Compartir a través de

Planeación de la seguridad de sitios (Windows SharePoint Services)

  • Artículo

En este artículo:

  • Elementos de seguridad del sitio

  • Asignación de permisos

  • Acerca de los permisos específicos y la herencia de permisos

  • Elección de los niveles de seguridad para el sitio

  • Planeación de la herencia de permisos

  • Hoja de trabajo

Este artículo trata sobre la planeación de la autorización y el control de acceso en la colección de sitios, el sitio y los niveles secundarios del sitio. No incluye información sobre la planeación de la seguridad del servidor o de la granja de servidores. Para obtener más información sobre la planeación de otros aspectos de seguridad, como métodos de autenticación y cifrado, vea Planeación de la seguridad de contenidos y sitios (Windows SharePoint Services).

La seguridad de los sitios se controla mediante la asignación de permisos a usuarios y grupos para un objeto asegurable específico (como un sitio, una lista o un elemento). Al planear la seguridad del sitio, debe decidir:

  • Hasta qué punto desea controlar los permisos de los objetos asegurables individuales. Por ejemplo, si desea controlar el acceso a todo el sitio o si desea usar una configuración de seguridad específica para una lista, una carpeta o un elemento en particular.

  • Cómo desea categorizar y administrar a los usuarios (mediante grupos de usuarios). Este artículo abarca los puntos esenciales de la seguridad para sitios y lo ayuda a determinar los objetos asegurables a los que debe aplicar permisos específicos. Para obtener más información acerca de la categorización de usuarios en grupos, vea Elección de los grupos de seguridad que usar (Windows SharePoint Services).

    Nota

    La forma en que los grupos y permisos interactúan ha cambiado considerablemente respecto a la versión anterior. En la versión anterior, los grupos de nivel de sitio se usaban para contener usuarios y permisos, es decir, cuando se agregaba un usuario a un grupo de sitios, se determinaban automáticamente los permisos que se habían concedido al usuario para un sitio. En esta versión, los conceptos de grupos de usuarios y permisos se han separado: grupos de SharePoint en el nivel de colección de sitios contiene los usuarios, los niveles de permisos contienen los permisos, y los grupos no tienen permisos hasta que se les asigna un nivel de permiso para un objeto asegurable concreto (como por ejemplo un sitio, lista o biblioteca, carpeta, elemento o documento).

Elementos de seguridad del sitio

Independientemente del tipo de sitio que cree, la seguridad del sitio incluye los cinco elementos siguientes:

  • Permisos de usuario individuales    Permisos individuales que permiten realizar acciones específicas. Por ejemplo, el permiso Ver elementos permite al usuario ver elementos en una lista. Los administradores de granjas pueden controlar los permisos que están disponibles para la granja de servidores a través de la página Permisos de usuario para aplicación web en Administración central. (Para llegar a esta página, en la página de administración de aplicaciones, bajo Seguridad de aplicaciones, haga clic en Permisos de usuario para aplicación web). Para obtener información sobre los permisos disponibles, vea Permisos de usuarios y niveles de permisos.

  • Nivel de permiso   Conjunto predefinido de permisos que otorga a los usuarios permiso para realizar acciones relacionadas. Los niveles de permisos predeterminados son: Acceso limitado, Lectura, Colaborar, Diseño y Control total. Por ejemplo, el nivel de permiso de lectura incluye los permisos Ver elementos, Abrir elementos, Ver páginas y Ver versiones (entre otros), todos los cuales son necesarios para leer documentos, elementos y páginas de un sitio de SharePoint. Los permisos pueden incluirse en varios niveles de permisos. Los niveles de permisos pueden ser personalizados por cualquier persona a la que se le haya asignado un nivel de permiso que incluya el permiso Administrar permisos. Para obtener información sobre los niveles de permisos predeterminados y los permisos contenidos en éstos, vea Permisos de usuarios y niveles de permisos.

  • Usuario   Persona con una cuenta de usuario que se puede autenticar a través del método de autenticación usado para el servidor. Puede agregar usuarios individuales y asignar directamente un nivel de permisos a cada usuario. No es necesario que los usuarios formen parte de un grupo. Se recomienda asignar permisos a grupos en lugar de a usuarios. Puesto que el mantenimiento directo de cuentas de usuario no resulta eficaz, sólo se deben asignar permisos usuario por usuario como excepción. Para obtener más información sobre los tipos de cuenta de usuario, vea Permisos de usuarios y niveles de permisos.

  • Grupo   Grupo de usuarios. Puede ser un grupo de seguridad de Windows (por ejemplo, Departamento_A) que se agregue al sitio o un grupo de SharePoint (por ejemplo, Creadores del sitio, Miembros del sitio o Visitantes del sitio. A cada uno de los grupos de SharePoint se le asigna un nivel de permisos predeterminado, pero se puede cambiar el nivel de permisos de un grupo cuando sea necesario. Todos los usuarios que tengan asignado un nivel de permisos que incluya el permiso Crear grupos (incluido en el nivel de permisos Control total de forma predeterminada) pueden crear grupos personalizados de SharePoint.

  • Objeto asegurable   A los usuarios o grupos se les asigna un nivel de permisos para un objeto asegurable específico: sitio, lista, biblioteca, carpeta, documento o elemento. De forma predeterminada, los permisos para una lista, biblioteca, carpeta, documento o elemento se heredan del sitio, lista o biblioteca primarios. Sin embargo, cualquiera que tenga asignado un nivel de permisos para un objeto asegurable determinado que incluya el permiso Administrar permisos puede cambiar los permisos para dicho objeto asegurable. De forma predeterminada, los permisos se controlan inicialmente en el nivel de sitio y todas las listas y bibliotecas heredan los permisos del sitio. Use los permisos de nivel de lista, nivel de carpeta y nivel de elemento para controlar más detalladamente qué usuarios pueden ver o interactuar con el contenido del sitio. En cualquier momento, puede volver a heredar los permisos de una lista primaria, el sitio completo o un sitio primario.

Asignación de permisos

Puede asignar un nivel de permisos a un usuario o grupo para un objeto asegurable específico (sitio, lista o elemento). Los usuarios individuales o grupos pueden tener diferentes niveles de permisos para diferentes objetos asegurables.

Nota

Puesto que mantener cuentas de usuario directamente resulta ineficaz, se recomienda usar en lo posible permisos de grupo. En concreto, si usa permisos específicos (vea la siguiente sección), debe usar grupos para evitar tener que realizar un seguimiento de las cuentas de usuario individuales. Los usuarios entran y salen de los equipos y cambian de responsabilidades con frecuencia, así que querrá evitar el seguimiento de todos esos cambios y actualizar continuamente los permisos para objetos asegurados de forma exclusiva.

En el siguiente diagrama se muestra cómo los usuarios y los grupos reciben niveles de permisos específicos para un objeto asegurable en concreto.

Niveles de permisos específicos

Acerca de los permisos específicos y la herencia de permisos

Puede usar permisos específicos (permisos en los niveles de lista o biblioteca, carpeta, elemento o documento) para controlar con mayor precisión las acciones que pueden realizar los usuarios en el sitio. Los siguientes objetos asegurables están disponibles para la asignación de permisos:

  • Sitio   Controla el acceso a todo el sitio.

  • Lista o biblioteca   Controla el acceso a una lista o biblioteca específica.

  • Carpeta   Controla el acceso a las propiedades de una carpeta (como el nombre de la carpeta).

  • Elemento o documento   Controla el acceso a un elemento de lista o documento específico.

Herencia de permisos y permisos con personalización avanzada

De forma predeterminada, los permisos dentro de un sitio se heredan del sitio. Sin embargo, puede interrumpir esta herencia para cualquier objeto asegurable en un nivel inferior de la jerarquía si modifica los permisos (mediante la asignación de un permiso exclusivo) de ese objeto asegurable. Por ejemplo, puede modificar los permisos de una biblioteca de documentos, lo que interrumpe la herencia del sitio. Sin embargo, la herencia sólo se interrumpe para ese objeto asegurable específico para el que asignó permisos; el resto de permisos del sitio no experimentan cambios. Puede volver a heredar permisos de la lista o sitio primarios en cualquier momento.

Herencia de permisos y subsitios

Los propios sitios web son objetos asegurables a los que se pueden asignar permisos. Puede configurar subsitios para heredar permisos de un sitio primario o crear permisos exclusivos para un sitio determinado. La herencia de permisos es la forma más sencilla de administrar un grupo de sitios web. Sin embargo, si un subsitio hereda los permisos de su sitio primario, ese conjunto de permisos es compartido. Esto significa que los propietarios de los subsitios que heredan los permisos del sitio primario pueden modificar los permisos de dicho sitio primario. Si sólo desea cambiar los permisos del subsitio, debe interrumpir la herencia de permisos antes de realizar el cambio.

Los subsitios pueden heredar permisos de un sitio primario. Puede hacer que un subsitio deje de heredar permisos mediante la creación de permisos exclusivos. Esto copia los grupos, usuarios y niveles de permisos del sitio primario en el subsitio y, a continuación, interrumpe la herencia. Si cambia de permisos exclusivos a heredados, los usuarios, grupos y niveles de permisos comienzan siendo heredados, y perderá todos los usuarios, grupos o niveles de permisos que haya definido de forma exclusiva en el subsitio. Los niveles de permisos también se pueden heredar (y, de forma predeterminada, se heredan), de modo que el nivel de permiso Lectura es igual, independientemente del objeto al que se aplique. Puede interrumpir dicha herencia si modifica el nivel de permiso. Por ejemplo, puede que no desee que el nivel de permiso Lectura de un subsitio determinado incluya el permiso Crear alertas.

Elección de los niveles de seguridad para el sitio

Cuando crea la estructura de permisos, es importante encontrar el equilibrio entre la facilidad de administración, el rendimiento y la necesidad de controlar permisos específicos para elementos individuales. Si usa muchos permisos específicos, empleará más tiempo administrando los permisos, y los usuarios experimentarán un rendimiento más bajo cuando intenten tener acceso al contenido del sitio. Del mismo modo que en cualquier servidor o sitio web, también es importante seguir el principio de privilegios mínimos a la hora de autorizar el acceso al sitio: los usuarios deben tener sólo aquellos niveles de permisos que necesiten. Comience usando grupos estándar (por ejemplo, Miembros, Visitantes y Propietarios) y controlando los permisos en el nivel de sitio para que la administración sea lo más sencilla posible. Incluya a la mayoría de los usuarios en los grupos Visitantes o Miembros. Limite el número de personas del grupo Propietarios sólo a aquellos usuarios a los que permitirá cambiar la estructura, la configuración o la apariencia del sitio. De forma predeterminada, los usuarios del grupo Miembros pueden colaborar en el sitio, agregando o quitando elementos o documentos, pero no pueden cambiar la estructura, la configuración ni la apariencia del sitio. Puede crear grupos de SharePoint y niveles de permisos adicionales si necesita un mayor control sobre las acciones que pueden realizar los usuarios.

Si existen ciertas listas, bibliotecas, carpetas, elementos o documentos que contienen información confidencial y deben ser aún más seguros, puede conceder permisos a un grupo o usuario individual específicos. Sin embargo, tenga en cuenta que no es posible ver todos los permisos específicos de listas, bibliotecas, carpetas, elementos o documentos de un sitio. Esto significa que resulta difícil saber quién tiene permisos para qué objetos asegurables y dificulta restablecer cualquier permiso específico en bloque.

Planeación de la herencia de permisos

Resulta más sencillo administrar permisos cuando existe una jerarquía definida de permisos y permisos heredados. Se complica cuando algunas listas de un sitio tienen aplicados permisos específicos y cuando algunos sitios tienen subsitios con permisos exclusivos y subsitios con permisos heredados. En la medida de lo posible, organice los sitios y subsitios y las listas y bibliotecas de modo que puedan compartir la mayoría de los permisos. Separe la información confidencial en sus propias listas, bibliotecas o subsitios.

Por ejemplo, resulta mucho más sencillo administrar un sitio con permisos heredados como en la siguiente tabla.

Objeto asegurable Descripción Permisos exclusivos o heredados

SitioA

Página principal del grupo

Único

SitioA/SubsitioA

Grupo confidencial

Único

SitioA/SubsitioA/ListaA

Información confidencial

Único

SitioA/SubsitioA/BibliotecaA

Documentos confidenciales

Único

SitioA/SubsitioB

Información de proyecto compartida en grupo

Heredados

SitioA/SubsitioB/ListaB

Información no confidencial

Heredados

SitioA/SubsitioB/BibliotecaB

Documentos no confidenciales

Heredados

En comparación, no resulta tan sencillo administrar un sitio con permisos heredados como en la siguiente tabla.

Objeto asegurable Descripción Permisos exclusivos o heredados

SitioA

Página principal del grupo

Único

SitioA/SubsitioA

Grupo confidencial

Único

SitioA/SubsitioA/ListaA

Información no confidencial

Exclusivos, pero con los mismos permisos que SitioA

SitioA/SubsitioA/BibliotecaA

Documentos no confidenciales, pero con uno o dos documentos confidenciales

Heredados, pero con permisos exclusivos en el nivel de documento

SitioA/SubsitioB

Información de proyecto compartida en grupo

Heredados

SitioA/SubsitioB/ListaB

Datos no confidenciales, pero con uno o dos elementos confidenciales

Heredados, pero con permisos exclusivos en el nivel de elemento

SitioA/SubsitioB/BibliotecaB

Documentos no confidenciales, pero con una carpeta especial que contiene documentos confidenciales

Heredados, pero con permisos exclusivos en el nivel de carpeta y documento

Hoja de trabajo

Use la hoja de trabajo siguiente para especificar la jerarquía del sitio y, a continuación, muestre una lista de los permisos necesarios en cada nivel de la jerarquía y cualquier herencia de permisos: