Determinación de niveles de permiso y grupos (SharePoint Server 2010)

  • Artículo

 

Se aplica a: SharePoint Foundation 2010, SharePoint Server 2010

Última modificación del tema: 2016-11-30

Este artículo describe los grupos y los niveles de permisos predeterminados y le ayuda a decidir usarlos como están, personalizarlos o crear diferentes grupos y niveles de permisos.

En este artículo:

  • Revisión de los grupos predeterminados disponibles

  • Revisión de los niveles de permisos disponibles

  • Determinación de la necesidad de grupos o niveles de permisos adicionales

La decisión más importante sobre el sitio y la seguridad del contenido en Microsoft SharePoint Server 2010 es cómo clasificar los usuarios y qué niveles de permisos asignarles.

Revisión de los grupos predeterminados disponibles

Los grupos de SharePoint permiten administrar conjuntos de usuarios en lugar de usuarios individuales. Estos grupos pueden contener varios usuarios individuales o pueden incluir el contenido de cualquier sistema de identidad corporativa, incluidos los Servicios de dominio de Active Directory (AD DS), directorios basados en LDAPv3, bases de datos específicas de las aplicaciones y nuevos modelos de identidad centrada en el usuario, como LiveID. Los grupos de SharePoint no ofrecen derechos específicos para el sitio; son una forma de designar un grupo de usuarios. Es posible organizar los usuarios en cualquier número de grupos, según el tamaño y la complejidad de su organización o sitio web. Los grupos de SharePoint no pueden anidarse.

La tabla siguiente muestra los grupos que se crean de manera predeterminada para los sitios de equipos en SharePoint Server 2010.

Nombre del grupo Nivel de permisos predeterminado

Lectores

Vista solamente

Visitantes

Leer

Miembros

Colaborar

Diseñadores

Diseño

Propietarios

Control total

Si usa una plantilla de sitio distinta a la plantilla del sitio del equipo, verá una lista distinta de grupos de SharePoint predeterminados. Por ejemplo, la tabla siguiente muestra los grupos adicionales proporcionados por una plantilla de sitio de publicación.

Nombre del grupo Nivel de permisos predeterminado

Lectores restringidos

Lectura restringida en el sitio, además de Acceso limitado a listas específicas

Lectores de recursos de estilo

Lectura en la Galería de páginas maestras y Lectura restringida en la Biblioteca de estilos

Usuarios de distribución rápida

Colaborar en la biblioteca de elementos de distribución rápida, además de Acceso limitado al resto del sitio

Aprobadores

Aprobar, además de Acceso limitado

Administradores de jerarquías

Administrar la jerarquía, además de Acceso limitado

Además, están disponibles los siguientes usuarios y grupos especiales para tareas administrativas de niveles superiores:

  • Administradores de colecciones de sitios   Puede designar uno o varios usuarios como administradores de colecciones de sitios principales o secundarios. Estos usuarios quedan registrados en la base de datos como contactos para la colección de sitios, tienen control total sobre los sitios de la colección, pueden realizar auditorías de todo el contenido del sitio y reciben cualquier alerta administrativa (como comporbaciones para saber si el sitio está en uso). Los administradores de colecciones de sitios se designan al crear el sitio, pero es posible modificarlos cuando sea necesario desde las páginas de Administración central o Configuración del sitio de la colección. Los grupos y roles de AD DS no pueden agregarse como administradores de colecciones de sitios.

    Nota

    Los administradores de colecciones de sitios tienen derechos completos para todos los sitios dentro de la colección de sitios. Pueden agregar o eliminar sitios o cambiar la configuración de cualquier sitio de la colección de sitios. Además, pueden ver, agregar, eliminar o cambiar todo el contenido de esos sitios. Pueden agregar y quitar usuarios de los sitios y enviar invitaciones para esos sitios. Los propietarios de las colecciones de sitios son los únicos usuarios que reciben notificaciones de correo electrónico para eventos, como la eliminación automática pendiente de sitios inactivos. De forma predeterminada, los propietarios de las colecciones de sitios reciben también solicitudes de acceso de usuarios a los que se ha denegado el acceso.

  • Administradores de granjas de servidores   Este grupo controla qué usuarios pueden administrar la configuración del servidor y de la granja de servidores. Los administradores de granjas de servidores no tienen acceso al contenido del sitio de forma predeterminada; deben ser propietarios del sitio si desean ver su contenido. El grupo de administradores de granjas de servidores se usa solamente en la Administración central, y no está disponible para ningún sitio.

  • Administradores Integrantes del grupo Administradores del servidor local que pueden realizar acciones de administrador de granja de servidores y otras acciones, como las siguientes:

    • Instalar nuevos productos o aplicaciones.

    • Implementar elementos web y nuevas características en la memoria caché de ensamblados global.

    • Crear nuevas aplicaciones web y nuevos sitios web de IIS.

    • Iniciar servicios.

    Al igual que el grupo de administradores de granjas de servidores, los integrantes del grupo Administradores del servidor local no tienen, de forma predeterminada, acceso al contenido del sitio.

Una vez que haya identificado los grupos que necesita, determine los niveles de permisos para asignar a cada uno de los grupos del sitio.

Revisión de los niveles de permisos disponibles

La posibilidad de ver, cambiar o administrar un sitio se determina en función del nivel de permisos asignados a un usuario o grupo. Este nivel de permisos controla todos los permisos para el sitio y los subsitios, las listas, las bibliotecas de documentos, las carpetas y los elementos o documentos que heredan los permisos del sitio. Sin los niveles de permisos apropiados, es posible que los usuarios no puedan realizar sus tareas o que puedan realizar tareas que no se deseaba que realicen.

De forma predeterminada, los siguientes niveles de permisos están disponibles:

  • Acceso limitado: incluye permisos que permiten a los usuarios ver listas específicas, bibliotecas de documentos, elementos de lista, carpetas o documentos sin otorgar acceso a todos los elementos del sitio. No es posible modificar este nivel de permiso directamente.

    Nota

    Si se quita este nivel de permiso, los miembros del grupo posiblemente no puedan navegar en el sitio para obtener acceso a los elementos aunque tengan los permisos correctos para un elemento dentro del sitio.

  • Leer : incluye permisos que permiten a los usuarios ver elementos en páginas del sitio.

  • Colaborar : incluye permisos que permiten a los usuarios agregar o cambiar elementos en páginas del sitio, listas o bibliotecas de documentos.

  • Diseño: incluye permisos que permiten a los usuarios cambiar el diseño de las páginas del sitio mediante el uso del explorador o de Microsoft SharePoint Designer 2010.

  • Control total: incluye todos los permisos.

Los siguientes niveles de permiso adicionales se proporcionan de manera predeterminada con la plantilla de publicación:

  • Vista sólo: incluye permisos que les permite a los usuarios ver páginas, elementos de lista y documentos.

  • Aprobar: incluye permisos para editar y aprobar páginas, elementos de lista y documentos.

  • Administrar la jerarquía: incluye permisos para sitios y páginas de edición, elementos de lista y documentos.

  • Lectura restringida: incluye permisos para ver páginas y documentos, pero no las versiones históricas ni información de derechos de usuario.

Determinación de la necesidad de grupos o niveles de permisos adicionales

Los grupos y niveles de permisos predeterminados proporcionan un marco general para los permisos, y abarcan numerosos tipos distintos de organizaciones y los roles incluidos en ellas. Sin embargo, es posible que éstos no se asocien exactamente con el modo en que los usuarios están organizados o con la variedad de tareas distintas que los usuarios realizan en los sitios. Si los grupos y niveles de permisos predeterminados no se adaptan a su organización, puede crear grupos personalizados, cambiar los permisos incluidos en los niveles de permisos específicos o crear niveles de permisos personalizados.

¿Necesita grupos personalizados?

La decisión de crear grupos personalizados es bastante sencilla y tiene un efecto mínimo en la seguridad del sitio. Deberá crear grupos personalizados en lugar de usar los grupos predeterminados si se aplica alguna de las siguientes situaciones:

  • Tiene más (o menos) roles de usuario en la organización de los que aparecen en los grupos predeterminados. Por ejemplo, si además de Aprobadores, Diseñadores y Administradores de jerarquías, tiene un grupo de usuarios cuya responsabilidad es publicar contenido en el sitio, posiblemente necesite crear un grupo Editores.

  • Existen nombres conocidos para roles exclusivos en la organización que realizan tareas muy distintas en los sitios. Por ejemplo, si va a crear un sitio público para vender los productos de su organización, puede ser conveniente crear un grupo Clientes que reemplace los grupos Visitantes o Lectores.

  • Se desea conservar la relación de uno a uno entre los grupos de seguridad de Windows y los grupos de SharePoint. Por ejemplo, si su organización cuenta con un grupo de seguridad denominado Administradores del sitio web, es recomendable usar este nombre como nombre de grupo de SharePoint para simplificar la identificación al administrar el sitio.

  • Se prefiere usar otros nombres de grupo.

¿Necesita niveles de permisos personalizados?

La decisión de personalizar niveles de permisos es menos sencilla que la de personalizar grupos de SharePoint. Cuando personaliza los permisos asignados a un nivel de permisos, debe realizar un seguimiento de este cambio, comprobar que funcione para todos los grupos y sitios afectados por el cambio y asegurarse de que el cambio no afecte negativamente a la seguridad ni la capacidad y el rendimiento del servidor.

Por ejemplo, si personaliza el nivel de permisos Colaborar para incluir el permiso Crear subsitios, que normalmente forma parte del nivel de permisos Control total, los miembros del grupo Colaboradores podrán crear y poseer subsitios, así como invitar a usuarios malintencionados a sus subsitios o publicar contenido no autorizado. Si personaliza el permiso Leer para incluir el permiso Ver datos de uso, que suele ser parte del nivel de permisos Control total, todos los miembros del grupo de visitantes podrán ver los datos de uso, lo que podría provocar problemas de rendimiento.

Deberá personalizar los niveles de permisos predeterminados si se aplica alguna de las siguientes situaciones:

  • Un nivel de permisos predeterminado incluye todos los permisos excepto uno que los usuarios necesitan para realizar sus tareas, y se desea agregar este permiso.

  • Un nivel de permisos predeterminado incluye un permiso que los usuarios no necesitan.

    Importante

    No se deben personalizar los niveles de permisos predeterminados si existen dudas respecto de la seguridad de un permiso específico o de otro tipo que es parte del nivel del permiso. Si desea que dicho permiso no esté habilitado para todos los usuarios asignados a los niveles de permisos en los que se incluye, debe desactivar el permiso para todas las aplicaciones web de la granja de servidores en lugar de cambiar todos los niveles de permisos.

Si desea realizar varios cambios en un nivel de permisos, cree un nivel de permisos personalizado que incluya todos los permisos necesarios.

Es conveniente crear niveles de permisos adicionales si se aplica alguna de las siguientes situaciones:

  • Se desea excluir diversos permisos de un nivel de permisos determinado.

  • Se desea definir un conjunto exclusivo de permisos para un nuevo nivel de permisos.

Para crear un nivel de permisos, puede copiar un nivel de permisos existente y luego realizar cambios. También puede crear un nivel de permisos y luego seleccionar los permisos que desea incluir.

Nota

Algunos permisos dependen de otros. Si se borra un permiso del cual depende otro permiso, éste también se borrará.