共用方式為

選擇安全性群組 (SharePoint Foundation 2010)

  • 發行項

 

適用版本: SharePoint Foundation 2010

上次修改主題的時間: 2016-11-30

本文說明 Active Directory® 網域服務 (AD°DS) 中所包括的安全性與通訊群組。本文也提供使用這些群組以組織 SharePoint 網站使用者的建議。

本文內容:

  • 決定是否新增安全性群組

  • 決定用於授與網站存取權的安全性群組

  • 決定是否允許所有已驗證的使用者存取

  • 決定是否允許匿名使用者存取

簡介

將權限等級指派給群組而非個別使用者,可便於管理 SharePoint 網站的使用者。SharePoint 群組是一組個別的使用者,也可以包含 Active Directory 群組。在 Active Directory 網域服務 (ADDS) 中,常使用下列群組組織使用者:

  • 通訊群組   只用於電子郵件通訊但無安全性功能的群組。通訊群組無法列在用於定義資源及物件權限的任意存取控制清單 (DACL) 中。

  • 安全性群組   可列在 DACL 中的群組。安全性群組也可用為電子郵件實體。

您可利用將安全性群組新增到 SharePoint 群組,並授與 SharePoint 群組權限的方式,使用安全性群組控制網站的權限。雖無法將通訊群組新增至 SharePoint 群組,但可以展開通訊群組,並將個別成員新增至 SharePoint 群組。若使用此方法,即必須手動保持 SharePoint 群組與通訊群組的同步處理。若使用安全性群組,就不需要管理 SharePoint 應用程式中的個別使用者。因為您已將安全性群組本身包含在內,而不是包含群組的個別成員,所以 AD DS 會替您管理使用者。

注意

為方便管理安全性,管理 Active Directory 群組時,不建議採用下列各項:

  • 直接將權限等級指派給 Active Directory 群組。

  • 新增包含巢狀安全性群組、連絡人或通訊群組清單的安全性群組

決定是否新增安全性群組

在 SharePoint 群組新增安全性群組可集中管理群組和安全性。安全性群組是唯一可以管理個別使用者的地方。在 SharePoint 群組新增安全性群組後,您不需要在該 SharePoint 群組中管理安全性群組成員。如果從安全性群組中移除使用者,該使用者便會從 SharePoint 群組自動移除。

不過,在 SharePoint 網站中使用安全性群組會無法讓您看到事情發生的全貌。例如,將安全性群組新增至特定網站的 SharePoint 群組後,該網站將不會顯示在使用者的 [我的網站]。除非個別使用者參與該網站,否則 [使用者資訊清單] 不會顯示這些使用者。此外,巢狀結構極深的安全性群組可能會損壞 SharePoint 網站。

考量上述的優點與缺點後,我們提供的建議如下:

  • 如果是使用者大量存取的內部網路網站,請使用安全性群組,因為您不須提防存取內部網路網站首頁的個別使用者。

  • 如果是一小群使用者存取的共同作業網站,請將使用者直接新增至 SharePoint 群組。在此情況下,比較需要知道使用者是否為成員,以便讓群組成員知道彼此的電子郵件地址,以及如何相互連絡。

決定用於授與網站存取權的安全性群組

每個組織設定其安全性群組的方式都不相同。若要以更簡單的方式管理權限,安全性群組應:

  • 具有足夠的規模與穩定性,使您不需要經常新增其他安全性群組至 SharePoint 網站。

  • 規模不致於過大,如此您才可以指定適當的權限。

例如,名稱為「2 館所有使用者」的安全性群組,規模可能太大而無法指派權限,除非 2 館的所有使用者都擁有相同的工作職責,例如應收帳款帳務人員。但是這種狀況非常少見,因此您應尋找一組人數較少且更特定的使用者,例如「應收帳款」。

決定是否允許所有已驗證的使用者存取

若希望網域內的所有使用者都能夠檢視網站上的內容,請考慮授與所有已驗證的使用者存取權 (亦即「網域使用者」Windows 安全性群組)。此特殊群組會允許網域中所有成員存取網站 (依照所選擇的權限等級),而不需要您啟用匿名存取。

決定是否允許匿名使用者存取

您可以用匿名存取,讓使用者以匿名方式檢視網頁。大部分的網際網路網站都允許匿名檢視網站,但若有人想要編輯網站或在購物網站購買商品,即可能會要求驗證。匿名存取會預設會停用狀態,且必須在建立 Web 應用程式時,於 Web 應用程式層級授與。

如果允許匿名存取 Web 應用程式,則網站管理員可決定是否針對網站或該網站的任何內容授與匿名存取權:

匿名存取依存於網頁伺服器上的匿名使用者帳戶。此帳戶是由 Microsoft Internet Information Services (IIS) 建立及維護,而非 SharePoint 網站。根據 IIS 的預設,匿名使用者帳戶為 IUSR。當您啟用匿名存取時,實際上是授與該帳戶存取 SharePoint 網站的權限。允許存取網站或存取清單及文件庫,即會將「檢視項目」權限授與匿名使用者帳戶。然而,即使具有「檢視項目」權限,匿名使用者能執行的作業仍有限制。匿名使用者無法:

  • 開啟網站以 Microsoft Office SharePoint Designer 進行編輯。

  • 在 [網路上的芳鄰] 檢視網站。

  • 上傳或編輯文件庫的文件,包括 wiki 文件庫。

    重要

    若要改善網站、清單或文件庫的安全性,請勿啟用匿名存取。啟用匿名存取可讓使用者回應清單、討論區及問卷,有可能耗盡伺服器磁碟空間與其他資源。匿名存取還允許匿名使用者探索網站資訊,包括使用者電子郵件地址及張貼在清單、文件庫與討論區的任何內容。

「權限原則」提供集中的方式,來設定與管理只適用於 Web 應用程式中使用者或群組子集的一組權限。您可以啟用或停用匿名存取 Web 應用程式,來管理匿名使用者的權限原則。如果啟用匿名存取 Web 應用程式,網站管理員便可授與或拒絕網站集合、網站或項目層級的匿名存取權。如果停用匿名存取 Web 應用程式,匿名使用者便無法存取 Web 應用程式內的任何網站。

  •    無任何原則。此為預設選項。網站匿名使用者不套用任何其他權限限制或新增。

  • 拒絕寫入   匿名使用者無法寫入內容,即使網站管理員特別嘗試授與匿名使用者帳戶該權限亦然。

  • 拒絕全部   匿名使用者沒有任何存取權限,即使網站管理員特別嘗試將其網站存取權授與匿名使用者帳戶亦然。

如需權限原則的詳細資訊,請參閱<管理 Web 應用程式的權限原則 (SharePoint Foundation 2010)>。