Elección de los grupos de seguridad que usar (Windows SharePoint Services)

En este artículo:

• Determinación de los grupos y cuentas de seguridad de Windows que usar para conceder acceso a los sitios

• Decisión sobre el uso de todos los usuarios autenticados

• Decisión sobre permitir el acceso de usuarios anónimos

• Hoja de trabajo

Para que la administración de usuarios sea más sencilla, es recomendable asignar permisos de sitio a grupos en lugar de usuarios individuales. En el servicio de directorio Microsoft Active Directory, normalmente se usan los dos tipos de grupos siguientes para organizar los usuarios:

• Grupo de distribución   Grupo que sólo se usa para la distribución de correo electrónico y no tiene habilitada la seguridad. Los grupos de distribución no se pueden incluir en las listas de control de acceso discrecional (DACL) usadas para definir permisos en recursos y objetos.

• Grupo de seguridad   Grupo que se puede incluir en las listas de control de acceso discrecional (DACL) usadas para definir permisos en recursos y objetos. Un grupo de seguridad se puede usar también como una entidad de correo electrónico.

Puede usar los grupos de seguridad para controlar los permisos del sitio agregando directamente el grupo de seguridad y concediendo permisos a todo el grupo. Los grupos de distribución no se pueden usar de esta forma; sin embargo, se puede expandir una lista de distribución y agregar cada uno de los usuarios a un grupo de SharePoint. Si usa este método, debe administrar el proceso de mantener el grupo de SharePoint sincronizado con el grupo de distribución. Si usa grupos de seguridad, no tiene que administrar a cada uno de los usuarios de la aplicación de SharePoint. Active Directory se ocupa de la administración de los usuarios, porque ha incluido el grupo de seguridad y no cada uno de los usuarios del grupo.

Determinación de los grupos y cuentas de seguridad de Windows que usar para conceder acceso a los sitios

Cada organización configura sus grupos de seguridad de Windows de distintas maneras. Para que la administración de permisos sea sencilla, los grupos de seguridad deben ser:

• Lo suficientemente grandes y estables para que no haya que agregar más grupos a los sitios de SharePoint constantemente.

• Lo suficientemente pequeños para poder asignar los permisos adecuados.

Por ejemplo, es probable que un grupo de seguridad denominado "todos los usuarios del edificio 2" no sea lo suficientemente pequeño para asignar permisos, a menos que todos los usuarios del edificio 2 tengan la misma función en su trabajo, por ejemplo administrativos de cuentas por cobrar. Esto no suele ser así, por lo que debería buscar un grupo de usuarios más pequeño, como "cuentas por cobrar" u otro grupo pequeño en que los usuarios estén estrechamente relacionados.

Decisión sobre el uso de todos los usuarios autenticados

Si desea que todos los usuarios del dominio puedan ver el contenido del sitio, considere la posibilidad de conceder acceso a todos los usuarios autenticados (grupo de seguridad de Windows Usuarios de dominio). Este grupo especial permite a todos los usuarios del dominio tener acceso a un sitio web, con el nivel de permiso que se seleccione, sin tener que habilitar el acceso anónimo.

Decisión sobre permitir el acceso de usuarios anónimos

Puede habilitar el acceso anónimo para que los usuarios puedan ver las páginas de forma anónima. La mayor parte de los sitios web de Internet permiten que se vea el sitio de forma anónima, pero podrían solicitar la autenticación si alguien desea modificar el sitio o comprar algo en un sitio de compras.El acceso anónimo se debe conceder en el nivel de la aplicación web en el momento de crearla. Si se permite el acceso anónimo en la aplicación web, los administradores del sitio puede decidir si:

• Conceder acceso anónimo a un sitio.

• Conceder acceso anónimo sólo a las listas y bibliotecas.

• Bloquear totalmente el acceso anónimo a un sitio.

El acceso anónimo se basa en la cuenta de usuario anónimo en el servidor web. Esta cuenta se crea y mantiene mediante Microsoft Internet Information Services (IIS), no su sitio de SharePoint. De forma predeterminada en IIS, la cuenta de usuario anónimo es IUSR_ nombreDeEquipo. Cuando se habilita el acceso anónimo, se concede dicho acceso de cuenta para el sitio de SharePoint. Permitir el acceso a un sitio, o a las listas y bibliotecas, concede el permiso Ver elementos a la cuenta de usuario anónimo. Incluso con el permiso Ver elementos, hay restricciones referentes a las acciones que pueden llevar a cabo los usuarios. Los usuarios anónimos no pueden realizar lo siguiente:

• Usar la llamada a procedimiento remoto (RPC) Microsoft Office SharePoint Designer, es decir, no pueden abrir sitios para modificarlos en Office SharePoint Designer. Tampoco pueden usar DAV (el protocolo de carpetas web de Windows), es decir, no pueden ver el sitio en Mis sitios de red.

• Cargar o editar documentos en bibliotecas de documentos, incluidas las bibliotecas wiki.

  Importante

  Para crear sitios, listas o bibliotecas más seguros, no habilite el acceso anónimo. El acceso anónimo permite que los usuarios contribuyan a listas, discusiones y encuestas, probablemente usando espacio de disco del servidor y otros recursos. Además, permite a los usuarios anónimos conocer la información del sitio, incluidas las direcciones de correo electrónico y todo el contenido expuesto en listas, bibliotecas y discusiones.

También puede establecer directivas de permiso para el usuario anónimo para diferentes zonas (Internet, extranet, Intranet, otros) si su aplicación web y la aplicación web que proporciona contenido en dichas zonas es la misma. Las directivas se describen en la lista siguiente:

• Ninguno   Sin directiva. Ésta es la opción predeterminada. No se aplican otras adiciones o restricciones de permisos a los usuarios anónimos del sitio.

• Leer   Los usuarios anónimos pueden leer el contenido, a menos que el administrador del sitio desactive el acceso anónimo.

• Denegar escritura   Los usuarios anónimos no pueden escribir contenido, incluso si el administrador del sitio intenta conceder este permiso a la cuenta de usuario anónimo.

• Denegar a todos   Los usuarios anónimos no pueden tener ningún acceso, incluso si los administradores de sitios intentan conceder a la cuenta de usuario anónimo acceso a sus sitios.

Hoja de trabajo

Use la siguiente hoja de trabajo para mostrar los grupos de seguridad que se van a usar y los niveles de permisos que necesitarán los grupos en cada nivel de la jerarquía del sitio.

• Hoja de trabajo de seguridad de sitios y contenido (en inglés) (https://go.microsoft.com/fwlink/?linkid=73136&clcid=0xC0A) (en inglés)

Descarga de este libro

Este tema se incluye en el siguiente libro descargable para facilitar la lectura y la impresión:

• Seguridad de Windows SharePoint Services 3.0 (en inglés)

Vea la lista completa de libros disponibles en la página de libros descargables para Windows SharePoint Services.