Pianificare la protezione dei siti (Windows SharePoint Services)
Contenuto dell'articolo:
Informazioni sugli elementi di protezione del sito
Informazioni sull'assegnazione di autorizzazioni
Informazioni sulle autorizzazioni specifiche ed ereditarietà delle autorizzazioni
Scegliere i livelli di protezione del sito da utilizzare
Pianificare l'ereditarietà delle autorizzazioni
Foglio di lavoro
In questo articolo viene illustrata la pianificazione del controllo di accesso e delle autorizzazioni a livello di raccolta siti, sito e sito secondario. Non viene illustrata la pianificazione della protezione del server o della server farm. Per ulteriori informazioni sulla pianificazione di altri aspetti della protezione, ad esempio i metodi di autenticazione e la crittografia, vedere Pianificare la protezione dei siti e del contenuto (Windows SharePoint Services).
La protezione del sito viene controllata tramite l'assegnazione di autorizzazioni a utenti e gruppi per un oggetto a protezione diretta specifico, ad esempio un sito, un elenco o una voce. Quando si pianifica la protezione del sito, è necessario stabilire quanto segue:
Quale livello di controllo si desidera esercitare sulle autorizzazione per i singoli oggetti a protezione diretta. Ad esempio, si desidera controllare l'accesso per l'intero sito oppure sono necessarie impostazioni di protezione specifiche per un elenco, una cartella o una voce specifica?
Come si desidera suddividere in categorie e gestire gli utenti, utilizzando i gruppi. In questo articolo vengono illustrati i concetti essenziali della protezione del sito e vengono fornite informazioni utili per la determinazione degli oggetti a protezione diretta a cui applicare autorizzazioni specifiche. Per ulteriori informazioni sulla suddivisione degli utenti in categorie tramite i gruppi, vedere Scegliere i gruppi di protezione da utilizzare (Windows SharePoint Services).
Nota
Rispetto alla versione precedente sono state apportate modifiche significative al modo in cui i gruppi e le autorizzazioni interagiscono. Nella versione precedente i gruppi a livello di sito vengono utilizzati per contenere sia gli utenti che le autorizzazioni, ovvero quando si aggiunge un utente a un gruppo del sito vengono determinate automaticamente le autorizzazioni concesse all'utente per un sito. Nella versione attuale i concetti di gruppi di utenti e autorizzazioni sono stati separati. I gruppi di SharePoint a livello di raccolta siti contengono gli utenti, i livelli di autorizzazioni contengono le autorizzazioni e i gruppi non dispongono di alcuna autorizzazione fino a quando non viene loro assegnato un livello di autorizzazione per un oggetto a protezione diretta specifico, ad esempio un sito, un elenco o raccolta, una cartella, una voce o un documento.
Informazioni sugli elementi di protezione del sito
Indipendentemente dal tipo di sito da creare, la protezione del sito include i cinque elementi seguenti:
Autorizzazioni utente individuali Autorizzazioni individuali che concedono la possibilità di eseguire azioni specifiche. Ad esempio, l'autorizzazione Visualizzazione elementi consente all'utente di visualizzare le voci di un elenco. Gli amministratori della farm possono controllare quali autorizzazioni sono disponibili per la server farm utilizzando la pagina Autorizzazioni utente per l'applicazione Web in Amministrazione centrale. Per visualizzare questa pagina, in Protezione applicazione nella pagina Gestione applicazioni fare clic su Autorizzazioni utente per l'applicazione Web. Per informazioni sulle autorizzazioni disponibili, vedere Autorizzazioni utente e livelli di autorizzazione.
Livello di autorizzazione Insieme predefinito di autorizzazioni che consente agli utenti di eseguire azioni correlate. I livelli di autorizzazione predefiniti sono Accesso limitato, Lettura, Collaborazione, Progettazione e Controllo completo. Ad esempio, il livello di autorizzazione Lettura include tra le altre le autorizzazioni Visualizzazione elementi, Apertura elementi, Visualizzazione pagine e Visualizzazione versioni. Tutte queste autorizzazioni sono necessarie per leggere documenti, elementi e pagine di un sito di SharePoint. Le autorizzazioni possono essere incluse in più livelli di autorizzazione. I livelli di autorizzazione possono essere personalizzati da chiunque disponga di un livello di autorizzazione che include l'autorizzazione Gestione autorizzazioni. Per informazioni sui livelli di autorizzazione predefiniti e sulle autorizzazioni in essi incluse, vedere Autorizzazioni utente e livelli di autorizzazione.
Utente Persona che dispone di un account utente autenticabile mediante il metodo di autenticazione utilizzato nel server. È possibile aggiungere singoli utenti e assegnare direttamente un livello di autorizzazione a ogni utente. Non è necessario che gli utenti facciano parte di un gruppo. È consigliabile assegnare autorizzazioni ai gruppi invece che agli utenti. Poiché la gestione diretta degli account utente è onerosa, è consigliabile assegnare autorizzazioni su base del singolo utente solo come eccezione. Per ulteriori informazioni sui tipi di account utente, vedere Autorizzazioni utente e livelli di autorizzazione.
Gruppo Gruppo di utenti. Può essere un gruppo di protezione di Windows, ad esempio Reparto_A, aggiunto al sito, o un gruppo di SharePoint, ad esempio proprietari di siti, membri di siti o visitatori di siti. A ogni gruppo di SharePoint viene assegnato un livello di autorizzazione predefinito, che può essere modificato in base alle esigenze. Se a un utente viene assegnato un livello di autorizzazione che include l'autorizzazione Creazione gruppi (inclusa nel livello di autorizzazione Controllo completo per impostazione predefinita), questo utente può creare gruppi di SharePoint personalizzati.
Oggetto a protezione diretta Agli utenti o ai gruppi viene assegnato un livello di autorizzazione per un oggetto a protezione diretta specifico: specifico: sito, elenco, raccolta, cartella, documento o voce. Per impostazione predefinita le autorizzazioni per un elenco, una raccolta, una cartella, un documento o una voce vengono ereditate dal sito principale, dall'elenco principale o dalla raccolta. Un utente o un gruppo a cui viene assegnato un livello di autorizzazione per un oggetto a protezione diretta specifico che include l'autorizzazione Gestione autorizzazioni può tuttavia modificare le autorizzazioni per tale oggetto. Per impostazione predefinita le autorizzazioni vengono inizialmente controllate a livello di sito, con tutti gli elenchi e le raccolte che ereditano le autorizzazioni del sito. Utilizzare le autorizzazioni a livello di elenco, cartella o voce per controllare ulteriormente gli utenti che possono visualizzare o interagire con il contenuto del sito. È possibile riprendere a ereditare le autorizzazioni da un elenco principale, dal sito nella sua interezza o da un sito principale in qualsiasi momento.
Informazioni sull'assegnazione di autorizzazioni
È possibile assegnare un livello di autorizzazione a un utente o un gruppo per un oggetto a protezione diretta specifico (sito, elenco o voce). I singoli utenti o gruppi possono disporre di livelli di autorizzazione diversi per oggetti a protezione diretta diversi.
Nota
Poiché la gestione diretta degli account utente è onerosa, è consigliabile utilizzare il più possibile le autorizzazioni di gruppo. In particolare, se si utilizzano autorizzazioni specifiche (vedere la sezione seguente), è consigliabile utilizzare i gruppi per evitare di dovere tenere traccia delle autorizzazioni per singoli account utente. Poiché le persone possono cambiare frequentemente team e responsabilità, potrebbe essere preferibile non tenere traccia di tutti i cambiamenti e aggiornare continuamente le autorizzazioni per gli oggetti protetti in modo esclusivo.
Nel diagramma seguente viene illustrato il modo in cui livelli di autorizzazione specifici vengono assegnati a utenti e gruppi per un oggetto a protezione diretta specifico.
.gif "Livelli di autorizzazione specifici")
Informazioni sulle autorizzazioni specifiche ed ereditarietà delle autorizzazioni
Per controllare con maggiore precisione le azioni che gli utenti possono eseguire sul sito, è possibile utilizzare autorizzazioni specifiche (autorizzazioni a livello di elenco, raccolta, cartella, voce o documento). Gli oggetti a protezione diretta seguenti sono disponibili per l'assegnazione di autorizzazioni:
Sito Controlla l'accesso al sito nella sua interezza.
Elenco o raccolta Controlla l'accesso a un elenco specifico o a una raccolta specifica.
Cartella Controlla l'accesso alle proprietà di una cartella, ad esempio il nome della cartella.
Voce o documento Controlla l'accesso a una voce di elenco o a un documento specifico.
Ereditarietà delle autorizzazioni e autorizzazioni specifiche
Per impostazione predefinita, le autorizzazioni incluse in un sito vengono ereditate dal sito. È tuttavia possibile interrompere l'ereditarietà per qualunque oggetto a protezione diretta di livello inferiore nella gerarchia modificando le autorizzazioni su tale oggetto a protezione diretta, ovvero creando un'assegnazione di autorizzazione esclusiva. È ad esempio possibile modificare le autorizzazioni per una raccolta documenti, interrompendo così l'ereditarietà dal sito. Tuttavia l'ereditarietà viene interrotta solo per l'oggetto a protezione diretta per cui sono state assegnate autorizzazioni. Le autorizzazioni rimanenti del sito restano invariate. È possibile riprendere a ereditare le autorizzazioni dall'elenco principale o dal sito in qualsiasi momento.
Ereditarietà delle autorizzazioni e siti secondari
Gli stessi siti Web sono oggetti a protezione diretta per i quali è possibile assegnare autorizzazioni. È possibile configurare i siti secondari in modo che ereditino le autorizzazioni da un sito padre oppure creare autorizzazioni esclusive per un sito specifico. L'ereditarietà delle autorizzazioni costituisce il modo più semplice per gestire un gruppo di siti Web. Se tuttavia un sito secondario eredita le autorizzazioni dal sito padre tale insieme di autorizzazioni viene condiviso. I proprietari dei siti secondari che ereditano le autorizzazioni dal sito padre possono pertanto modificare tali autorizzazioni. Se si desidera modificare le autorizzazioni solo per il sito secondario, è necessario interrompere l'ereditarietà delle autorizzazioni e quindi apportare le modifiche desiderate.
I siti secondari possono ereditare autorizzazioni da un sito padre. È possibile interrompere l'ereditarietà delle autorizzazioni per un sito secondario creando autorizzazioni esclusive. In tale modo, i gruppi, gli utenti e i livelli di autorizzazione vengono copiati dal sito padre al sito secondario e viene quindi interrotta l'ereditarietà. Se si passa dalle autorizzazioni esclusive alle autorizzazioni ereditate, verrà attivata l'ereditarietà per utenti, gruppi e livelli di autorizzazione e si perderanno eventuali utenti, gruppi o livelli di autorizzazione definiti in modo esclusivo nel sito secondario. I livelli di autorizzazione possono essere anche ereditati, come specificato per impostazione predefinita, in modo tale che il livello di autorizzazione Lettura rimanga invariato, indipendentemente dall'oggetto a cui viene applicato. È possibile interrompere l'ereditarietà modificando il livello di autorizzazione. Ad esempio, è possibile che si preferisca che il livello di autorizzazione Lettura per un sito secondario specifico non includa l'autorizzazione Creazione avvisi.
Scegliere i livelli di protezione del sito da utilizzare
Quando si crea la struttura di autorizzazioni, è importante trovare un equilibrio tra la facilità di amministrazione, le prestazioni e la necessità di controllare autorizzazioni specifiche per elementi specifici. L'utilizzo ampio di autorizzazioni specifiche comporta un incremento del tempo di gestione delle autorizzazioni ed è possibile che gli utenti rilevino prestazioni rallentate durante il tentativo di accesso al contenuto del sito. Come nel caso di qualsiasi server o sito Web, è importante anche applicare il principio dei privilegi minimi per la creazione di autorizzazioni di accesso al sito. È infatti consigliabile assegnare agli utenti solo i livelli di autorizzazione necessari. Per semplificare il più possibile l'amministrazione, è necessario innanzitutto utilizzare i gruppi standard, ad esempio Membri, Visitatori e Proprietari, e controllare le autorizzazioni a livello del sito. Includere la maggior parte degli utenti nei gruppi Visitatori o Membri. Limitare il numero di utenti inclusi nel gruppo Proprietari, specificando solo gli utenti ai quali si desidera consentire la modifica della struttura oppure delle impostazioni e dell'aspetto del sito. Per impostazione predefinita, gli utenti inclusi nel gruppo Membri possono collaborare al sito, aggiungendo o rimuovendo elementi o documenti, ma non possono modificare la struttura, le impostazioni o l'aspetto del sito. Se si necessita di ulteriore controllo sulle azioni consentite agli utenti, è possibile creare gruppi di SharePoint e livelli di autorizzazione aggiuntivi.
Se sono presenti determinati elenchi, raccolte, cartelle, elementi o documenti che contengono dati riservati per i quali è necessaria una protezione maggiore, è possibile concedere autorizzazioni a un gruppo specifico o a un singolo utente. È tuttavia necessario notare che non è possibile in alcun modo visualizzare tutte le autorizzazioni specifiche per elenchi, raccolte, cartelle, elementi o documenti in un sito. È pertanto difficile determinare rapidamente quali utenti o gruppi dispongono di autorizzazioni per oggetti a protezione diretta specifici e reimpostare in blocco eventuali autorizzazioni specifiche.
Pianificare l'ereditarietà delle autorizzazioni
La gestione delle autorizzazioni risulta più semplice quando viene definita una gerarchia chiara di autorizzazioni e autorizzazioni ereditate. Quando ad alcuni elenchi in un sito vengono applicate autorizzazioni specifiche e quando alcuni siti dispongono di siti secondari con autorizzazioni esclusive e alcune autorizzazioni ereditate, la gestione diventa più complicata. Per quanto possibile, disporre siti, siti secondari, elenchi e raccolte in modo che la maggior parte delle autorizzazioni venga condivisa. Creare elenchi, raccolte o siti secondari distinti per i dati riservati.
Ad esempio, la gestione di un sito con ereditarietà delle autorizzazioni analoga a quella illustrata nella tabella seguente risulta molto più semplice.
| Oggetto a protezione diretta | Descrizione | Autorizzazioni esclusive o ereditate |
|---|---|---|
SitoA |
Home page del gruppo |
Esclusive |
SitoA/SitoSecondarioA |
Gruppo riservato |
Esclusive |
SitoA/SitoSecondarioA/ElencoA |
Dati riservati |
Esclusive |
SitoA/SitoSecondarioA/RaccoltaA |
Documenti riservati |
Esclusive |
SitoA/SitoSecondarioB |
Informazioni di progetto condivise dal gruppo |
Ereditate |
SitoA/SitoSecondarioB/ElencoB |
Dati non riservati |
Ereditate |
SitoA/SitoSecondarioB/RaccoltaB |
Documenti non riservati |
Ereditate |
Al contrario, la gestione di un sito con ereditarietà delle autorizzazioni analoga a quella illustrata nella tabella seguente non risulta molto semplice.
| Oggetto a protezione diretta | Descrizione | Autorizzazioni esclusive o ereditate |
|---|---|---|
SitoA |
Home page del gruppo |
Esclusive |
SitoA/SitoSecondarioA |
Gruppo riservato |
Esclusive |
SitoA/SitoSecondarioA/ElencoA |
Dati non riservati |
Esclusive, ma uguali a SitoA |
SitoA/SitoSecondarioA/RaccoltaA |
Documenti non riservati, ma con uno o due documenti riservati |
Ereditate con autorizzazioni esclusive a livello di documento |
SitoA/SitoSecondarioB |
Informazioni di progetto condivise dal gruppo |
Ereditate |
SitoA/SitoSecondarioB/ElencoB |
Dati non riservati, ma con uno o due elementi riservati |
Ereditate con autorizzazioni esclusive a livello di elemento |
SitoA/SitoSecondarioB/RaccoltaB |
Documenti non riservati, ma con una cartella speciale contenente documenti riservati |
Ereditate con autorizzazioni esclusive a livello di cartella e di documento |
Foglio di lavoro
Utilizzare il foglio di lavoro seguente per specificare la gerarchia di siti ed elencare le autorizzazioni necessarie a ogni livello della gerarchia, con eventuale ereditarietà delle autorizzazioni: