Determinare i gruppi e i livelli di autorizzazione da utilizzare (SharePoint Server 2010)

  • Articolo

 

Si applica a: SharePoint Foundation 2010, SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

In questo articolo vengono illustrati i gruppi e i livelli di autorizzazione predefiniti e sulla base delle informazioni fornite sarà possibile decidere se utilizzarli così come sono, se personalizzarli o se creare gruppi e livelli di autorizzazione diversi.

Contenuto dell'articolo:

  • Esaminare i gruppi predefiniti disponibili

  • Esaminare i livelli di autorizzazione disponibili

  • Determinare la necessità di gruppi o livelli di autorizzazione aggiuntivi

Per garantire la sicurezza del sito e del contenuto in Microsoft SharePoint Server 2010 è importante decidere come suddividere in categorie gli utenti e quali livelli di autorizzazione assegnare.

Esaminare i gruppi predefiniti disponibili

I gruppi di SharePoint consentono di gestire insiemi di utenti anziché utenti singoli. Tali gruppi possono essere costituiti da numerosi utenti singoli oppure includere il contenuto di qualsiasi sistema aziendale di gestione delle identità, tra cui Servizi di dominio Active Directory, directory LDAPv3, database specifici delle applicazioni e nuovi modelli di gestione delle identità incentrati sugli utenti, come ad esempio LiveID. I gruppi di SharePoint non concedono diritti specifici per il sito, consentono semplicemente di designare un insieme di utenti. A seconda delle dimensioni e della complessità dell'organizzazione o del sito Web, è possibile organizzare gli utenti in numerosi o pochi gruppi. I gruppi di SharePoint non possono essere annidati.

Nella tabella seguente sono riportati i gruppi predefiniti creati per i siti del team in SharePoint Server 2010.

Nome del gruppo Livello di autorizzazione predefinito

Visualizzatori

Solo visualizzazione

Visitatori

Lettura

Membri

Collaborazione

Designer

Progettazione

Proprietari

Controllo completo

Se si utilizza un modello di sito diverso da quello del sito del team, sarà disponibile un elenco diverso di gruppi di SharePoint predefiniti. Nella tabella seguente ad esempio sono riportati i gruppi aggiuntivi forniti da un modello di sito di pubblicazione.

Nome del gruppo Livello di autorizzazione predefinito

Lettori con restrizioni

Lettura con restrizioni per il sito e Accesso limitato per elenchi specifici

Lettori risorse stili

Lettura per la raccolta pagine master e Lettura con restrizioni per la raccolta stili

Utenti distribuzione rapida

Collaborazione per la raccolta degli elementi di distribuzione rapida e Accesso limitato per il resto del sito

Responsabili approvazione

Approvazione e Accesso limitato

Responsabili gerarchia

Gestione gerarchia e Accesso limitato

Per le attività di amministrazione di livello superiore sono inoltre disponibili i gruppi e gli utenti speciali seguenti:

  • Amministratori raccolta siti   È possibile designare uno o più utenti come amministratori principali e secondari della raccolta siti. Questi utenti sono registrati nel database come contatti per la raccolta siti, dispongono del controllo completo per tutti i siti della raccolta, possono controllare il contenuto dei siti e ricevere avvisi amministrativi (per verificare ad esempio se un sito è ancora in uso). Gli amministratori della raccolta siti vengono designati quando si crea un sito, ma è possibile cambiarli in base alle esigenze specifiche del caso utilizzando il sito Amministrazione centrale o le pagine Impostazioni sito della raccolta siti. I gruppi e i ruoli di Servizi di dominio Active Directory non possono essere aggiunti come amministratori della raccolta siti.

    Nota

    Agli amministratori della raccolta siti sono assegnati i diritti completi per tutti i siti di una raccolta siti. Possono aggiungere o eliminare siti, nonché modificare le impostazioni per qualsiasi sito incluso nella raccolta siti. Possono inoltre visualizzare, aggiungere, eliminare o modificare tutto il contenuto di tali siti, ma anche aggiungere e rimuovere utenti dai siti e inviare inviti a questi siti. I proprietari della raccolta siti sono gli unici utenti che ricevono notifiche tramite posta elettronica per eventi quali l'eliminazione automatica in sospeso di siti inattivi. Per impostazione predefinita, i proprietari della raccolta siti possono inoltre ricevere richieste di accesso da parte di utenti a cui l'accesso è stato negato.

  • **Amministratori farm   **Questo gruppo consente di controllare quali utenti possono gestire le impostazioni di server e server farm. Per impostazione predefinita, gli amministratori della farm non hanno diritto di accesso al contenuto del sito, devono infatti assumere la proprietà del sito per poterne visualizzare il contenuto. Il gruppo Amministratori farm viene utilizzato solo in Amministrazione centrale e non è disponibile per gli altri siti.

  • **Administrators   **Oltre alle azioni degli amministratori della farm, i membri del gruppo Administrators nel server locale possono eseguire le azioni seguenti:

    • Installazione di nuovi prodotti o nuove applicazioni.

    • Distribuzione di web part e nuove caratteristiche nella cache di assembly globale.

    • Creazione di nuove applicazioni Web e nuovi siti Web IIS.

    • Avvio di servizi.

    Analogamente al gruppo Amministratori farm, per impostazione predefinita i membri del gruppo Administrators nel server locale non hanno diritto di accesso al contenuto del sito.

Dopo aver identificato i gruppi necessari, determinare i livelli di autorizzazione da assegnare a ogni gruppo del sito.

Esaminare i livelli di autorizzazione disponibili

La possibilità di visualizzare, modificare o gestire un sito è determinata dal livello di autorizzazione assegnato a un utente o a un gruppo. Questo livello controlla tutte le autorizzazioni per il sito e per eventuali siti secondari, elenchi, raccolte documenti, cartelle ed elementi o documenti che ereditano le autorizzazioni del sito. Senza i livelli di autorizzazione appropriati, gli utenti potrebbero non essere in grado di eseguire le proprie attività o essere in grado di eseguire attività che non si desidera possano eseguire.

Per impostazione predefinita sono disponibili i livelli di autorizzazione seguenti:

  • **Accesso limitato   **Include autorizzazioni che consentono agli utenti di visualizzare elenchi, raccolte documenti, elementi di elenchi, cartelle o documenti specifici senza concedere l'accesso a tutti gli elementi di un sito. Questo livello di autorizzazione non può essere modificato direttamente.

    Nota

    Se questo livello di autorizzazione viene rimosso, i membri del gruppo potrebbero non essere in grado di esplorare il sito per accedere agli elementi, anche se dispongono delle autorizzazioni appropriate per l'elemento desiderato all'interno del sito.

  • **Lettura   **Include autorizzazioni che consentono agli utenti di visualizzare gli elementi nelle pagine del sito.

  • **Collaborazione   **Include autorizzazioni che consentono agli utenti di aggiungere o modificare gli elementi nelle pagine del sito o in elenchi e raccolte documenti.

  • **Progettazione   **Include autorizzazioni che consentono agli utenti di modificare il layout delle pagine del sito mediante il browser o Microsoft SharePoint Designer 2010.

  • **Controllo completo   **Include tutte le autorizzazioni.

Per impostazione predefinita, con il modello di sito di pubblicazione sono disponibili i livelli di autorizzazione aggiuntivi seguenti:

  • **Solo visualizzazione   **Include autorizzazioni che consentono agli utenti di visualizzare pagine, elementi di elenchi e documenti.

  • **Approvazione   **Include autorizzazioni che consentono di modificare e approvare pagine, elementi di elenchi e documenti.

  • **Gestione gerarchia   **Include autorizzazioni per i siti e per modificare pagine, elementi di elenchi e documenti.

  • **Lettura con restrizioni   **Include autorizzazioni che consentono di visualizzare pagine e documenti, ma non le versioni nella cronologia o le informazioni sui diritti utente.

Determinare la necessità di gruppi o livelli di autorizzazione aggiuntivi

I gruppi e i livelli di autorizzazione predefiniti offrono una struttura generale per le autorizzazioni in quanto coprono un'ampia gamma di tipi di organizzazioni e di ruoli all'interno di tali organizzazioni. Potrebbero tuttavia non corrispondere esattamente al modo in cui i propri utenti sono organizzati o alle numerose attività eseguite dagli utenti nei siti. Se i gruppi e i livelli di autorizzazione predefiniti non sono adatti alla propria organizzazione, è possibile creare gruppi personalizzati, cambiare le autorizzazioni incluse in livelli di autorizzazione specifici o creare livelli di autorizzazione personalizzati.

Necessità di gruppi personalizzati

La decisione di creare gruppi personalizzati è abbastanza semplice e incide in modo poco significativo sulla sicurezza del sito. È consigliabile creare gruppi personalizzati invece di utilizzare i gruppi predefiniti se si verifica una delle situazioni seguenti:

  • Nell'organizzazione ci sono più (o meno) ruoli utente di quelli previsti nei gruppi predefiniti. Ad esempio, se oltre ai gruppi Responsabili approvazione, Designer e Responsabili gerarchia c'è un insieme di utenti responsabile della pubblicazione di contenuto nel sito, è possibile creare un gruppo Editori.

  • Nell'organizzazione ci sono nomi noti per ruoli univoci che eseguono attività molto diverse nei siti. Se si sta ad esempio creando un sito pubblico per vendere i prodotti dell'organizzazione, è possibile creare un gruppo Clienti in sostituzione del gruppo Visitatori o Visualizzatori.

  • Si desidera mantenere una relazione uno-a-uno tra i gruppi di sicurezza di Windows e i gruppi di SharePoint. Se ad esempio l'organizzazione dispone di un gruppo di sicurezza Gestori sito Web, sarà possibile decidere di utilizzare tale nome come nome di un gruppo di SharePoint per semplificare l'identificazione durante la gestione del sito.

  • Si preferiscono nomi di gruppi diversi.

Necessità di livelli di autorizzazione personalizzati

La decisione di personalizzare i livelli di autorizzazione è meno semplice di quella di personalizzare i gruppi di SharePoint. Se si personalizzano le autorizzazioni assegnate a un livello, è necessario tenere traccia di tale modifica, verificare che sia compatibile con tutti i gruppi e i siti interessati dalla modifica e assicurarsi che la modifica non incida negativamente sulla sicurezza oppure sulla capacità o le prestazioni del server.

Se ad esempio si personalizza il livello di autorizzazione Collaborazione per includere l'autorizzazione Creazione siti secondari, che è in genere inclusa nel livello Controllo completo, i membri del gruppo Collaboratori potranno creare siti secondari ed esserne proprietari. A questo punto, potranno teoricamente invitare utenti malintenzionati nei siti secondari o pubblicare contenuto non approvato. Se invece si personalizza il livello di autorizzazione Lettura per includere l'autorizzazione Visualizzazione dati di utilizzo, che è in genere inclusa nel livello Controllo completo, tutti i membri del gruppo Visitatori potranno visualizzare i dati di utilizzo, dando luogo a problemi di prestazioni.

È consigliabile personalizzare i livelli di autorizzazione predefiniti se si verifica una delle situazioni seguenti:

  • Un livello di autorizzazione predefinito include tutte le autorizzazioni ad eccezione di una che è necessaria affinché gli utenti possano eseguire le proprie mansioni e si desidera aggiungere tale autorizzazione.

  • Un livello di autorizzazione predefinito include un'autorizzazione non utilizzata dagli utenti.

    Importante

    Se si ritiene che una specifica autorizzazione facente parte del livello di autorizzazione presenti un rischio per la sicurezza o un altro tipo di rischio per l'organizzazione, non personalizzare i livelli di autorizzazione predefiniti. Se si desidera che tale autorizzazione non sia disponibile per tutti gli utenti assegnati al livello o ai livelli in cui è inclusa, disattivare l'autorizzazione per tutte le applicazioni Web della server farm, invece di modificare tutti i livelli di autorizzazione.

Se si desidera apportare diverse modifiche a un livello di autorizzazione, creare un livello di autorizzazione personalizzato che includa tutte le autorizzazioni necessarie.

È possibile creare livelli di autorizzazione aggiuntivi se si verifica una delle situazioni seguenti:

  • Si desidera escludere diverse autorizzazioni da un determinato livello di autorizzazione.

  • Si desidera definire un insieme univoco di autorizzazioni per un nuovo livello di autorizzazione.

Per creare un livello di autorizzazione, è possibile copiare un livello di autorizzazione esistente e quindi apportarvi modifiche, oppure creare un livello di autorizzazione e quindi selezionare le autorizzazioni da includervi.

Nota

Alcune autorizzazioni dipendono da altre autorizzazioni. Se si cancella un'autorizzazione da cui ne dipende un'altra, verrà cancellata anche l'altra autorizzazione.