的是,如果您使用微調權限 (請參閱下一節),就應該使用群組以避免需要追蹤個別使用者帳戶。人員可能會經常在小組中加入、退出及變更職務,而追蹤所有的變更且不斷更新安全性物件的權限並不實際,所以只要掌握安全性物件的唯一權限即可。
下圖說明如何將特定安全物件的特定權限層級指派給使用者和群組。
.gif "特定授權層級")
關於微調權限和權限繼承
您可以使用微調權限 (清單或文件庫、資料夾或者項目或文件層級的權限) 更精確地控制使用者可以在您網站上採取的動作。下列是可以進行權限指派的安全物件:
網站 控制整個網站的存取權。
清單或文件庫 控制特定清單或文件庫的存取權。
資料夾 控制資料夾內容 (如資料夾名稱) 的存取權。
項目或文件 控制特定清單項目或文件的存取權。
權限繼承及微調權限
根據預設,網站內的權限是從網站繼承而來。不過,您可以編輯安全物件的權限 (指派唯一的權限) 來中斷位於階層層級較低之任何安全物件的繼承關係。例如,您可以編輯文件庫的權限,來中斷其網站繼承關係。不過,只會中斷已指派權限之特定安全物件的繼承;網站的其餘權限則不會變更。您可以隨時回到從上層清單或網站繼承權限的架構。
權限繼承及子網站
網站本身也是可以指派權限的安全物件。您可以設定子網站繼承其父項網站的權限,也可以為特定網站建立唯一權限。繼承權限是最簡單的網站群組管理方式。不過,如果子網站是從其父項繼承權限,則會共用該權限集。這表示權限繼承自父項網站的子網站擁有者,可以編輯該父項網站的權限。若要單獨變更子網站的權限,則必須停止繼承權限,然後進行變更。
子網站可以繼承父項網站的權限。您可以建立唯一的權限,以停止繼承子網站的權限。如此會將群組、使用者和權限層級從父項網站複製至子網站,然後中斷繼承。如果您將唯一的權限變更為已繼承,則使用者、群組和權限層級會開始變為已繼承,而且會遺失唯一定義於子網站的任何使用者、群組或權限層級。也會繼承權限層級 (預設它們本身就是繼承而來),而且不論套用的物件為何,「讀取」權限層級都會相同。您可以編輯權限層級以中斷該繼承。例如,您可能不會想要特定子網站的「讀取」權限層級包括「建立提醒」權限。
選擇使用的網站安全性層級
當您建立權限結構時,請務必要尋找簡易管理、效能與控制個別項目之特定權限需要間的平衡。如果您使用微調權限擴充性,則需要較多的時間來管理權限,而且使用者在嘗試存取網站內容時效能會變慢。在任何伺服器或網站中,也務必要在製作網站存取權時遵循最低權限的準則:使用者應該只有他們需要使用的權限層級。請使用標準群組 (如成員、訪客和擁有者) 並控制網站層級的權限,以進行最簡單的管理。請將大部分使用者成員指派為 Visitors 或 Members 群組。請將擁有者群組的人數限制為僅限那些想要允許變更網站結構或變更網站設定與外觀的使用者。Members 群組中的使用者預設都可以參與網站 (新增或移除項目或文件),但是無法變更網站的結構或變更網站設定與外觀。如果您需要進一步控管使用者能夠採取的動作,則可以建立其他 SharePoint 群組和權限層級。
如果包含在特定清單、文件庫、資料夾、項目或文件中的資料是需要更高安全性的機密資料,則可以將權限授與特定群組或個別使用者。不過,請注意並沒有方法可以檢視網站內清單、文件庫、資料夾、項目或文件特有的所有權限。這表示很難快速確認誰擁有安全物件的權限,也很難大量重設任何微調權限。
規劃權限繼承
當權限和已繼承權限具有明確階層時,就很容易管理權限。但在網站內的部分清單套用微調權限時,以及部分網站的子網站具有唯一權限而部分子網站具有已繼承權限時,則會更為困難。請盡可能安排網站和子網站以及清單和文件庫,讓它們可以共用大部分的權限。請將機密資料放到它們自己的清單、文件庫或子網站。
例如,管理具有下表所說明權限繼承的網站會較容易。
| 安全性物件 | 描述 | 唯一或繼承的權限 |
|---|---|---|
SiteA |
群組首頁 |
唯一 |
SiteA/SubsiteA |
機密群組 |
唯一 |
SiteA/SubsiteA/ListA |
機密資料 |
唯一 |
SiteA/SubsiteA/LibraryA |
機密文件 |
唯一 |
SiteA/SubsiteB |
群組共用專案資訊 |
繼承 |
SiteA/SubsiteB/ListB |
非機密資料 |
繼承 |
SiteA/SubsiteB/LibraryB |
非機密文件 |
繼承 |
相較之下,管理具有下表所說明權限繼承的網站,則較不容易。
| 安全性物件 | 描述 | 唯一或繼承的權限 |
|---|---|---|
SiteA |
群組首頁 |
唯一 |
SiteA/SubsiteA |
機密群組 |
唯一 |
SiteA/SubsiteA/ListA |
非機密資料 |
唯一但權限與 SiteA 相同 |
SiteA/SubsiteA/LibraryA |
非機密文件,但具有一或兩份機密文件 |
繼承,具有文件層級的唯一權限 |
SiteA/SubsiteB |
群組共用專案資訊 |
繼承 |
SiteA/SubsiteB/ListB |
非機密資料,但具有一或兩個機密項目 |
繼承,具有項目層級的唯一權限 |
SiteA/SubsiteB/LibraryB |
非機密文件,但具有內含機密文件的特殊資料夾 |
繼承,具有資料夾和文件層級的唯一權限 |
工作表
使用下列工作表來填寫您的網站階層,然後列出每個階層層級需要的權限和任何權限繼承: