Determinar níveis de permissão e grupos no SharePoint Server
APLICA-SE A:
2013 2019 Subscription Edition 
SharePoint no Microsoft 365
Um grupo do SharePoint é um conjunto de usuários que podem ser gerenciados juntos. Um nível de permissão é um conjunto de permissões que podem ser atribuídas a um grupo específico, para um objeto passível de proteção. Os grupos e níveis de permissão do SharePoint são definidos no nível do conjunto de sites e herdados do objeto pai por padrão. Este artigo descreve os grupos e níveis de permissão padrão e o ajuda a decidir se irá usá-los como estão, personalizá-los ou criar outros diferentes.
A decisão mais importante sobre seu site e segurança de conteúdo no SharePoint Server é como agrupar seus usuários e quais níveis de permissão atribuir.
Saiba mais sobre grupos padrão do SharePoint no Microsoft 365.
Revise os grupos padrão disponíveis
Os grupos do SharePoint permitem gerenciar conjuntos de usuários, em vez de usuários individuais. Esses grupos podem conter muitos usuários individuais ou podem incluir o conteúdo de qualquer sistema de identidade corporativa, incluindo Active Directory Domain Services (AD DS), diretórios baseados em LDAPv3, bancos de dados específicos do aplicativo e novos modelos de identidade centrados no usuário, como o Windows Live ID. Os grupos do SharePoint não conferem direitos específicos ao site; eles servem para designar o conjunto de usuários. Você pode organizar seus usuários em qualquer número de grupos, dependendo do tamanho e complexidade da organização ou do site. Os grupos do SharePoint não podem ser aninhados.
A tabela a seguir exibe grupos padrão criados para sites de equipe no SharePoint Server. Cada grupo padrão é atribuído a um nível de permissão padrão.
| Nome do grupo | Nível de permissão padrão | Descrição |
|---|---|---|
| Visitantes |
Leitura |
Use este grupo para conceder permissões de Leitura às pessoas no site do SharePoint. |
| Membros |
Editar |
Use este grupo para conceder permissões de Edição às pessoas no site do SharePoint. |
| Proprietários |
Controle total |
Use este grupo para conceder permissões de Controle Total às pessoas no site do SharePoint. |
| Visualizadores |
Somente Visualização |
Use este grupo para conceder permissões de Somente Visualização às pessoas no site do SharePoint. |
Se você usar um modelo de site diferente do modelo de equipe, você verá uma lista diferente de grupos padrão do SharePoint. Por exemplo, a tabela a seguir mostra os outros grupos fornecidos por um modelo de site de publicação.
| Nome do grupo | Nível de permissão padrão | Descrição |
|---|---|---|
| Leitores Restritos |
Leitura Restrita no site, além do Acesso Limitado a listas específicas |
Os membros desse grupo podem exibir páginas e documentos, mas não as versões históricas e nem revisar as informações de direitos do usuário. |
| Leitores de Recurso de Estilo |
Leitura da Galeria de Páginas Mestres e Leitura Restrita da Biblioteca de Estilos. |
Os membros desse grupo recebem permissão de Leitura para a Galeria de Páginas Mestres, e a permissão de Leitura Restrita para a Biblioteca de Estilos. Por padrão, todos os usuários autenticados são membros desse grupo. |
| Designers |
Design, Acesso Limitado |
Os membros desse grupo podem exibir, adicionar, atualizar, excluir, aprovar e personalizar o layout das páginas do site usando o navegador ou o SharePoint Designer 2013. |
| Aprovadores |
Aprovar, mais Acesso Limitado |
Os membros desse grupo podem editar e aprovar páginas, itens de lista e documentos. |
| Gerentes de Hierarquia |
Gerenciar Hierarquia, mais Acesso Limitado |
Os membros desse grupo podem criar sites, listas, itens de lista e documentos. |
Observação
Não remova todos os usuários autenticados do grupo Style Resource Readers, pois a Galeria de Páginas Mestras e a Biblioteca de Estilos são compartilhadas em todos os sites do conjunto de sites e devem estar acessíveis a todos os usuários de todos os sites. Se você remover todos os usuários autenticados do grupo, qualquer pessoa que tenha esse nível de permissão no subsite não poderá renderizar o site. O SharePoint não adiciona e nem remove automaticamente os usuários dos subsites desse grupo, conforme necessário.
Dica
O nível de permissão de Acesso Limitado é usado para fornecer aos grupos o acesso a uma lista, biblioteca, pasta, documento ou item específico, mas sem ter acesso ao site inteiro. Não remova esse nível de permissão dos grupos listados acima. Se isso ocorrer, os grupos podem não ser capazes de navegar pelo site e obter os itens específicos com os quais precisam interagir.
Faça a maioria dos usuários como membros dos grupos Visitantes ou Membros. Por padrão, os usuários no grupo Membros podem contribuir com o site, adicionando ou removendo itens ou documentos, mas não podem alterar a estrutura, configurações ou aparência do site. O grupo Visitantes tem acesso de somente leitura, o que significa que eles podem ver páginas itens e abrir itens e documentos, mas não podem adicionar ou remover páginas, itens ou documentos.
Se os grupos padrão não forem mapeados para os grupos de usuários exatos na sua organização, você pode criar grupos personalizados.
Além dos grupos do SharePoint acima, também existem grupos de administradores para tarefas de administração de nível superior. Eles são administradores do Windows, de farms do SharePoint e do conjunto de sites.
Para obter mais informações, consulte Escolher administradores e proprietários para a hierarquia de administração no SharePoint 2013.
Revise os níveis de permissão disponíveis
A capacidade de exibir, alterar ou gerenciar um site é determinada pelo nível de permissão atribuído a um usuário ou grupo. O nível de permissão controla todas as permissões para o site e os objetos filhos que herdam essas permissões. Sem os níveis adequados, os usuários podem ser incapazes de realizar as tarefas (ou capazes de realizar tarefas que você não deseja que eles realizem).
Por padrão, os seguintes níveis de permissão estão disponíveis:
Exibir somente Inclui permissões que permitem que os usuários exibam páginas, itens de lista e documentos.
Acesso Limitado Inclui permissões que permitem aos usuários exibir listas específicas, bibliotecas de documentos, itens de lista, pastas ou documentos, sem dar acesso a todos os elementos de um site. Você não pode editar esse nível de permissão diretamente.
Observação
Se esse nível for removido, os membros do grupo podem ser incapazes de navegar no site para acessar os itens, mesmo que tenham permissões apropriadas para o item dentro do site.
Ler Inclui permissões que permitem que os usuários exibam itens nas páginas do site.
Editar Inclui permissões que permitem que os usuários adicionem, editem e excluam listas; pode exibir, adicionar, atualizar e excluir itens e documentos da lista.
Contribuir Inclui permissões que permitem que os usuários adicionem ou alterem itens nas páginas do site ou em listas e bibliotecas de documentos.
Design Inclui permissões que permitem aos usuários exibir, adicionar, atualizar, excluir, aprovar e personalizar o layout das páginas do site usando o navegador ou o SharePoint Designer 2013.
Controle Completo Inclui todas as permissões.
Para obter mais informações sobre as permissões incluídas nos níveis padrão, consulte Permissões de usuário e níveis de permissão no SharePoint 2013.
Os seguintes níveis de permissão extras são fornecidos com o modelo de publicação por padrão:
Aprovar Inclui permissões para editar e aprovar páginas, listar itens e documentos.
Gerenciar hierarquia Inclui permissões para sites e páginas de edição, itens de lista e documentos.
Leitura restrita Inclui permissões para exibir páginas e documentos, mas não informações de versões ou permissões históricas.
Determine se você precisa de níveis de permissão ou grupos personalizados
Os grupos e níveis de permissão padrão fornecem uma estrutura geral para as permissões, cobrindo muitos tipos de organizações e funções. No entanto, eles podem não mapear exatamente como os usuários são organizados, ou as várias tarefas diferentes que eles realizam em seus sites. Se os grupos ou níveis padrão não forem adequados para sua organização, você pode criar grupos personalizados, alterar as permissões incluídas em níveis específicos ou criar níveis de permissão personalizados.
Você precisa de grupos personalizados?
A decisão de criar grupos personalizados é bastante simples e causa pouco efeito na segurança de seu site. Crie grupos personalizados em vez de usar os grupos padrão se uma das seguintes situações se aplicar:
Você tem mais (ou menos) funções de usuário dentro da sua organização, do que as óbvias nos grupos padrão. Por exemplo, se além de Aprovador, Designer e Gerentes de Hierarquia, você tem um conjunto das pessoas encarregadas de publicar conteúdo no site, você pode desejar criar um grupo de Publicadores.
Há nomes conhecidos para funções exclusivas em sua organização que executam tarefas diferentes nos sites. Por exemplo, se você estiver criando um site público para vender os produtos da organização, pode criar um grupo de Clientes para substituir Visitantes ou Visualizadores.
É recomendável preservar a relação individual entre os grupos de segurança do Windows e os grupos do SharePoint. Por exemplo, se a sua organização possui um grupo de segurança com o nome Gerentes de Sites, use-o como um nome de grupo para facilitar a identificação quando você gerenciar o site.
Você prefere outros nomes de grupo.
Você precisa de níveis de permissão personalizados?
A decisão de personalizar os níveis de permissão é menos simples que a de personalizar os grupos do SharePoint. Se você personalizar as permissões atribuídas a um nível de permissão, deverá acompanhar essa alteração, verificar se ela funciona para todos os grupos e sites afetados pela alteração e verifique se a alteração não afeta negativamente sua segurança ou sua capacidade de servidor ou desempenho.
Por exemplo, se você personalizar o nível Contribuir para incluir a permissão Criar Subsites, que normalmente faz parte do nível de permissão Controle Total, os membros do grupo Colaboradores podem criar e possuir subsites, podendo possivelmente convidar usuários mal-intencionados ao subsite e publicar conteúdo não aprovado. Se você personalizar o nível Leitura para incluir a permissão Exibir Dados de Uso (também pertinente ao Controle Total), todos os membros do grupo Visitantes podem ver os dados de uso, o que pode causar problemas no desempenho.
Personalize os níveis de permissão padrão se uma das seguintes situações se aplicar:
Um nível de permissão padrão inclui todas as permissões, exceto a que os usuários devem ter para executar seu trabalho, e você deseja adicionar essa permissão.
Um nível de permissão padrão inclui uma permissão que os usuários não devem ter.
Observação
Não personalize os níveis de permissão padrão se sua organização tiver segurança ou outras preocupações sobre uma permissão específica que faça parte do nível de permissão. Se você quiser tornar essa permissão indisponível para todos os usuários atribuídos ao nível de permissão ou níveis que incluem essa permissão, desative a permissão para todos os aplicativos Web em seu farm de servidores, em vez de alterar todos os níveis de permissão Para gerenciar permissões para um aplicativo Web, consulte Gerenciar permissões para um aplicativo Web no SharePoint Server.
Se você precisar fazer várias alterações em um nível de permissão, crie um nível personalizado para incluir todas as permissões necessárias.
Talvez você queira criar mais níveis de permissão se uma das seguintes condições for verdadeira:
Você deseja excluir várias permissões de um nível específico.
Você deseja definir um conjunto exclusivo de permissões para um novo nível.
Para criar um nível de permissão, você pode criar o nível e depois selecionar as permissões que deseja incluir.
Observação
Algumas permissões dependem de outras. Se você remover uma permissão da qual outra depende, essa outra permissão também é removida.