セキュリティ ロールを計画する (Windows SharePoint Services)
この記事の内容 :
ファームレベルの管理
サイトレベルの管理
ワークシート
Windows SharePoint Services 3.0 の新機能の 1 つに、構成タスクと管理タスクを一元化する 2 層の管理モデルがあります。このモデルでは、管理ロールを区別し、組織内の適切な人物に管理を委任して割り当てることができます。管理モデルの強化は、IT 組織がより効率的かつ効果的に管理タスクを実行することに貢献できます。この管理モデルと SharePoint グループを使用すれば、組織内での特定の役割に基づいて、特定のタスクの実行に必要な権限だけを与えることができます。2 層の管理モデルの内部で作業効率を高めるために、多くの組織では各層内で特定の管理ロールを指定します。この記事では、ソリューションの管理に役立てることができる各層内の管理ロールについて説明します。
次の一覧で、管理の各層について説明します。
第 1 層 : ファームレベルの管理者 この層の管理者は、トップレベルの管理者であり、サーバー ファーム内のすべてのサーバーに対する権限と責任を持ちます。メンバは SharePoint サーバーの全体管理 Web サイトで、サーバーまたはサーバー ファームのすべての管理タスクを実行できます。
第 2 層 : サイト コレクションの管理者 サイト コレクションの管理者は、サイト コレクションに対してフル コントロールのアクセス許可レベルを持ちます。
Windows SharePoint Services 3.0 では、柔軟な方法で管理ロールを割り当てることができます。一元管理モデルでは、組織内の 1 人または 2 人のユーザーに多くのロールを割り当てることができます。または、分散管理モデルによって、特定のロールを組織内の別のユーザーに委任することができます。
ファームレベルの管理
ファームレベルの管理は、通常、以下のロールによって実行されます。
ファームの管理者
サーバーレベルの管理者
ファームの管理者
ファームの管理者は、サーバー ファーム内のすべてのサーバーに対する権限と責任を持ちます。ファームの管理者 SharePoint グループは、Windows SharePoint Services Version 2.0 で使用されていた SharePoint Administrators グループを置き換えるものです。ファームの管理者グループのメンバは、各サーバーの Administrators グループに追加する必要がありません。ファーム管理者は、サーバーの全体管理がホストされ、環境内のすべてのサーバーに対してフル コントロールのアクセス許可レベルを持つコンピュータ上の、WSS_WPG グループと WSS_RESTRICTED_WPG グループのメンバです。既定では、Administrators グループのメンバは、ファームの管理者 SharePoint グループのメンバです。
ファームの管理者グループのメンバは、サーバーの全体管理サイトを広範囲にわたって管理できますが、インターネット インフォメーション サービス (IIS) と Microsoft .NET Framework に特定の制約があるために、一部の操作の実行が制限されます。制限される操作には、IIS Web サイトの作成、SharePoint Web アプリケーションの作成や削除、アカウント パスワードや Windows サービスの更新などがあります。既定では、ファームの管理者グループのメンバは、個々のサイトやサイトのコンテンツに対する管理者アクセス権を持ちません。ただし、特定のサイト コレクションを制御してすべてのコンテンツを表示することはできます。たとえば、サイト コレクションの管理者が組織を離れ、新しい管理者を追加する必要が生じた場合、ファームの管理者はサイト コレクションの管理者として自分を追加できます。この操作は、監査ログに記録されます。サイトレベルで必要な作業が完了したら、ファームの管理者のサイト コレクションに対する権限を削除することをお勧めします。ファーム管理者グループは、サーバーの全体管理でのみ使用され、任意のサイトについては利用できません。
注意
サーバーの全体管理サイトに対してフル コントロールのアクセス許可レベルを持つすべてのユーザーは、サーバーの全体管理サイトから SSP Web アプリケーションを削除できますが、SSP が機能しなくなるので削除しないよう強くお勧めします。Web アプリケーションを削除した場合、最も新しいバックアップから SSP を復元する以外に解決策はありません。バックアップから復元する方法の詳細については、「Windows SharePoint Services 3.0 テクノロジのバックアップと復旧を管理する」を参照してください。
注意
だれにローカル データベース サーバー コンピュータの Administrators グループのメンバシップを与えるか、だれに Microsoft SQL サーバーの固定データベース役割と固定サーバー役割のメンバシップを与えるかを慎重に選びます。それは、このグループとこれらの役割が、SharePoint 製品とテクノロジ構成データベースに完全なコントロール権限を持っているからです。
次の表に、ファームの管理者グループのメンバが実行できるタスクの一覧を示します。
| SharePoint グループ | 既定のロールの有無 | 実行できること | 実行できないこと |
|---|---|---|---|
ファームの管理者 |
有 |
サーバーの全体管理で管理タスクを実行する。 任意のコンテンツ サイトの所有権を取得する。 |
サイトの所有権を取得しないで個々のサイトやサイト コンテンツを管理する。 |
ファームの管理者グループの詳細については、「管理階層構造の管理者および所有者を選択する (Windows SharePoint Services)」を参照してください。
サーバーレベルの管理者
ローカル サーバー コンピュータの Administrators グループのメンバは、ファームの管理者グループに自動的に追加され、ファーム管理者が行うすべての操作を実行できます。Administrators グループは Windows グループであり、SharePoint グループではありませんが、ローカル コンピュータ上の Administrators グループは、Windows SharePoint Services 3.0 で特定の管理タスクを実行します。ローカル コンピュータの Administrators グループのメンバは、ファームの管理者と同様に、既定ではサイト コンテンツへの管理者アクセス権を持ちません。ただし、必要に応じて、特定のサイト コレクションを制御できます。制御可能にするには、サーバーの全体管理の [サイト コレクションの管理者] ページを使用して、サイト コレクションの管理者に自分を追加します。
次の表では、サーバーレベルの管理者ロールについて説明します。
| グループ | 既定のロールの有無 | 実行できること | 実行できないこと |
|---|---|---|---|
管理者 |
有 (SharePoint グループではなく既定で存在する Windows グループ)。 |
製品をインストールする。 新しい Web アプリケーションと新しいインターネット インフォメーション サービス (IIS) Web サイトを作成する。 サービスを開始する。 Web パーツおよび新機能をグローバル アセンブリ キャッシュに展開する。 サーバーの全体管理でファームレベルのすべてのタスクを実行する (サーバーの全体管理サイトがローカル コンピュータ上に置かれている場合)。 Stsadm コマンド ライン ツールを実行する。 .gif "Note") メモ
サーバーレベルの管理者であることは、Stsadm コマンド ライン ツールを実行するための前提条件です。実際に実行するコマンドによっては、追加の権限が必要になる場合があります。たとえば、stsadm.exe –o deleteweb を実行する場合、実行するアカウントは、Web アプリケーションを格納しているコンテンツ データベースへの書き込みアクセス権を持っていることが要求されます。
|
個々のサイトまたはサイト コンテンツを管理する。 データベースを管理する。 |
サイトレベルの管理
サイトレベルの管理には、以下のロールが含まれます。
サイト コレクションの管理者
サイトの所有者
サイト コレクションの管理者
サイト コレクションの管理者は、サイト コレクション内のすべての Web サイトとコンテンツに対するフル コントロールのアクセス許可レベルを持ちます。サイト コレクション レベルのサイト コレクション管理者は、トップレベル サイトの [サイトの設定] ページから、サイト コレクション機能、サイト コレクションの監査設定、サイト コレクション ポリシーなどの設定を管理します。サイト コレクションを作成するときには、サイト コレクションの管理者および代理の管理者を指定できます。サイト コレクションの管理者は、サイト コレクションがある特定のサイトのタスクをすべて含めて、サイト コレクション内のすべてのタスクを実行できることを示すフラグをコンテンツ データベース内に持っているユーザーです。このフラグを変更するには、サーバーの全体管理の [サイト コレクションの管理者] ページを使用するか、トップレベル サイトの [サイトの設定] ページを使用するか、Stsadm コマンド ライン ツールでサイト所有者の操作を使用します。通常は、サイトを作成するときにサイト コレクションの管理者を指定しますが、必要に応じて、サーバーの全体管理で変更するか、[サイトの設定] ページを使用して変更することができます。
次の表では、サイト コレクションの管理者ロールについて説明します。
| SharePoint グループ | 既定のロールの有無 | 実行できること | 実行できないこと |
|---|---|---|---|
サイト コレクションの管理者 |
有 |
|
サーバーの全体管理サイトにアクセスする。 |
サイトの所有者
サイトの所有者は、サイトに対するフル コントロールのアクセス許可レベルを、直接与えられるか、サイトに対するフル コントロールのアクセス許可レベルを持つ所有者グループなどの SharePoint グループのメンバになることによって、明示的に与えられたユーザーです。サイトの所有者は、サイト コレクション全体ではなく、そのサイトだけに関連するタスクを実行できます。
注意
サイトを作成するユーザーは、そのサイトの所有者グループに自動的に追加されます。
次の表に、サイトの所有者が実行できるタスクを示します。
| SharePoint グループ | 既定のロールの有無 | 実行できること | 実行できないこと |
|---|---|---|---|
*サイト名*の所有者 |
有 |
サイト コレクション全体ではなく、そのサイトだけの管理を実行する。 ドキュメント、リスト、およびライブラリの管理タスクを実行する。 |
サーバーの全体管理サイトにアクセスする。 削除済みデータ バックアップからのアイテムの復元、サイトの階層の管理などのサイト コレクションの管理タスクを実行する。 |
サイトレベルの管理の詳細については、「管理階層構造の管理者および所有者を選択する (Windows SharePoint Services)」を参照してください。
ワークシート
このドキュメントをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。
入手可能なドキュメントの詳細な一覧については、「Windows SharePoint Services 3.0 テクニカル ライブラリ」を参照してください。