規劃網站權限 (SharePoint Foundation 2010)
適用版本: SharePoint Foundation 2010
上次修改主題的時間: 2016-11-30
本文可協助您規劃網站集合、網站、子網站和網站內容 (清單或文件庫、資料夾、項目或文件) 層級的存取控制,並說明權限繼承及微調權限觀念。
本文不討論如何規劃整個伺服器或伺服器陣列的安全性。如需規劃其他像是驗證方法與驗證模式等安全性層面的相關資訊,請參閱<規劃驗證方法 (SharePoint Foundation 2010)>。
本文內容:
關於網站權限
關於權限繼承
規劃網站權限
規劃權限繼承
簡介
您可以在網站集合內的下列層級,針對特定網站或網站內容將權限指派給使用者或群組,以控制網站和網站內容的存取:
網站
文件庫或清單
資料夾
文件或項目
制定網站及內容存取的規劃之前,應考量下列事項:
您要將網站或網站內容權限控制到多細微的程度?例如,您可能想控制網站層級的存取,或對特定清單、資料夾或項目制定比較嚴格的安全性設定。
您想要如何使用 SharePoint 群組分類及管理使用者?群組在獲派特定網站或網站內容的權限等級之前,並不具任何權限。當您在網站集合層級指派權限等級給 SharePoint 群組時,所有網站及網站內容預設會繼承這些權限等級。
如需使用群組協助管理權限的詳細資訊,請參閱<選擇安全性群組 (SharePoint Foundation 2010))>。
關於網站權限
您應該先了解下列概念,然後再開始設計您的權限規劃。
權限 權限可授與使用者執行特定動作的能力。例如,「檢視項目」權限可讓使用者檢視清單或資料夾中的項目,但無法讓使用者新增或移除項目。您可將網站或網站內容層級的權限授與個別使用者。
如需可用權限的相關資訊,請參閱<使用者權限與權限等級 (SharePoint Foundation 2010)>。
微調權限 微調權限是在網站階層裡較低層級中的安全物件上使用的唯一權限,例如清單或文件庫、資料夾或是項目或文件的權限。微調權限可更詳細將權限分級和自訂網站集合中的使用者權限。
權限等級 權限等級是權限集合,可讓使用者執行一組相關的工作。例如,「讀取」權限等級包括「檢視項目」、「開啟項目」、「檢視頁面」和「檢視版本」權限 (及其他),這些全是檢視 SharePoint 網站中的網頁、文件和項目所需的權限。權限可包含在多個權限等級中。
權限等級定義在網站集合層級,凡包括「管理權限」權限的任何使用者或群組,皆可自訂權限等級。如需自訂權限等級的詳細資訊,請參閱<設定自訂權限 (SharePoint Foundation 2010)>。
預設的權限等級如下:「限制存取」、「讀取」、「參與」、「設計」及「完全控制」。如需預設權限等級及各等級所含權限的相關資訊,請參閱<使用者權限與權限等級 (SharePoint Foundation 2010)>。
SharePoint 群組 SharePoint 群組是定義在網站集合層級的一群使用者,方便您管理權限。每個 SharePoint 群組皆已指派預設的權限等級。例如,預設的 SharePoint 群組有「擁有人」、「訪客」及「成員」,其預設權限等級分別為「完全控制」、「讀取」和「參與」。凡包含「完全控制」權限的任何人員,皆可建立自訂群組。
使用者 使用者是具有使用者帳戶的人員,其帳戶是由 Web 應用程式支援的任何驗證提供者所提供。您雖可直接授與個別使用者網站或特定內容的權限,但仍建議您將權限指派給群組,而不要指派給使用者。由於維護個別使用者帳戶的效率不佳,因此應只在例外狀況時才個別指派使用者的權限。
安全物件 安全物件是其權限等級可指派給使用者或群組的網站、清單、文件庫、資料夾、文件或項目。網站內所有清單及文件庫預設會繼承網站的權限。您可使用清單層級、資料夾層級及項目層級的權限,進一步控制可檢視網站內容或與之互動的使用者。您必須先中斷權限繼承,才能變更或指派該安全物件的權限。您可以隨時恢復繼承自父項清單或網站的權限。
您可以將特定安全物件的權限指派給使用者或群組。每個使用者或群組可有不同之安全物件的不同權限。下圖說明權限、使用者和群組與安全物件之間的關係。
關於權限繼承
網站內安全物件的權限預設會繼承自父物件。您可以中斷繼承並使用微調權限 (清單或文件庫、資料夾、項目或文件層級的唯一權限),更精微地控制使用者可在您網站上執行的動作。如需使用微調權限之最佳作法的詳細資訊,請參閱使用微調權限的最佳作法
停止繼承權限會先從父物件將群組、使用者及權限等級複製到子物件,然後再中斷繼承。權限繼承中斷時,所有權限都很明確,而且對父物件所做的任何變更都不會影響其子物件。如果恢復繼承權限,子物件會再次繼承父物件的使用者、群組及權限等級,而子物件特有的所有使用者、群組或權限等級都將遺失。
為方便管理,請儘可能使用權限繼承。
提示
如果您選擇中斷繼承並使用微調權限,應使用群組,以避免必須追蹤個別使用者帳戶。因為小組的成員及職責更迭頻繁,追蹤變更及更新特定安全物件的權限,不僅耗時,又容易出錯。
規劃網站權限
當您建立權限時,必須在管理的方便性與效能,以及控制個別項目之存取的需求之間取得平衡。若擴大使用微調的權限會花較多的時間管理權限,且使用者在嘗試存取網站內容時效能會變慢。
請使用下列準則規劃網站權限:
請遵循基本權限的原則:使用者應只有執行其指派工作所需的權限等級或個別權限。
請使用標準群組 (如成員、訪客和擁有人) 並控制網站層級的權限。
請將大部分使用者成員指派為「成員」或「訪客」群組。「成員」群組中的使用者預設都可以參與網站 (藉由新增或移除項目或文件),但是無法變更結構、網站設定或網站的外觀。「訪客」群組具有網站的唯讀權限,這表示他們可以檢視頁面與項目,以及開啟項目與文件,但不可以新增或移除頁面、項目或文件。
限制「擁有人」群組中的人數。只有您信任可變更網站之結構、設定或外觀的使用者,才應加入「擁有人」群組。
使用權限等級,而非指派個別權限。
注意
-
若需要進一步控管使用者能夠採取的動作,則可以建立其他 SharePoint 群組和權限等級。例如,若不想讓特定子網站的「讀取」權限等級包括「建立提醒」權限,請中斷繼承,並為該子網站自訂「讀取」權限等級。
-
Microsoft SharePoint Foundation 2010 與 SharePoint Server 2010 使用 [檢查權限],來判斷使用者或群組在網站集合內所有資源的權限。您現在可透過檢查特定網站或網站內容的權限,來尋找使用者直接指派的權限及指派給使用者所屬之任何群組的權限。
規劃權限繼承
明確地界定權限與繼承之權限的階層,可以比較容易管理權限。但網站內如有一些清單套用微調權限,一些網站的子網站使用唯一的權限,另有一些使用繼承的權限,則會增加管理的困難度。
例如,使用下表所述之權限繼承的網站較好管理。
安全物件 | 描述 | 唯一或繼承的權限 |
---|---|---|
SiteA |
群組首頁 |
唯一 |
SiteA/SubsiteA |
機密群組 |
唯一 |
SiteA/SubsiteA/ListA |
機密資料 |
唯一 |
SiteA/SubsiteA/LibraryA |
機密文件 |
唯一 |
SiteA/SubsiteB |
群組共用專案資訊 |
繼承 |
SiteA/SubsiteB/ListB |
非機密資料 |
繼承 |
SiteA/SubsiteB/LibraryB |
非機密文件 |
繼承 |
但使用下表所述之權限繼承的網站則相對較不易管理。
安全物件 | 描述 | 唯一或繼承的權限 |
---|---|---|
SiteA |
群組首頁 |
唯一 |
SiteA/SubsiteA |
機密群組 |
唯一 |
SiteA/SubsiteA/ListA |
非機密資料 |
唯一但權限與 SiteA 相同 |
SiteA/SubsiteA/LibraryA |
非機密文件,但具有一或兩份機密文件 |
繼承,具有文件層級的唯一權限 |
SiteA/SubsiteB |
群組共用專案資訊 |
繼承 |
SiteA/SubsiteB/ListB |
非機密資料,但具有一或兩個機密項目 |
繼承,具有項目層級的唯一權限 |
SiteA/SubsiteB/LibraryB |
非機密文件,但具有內含機密文件的特殊資料夾 |
繼承,具有資料夾和文件層級的唯一權限 |