Planejar a segurança de sites (Windows SharePoint Services)
Atualizado em: 2008-12-18
Neste artigo:
Sobre os elementos de segurança do site
Sobre a atribuição de permissões
Sobre permissões refinadas e herança de permissão
Escolha os níveis de segurança do site a serem usados
Planejar a herança de permissões
Planilha
Este artigo aborda o planejamento do controle de acesso e autorização no conjunto de sites, sites e níveis de subsites, e não aborda o planejamento da segurança de seu servidor ou farm de servidores. Para obter mais informações sobre o planejamento de outros aspectos da segurança, como métodos de autenticação e criptografia, consulte Planejar a segurança de site e de conteúdo (Windows SharePoint Services).
A segurança do site é controlada com a atribuição de permissões a usuários e grupos de um objeto específico passível de proteção (como um site, lista ou item). Ao planejar a segurança do site, você deve decidir:
Até que limite você deseja controlar permissões para objetos individuais passíveis de proteção. Por exemplo: você deseja controlar o acesso ao site inteiro ou precisa de configurações de segurança específicas para uma determinada lista, pasta ou item?
Como você deseja categorizar e gerenciar seus usuários (usando grupos). Este artigo aborda noções fundamentais de segurança de site e ajuda a determinar os objetos passíveis de proteção aos quais serão aplicadas permissões específicas. Para obter mais informações sobre a categorização de usuários em grupos, consulte Escolher quais grupos de segurança serão usados (Windows SharePoint Services).
Dica
A maneira como os grupos e as permissões interagem mudou significativamente desde a versão anterior, na qual os grupos de nível de site eram usados para conter tanto usuários quanto permissões — ou seja, ao adicionar um usuário a um grupo de sites, automaticamente eram determinadas as permissões concedidas a esse usuário em um site. Já nesta versão, os conceitos de grupos de usuários e permissões foram separados: os grupos do SharePoint no nível de conjunto de sites contêm os usuários, os níveis de permissão contêm as permissões e os grupos não têm permissões enquanto não recebem um nível de permissão para um objeto de segurança específico (como um site, uma lista ou biblioteca, uma pasta, um item ou um documento).
Sobre os elementos de segurança do site
Independentemente do tipo de site que você está criando, a segurança do site inclui os seguintes cinco elementos:
Permissões de usuário individuais Permissões individuais que concedem a capacidade de executar ações específicas. Por exemplo, a permissão Exibir Itens concede ao usuário a capacidade de exibir itens em uma lista. Os administradores de farm podem controlar quais permissões estão disponíveis para o farm de servidores, usando a página Permissões do Usuário para Aplicativo Web na Administração Central (para abrir essa página, na página Gerenciamento de Aplicativos, emSegurança de Aplicativo, clique em Permissões do usuário para aplicativo Web). Para obter informações sobre as permissões disponíveis, consulte Permissões de usuário e níveis de permissão.
Nível de permissão Conjunto predefinido de permissões que concede permissão a usuários para executar ações relacionadas. Os níveis de permissão padrão são os seguintes: Acesso Limitado, Leitura, Colaboração, Design e Controle Total. Por exemplo, o nível de permissão Leitura inclui as permissões Exibir Itens, Abrir Itens, Exibir Páginas e Exibir Versões (entre outras), todas as quais são necessárias para ler documentos, itens e páginas em um site do SharePoint. As permissões podem ser incluídas em vários níveis de permissão. Os níveis de permissão podem ser personalizados por qualquer pessoa que tenha um nível de permissão que inclua a permissão Gerenciar Permissões. Para obter informações sobre os níveis de permissão padrão e quais permissões estão incluídas neles, consulte Permissões de usuário e níveis de permissão.
Usuário Pessoa que tem uma conta de usuário que pode ser autenticada por meio do método de autenticação utilizado para o servidor. Você pode adicionar usuários individuais e atribuir diretamente um nível de permissão a cada usuário; os usuários não precisam fazer parte de um grupo. Recomendamos que você atribua permissões a grupos, e não a usuários. Como é ineficiente manter diretamente contas de usuário, você só deve atribuir permissões por usuário como exceção. Para obter mais informações sobre tipos de contas de usuário, consulte Permissões de usuário e níveis de permissão.
Grupo Um grupo de usuários. Pode ser um grupo de segurança do Windows (como Departamento_A) que você adiciona ao site ou pode ser um grupo do SharePoint, como Proprietários do Site, Membros do Site ou Visitantes do Site. Os grupos do SharePoint recebem um nível de permissão padrão, mas o nível de permissão de qualquer grupo pode ser alterado conforme necessário. Qualquer pessoa que tenha um nível de permissão que inclua a permissão Criar Grupos (incluída no nível de permissão Controle Total, por padrão) pode criar grupos personalizados do SharePoint.
Objeto passível de proteção Os usuários ou grupos recebem um nível de permissão para um objeto passível de proteção específico: site, lista, biblioteca, pasta, documento ou item. Por padrão, as permissões para uma lista, biblioteca, pasta, documento ou item são herdadas do site pai, ou da lista ou biblioteca pai. Entretanto, qualquer pessoa que tenha um nível de permissão para um objeto passível de proteção específico que inclua a permissão Gerenciar Permissões pode alterar as permissões desse objeto. Por padrão, as permissões são inicialmente controladas no nível do site, com todas as listas e bibliotecas herdando as permissões do site. Use as permissões no nível da lista, pasta e item para controlar adicionalmente quais usuários podem exibir ou interagir com o conteúdo do site. A qualquer momento, você pode voltar a herdar permissões de uma lista pai, do site como um todo ou de um site pai.
Sobre a atribuição de permissões
Você pode atribuir um nível de permissão a um usuário ou grupo para um objeto passível de proteção específico (site, lista ou item). Usuários individuais ou grupos podem ter níveis de permissão diferentes para objetos passíveis de proteção diferentes.
Dica
Como é ineficiente manter diretamente contas de usuários, recomenda-se usar permissões de grupo tanto quanto possível. Especialmente, se você estiver usando permissões específicas (consulte a próxima seção), deverá usar grupos para evitar a necessidade de rastrear contas de usuários individuais. As pessoas podem entrar e sair de equipes e ter suas responsabilidades alteradas com frequência, e você não deseja rastrear todas essas alterações e atualizar continuamente as permissões para objetos protegíveis de forma exclusiva.
O diagrama abaixo ilustra como os usuários e grupos recebem níveis de permissão específicos para um determinado objeto passível de proteção.
.gif "Níveis específicos de permissão")
Sobre permissões refinadas e herança de permissão
Você pode usar permissões específicas (permissões no nível de lista ou biblioteca, pasta, item ou documento) para controlar com mais exatidão quais ações os usuários podem efetuar em seu site. Os seguintes objetos passíveis de proteção estão disponíveis para atribuições de permissão:
Site Controla o acesso ao site como um todo.
Lista ou biblioteca Controla o acesso a uma lista ou biblioteca específica.
Pasta Controla o acesso às propriedades de uma pasta (como o nome da pasta).
Item ou documento Controla o acesso a um item de lista ou documento específico.
Herança de permissão e permissões refinadas
Por padrão, as permissões em um site são herdadas do site. Entretanto, você pode interromper essa herança para qualquer objeto passível de proteção em um nível inferior na hierarquia por meio da edição das permissões (criando uma atribuição de permissão exclusiva) desse objeto passível de proteção. Por exemplo, você pode editar as permissões de uma biblioteca de documentos que interrompa a herança do site. Entretanto, a herança é quebrada somente para o objeto passível de proteção para o qual você atribuiu permissões; o resto das permissões do site permanecem inalteradas. Você pode voltar a herdar as permissões da lista ou do site pai a qualquer momento.
Herança de permissão e subsites
Os próprios sites são objetos passíveis de proteção para os quais as permissões podem ser atribuídas. Você pode configurar que os subsites herdem permissões de um site pai ou criar permissões exclusivas para um site específico. A herança de permissões é a forma mais fácil de gerenciar um grupo de sites. Entretanto, se um subsite herda permissões de seu pai, esse conjunto de permissões é compartilhado. Isso significa que os proprietários de subsites que herdam permissões de um site pai podem editar as permissões do pai. Se você quiser alterar apenas as permissões do subsite, deve parar de herdar permissões e fazer a alteração.
Os subsites podem herdar permissões de um site pai. Você pode parar de herdar permissões para um subsite criando permissões exclusivas. Isso copia os grupos, usuários e níveis de permissões do site pai para o subsite e interrompe a herança. Se você alterar de permissões exclusivas para herdadas, os usuários, grupos e níveis de permissão começam a ser herdados, e você pode perder usuários, grupos ou níveis de permissões que definiu de forma exclusiva no subsite. Os níveis de permissão também podem ser herdados (e o são, por padrão), de forma que o nível de permissão de Leitura seja o mesmo, independentemente do objeto ao qual está aplicado. Você pode interromper essa herança editando o nível de permissão. Por exemplo, você pode não querer que o nível de permissão Leitura de um determinado subsite inclua a permissão Criar Alertas.)
Escolher os níveis de segurança do site a serem usados
Quando você cria sua estrutura de permissões, é importante encontrar o equilíbrio entre a facilidade de administração e a necessidade de controlar permissões específicas para itens individuais. Se você usa permissões específicas extensivamente, gastará mais tempo gerenciando as permissões, e os usuários poderão ter um desempenho mais lento ao tentar acessar o conteúdo do site. Como ocorre em qualquer servidor ou site, também é importante seguir o princípio do menor privilégio quando o assunto é autorizar acesso ao site: os usuários devem ter apenas os níveis de permissão que precisam usar. Comece usando os grupos padrão (como Membros, Visitantes e Proprietários) e controlando permissões no nível do site para ter uma experiência de administração mais fácil. Inclua a maioria dos membros nos grupos Visitantes e Membros. Limite o número de pessoas no grupo Proprietários a somente os usuários os quais você deseja permitir alterar a estrutura do site ou as configurações e a aparência do site. Por padrão, os usuários do grupo Membros podem contribuir para o site, adicionar ou remover itens ou documentos, mas não podem alterar a estrutura do site ou suas configurações e aparência. Você pode criar grupos adicionais do SharePoint e níveis de permissão se precisar de mais controle sobre as ações dos usuários.
Se houver listas, bibliotecas, pastas, itens ou documentos específicos que contenham dados confidenciais que devam ser ainda mais protegidos, você pode conceder permissões a um grupo ou a um usuário individual. Lembre-se, no entanto, que não há como exibir todas as permissões específicas para listas, bibliotecas, pastas, itens ou documentos de um site. Isso significa que é difícil identificar rapidamente quem tem permissões para quais objetos passíveis de proteção e redefinir permissões específicas em lote.
Planejar a herança de permissões
É mais fácil gerenciar permissões quando há uma hierarquia clara de permissões e permissões herdadas. É mais difícil quando algumas listas de um site possuem permissões específicas aplicadas, e quando alguns sites têm subsites com permissões exclusivas e algumas permissões herdadas. Tente ao máximo possível organizar sites e subsites, listas e bibliotecas de forma que possam compartilhar a maioria das permissões. Separe dados confidenciais em suas próprias listas, bibliotecas ou subsites.
Por exemplo, é muito mais fácil gerenciar um site que tenha herança de permissões conforme ilustrado na tabela abaixo.
| Objeto passível de proteção | Descrição | Permissões exclusivas ou herdadas |
|---|---|---|
Site A |
Página inicial do grupo |
Exclusivo |
Site A/Subsite A |
Grupo confidencial |
Exclusivo |
Site A/Subsite A/Lista A |
Dados confidenciais |
Exclusivo |
Site A/Subsite A/Biblioteca A |
Documentos confidenciais |
Exclusivo |
Site A/Subsite B |
Informações de projeto compartilhadas pelo grupo |
Herdado |
Site A/Subsite B/Lista B |
Dados não-confidenciais |
Herdado |
Site A/Subsite B/Biblioteca B |
Documentos não-confidenciais |
Herdado |
Comparativamente, não é tão fácil gerenciar um site que tenha herança de permissões conforme ilustrado na tabela abaixo.
| Objeto passível de proteção | Descrição | Permissões exclusivas ou herdadas |
|---|---|---|
Site A |
Página inicial do grupo |
Exclusivo |
Site A/Subsite A |
Grupo confidencial |
Exclusivo |
Site A/Subsite A/Lista A |
Dados não-confidenciais |
Permissões exclusivas, mas idênticas às do Site A |
Site A/Subsite A/Biblioteca A |
Documentos não-confidenciais, mas com um ou dois documentos confidenciais |
Herdado, mas com permissões exclusivas no nível de documento |
Site A/Subsite B |
Informações de projeto compartilhadas pelo grupo |
Herdado |
Site A/Subsite B/Lista B |
Dados não-confidenciais, mas com um ou dois itens confidenciais |
Herdado, mas com permissões exclusivas em nível de item |
Site A/Subsite B/Biblioteca B |
Documentos não-confidenciais, mas com uma pasta especial contendo documentos confidenciais |
Herdado, mas com permissões exclusivas no nível de pasta e documento |
Planilha
Use a planilha a seguir para preencher a hierarquia do seu site e liste as permissões necessárias em cada nível da hierarquia e em qualquer herança de permissão: