Планирование безопасности сайта (Windows SharePoint Services)
Содержание:
Элементы системы безопасности сайта
Назначение разрешений
Детальные разрешения и наследование разрешений
Выбор уровней безопасности сайта
Планирование наследования разрешений
Таблица
В данной статье рассматривается составление плана по управлению доступом и авторизации на уровнях семейства сайтов, сайта и дочернего сайта. Данные по обеспечению безопасности сервера или фермы серверов отсутствуют. Дополнительные сведения о планировании других аспектов безопасности, включая способы проверки подлинности и шифрования, см. в разделе Планирование безопасности сайта и контента (Windows SharePoint Services).
Управление безопасностью сайта осуществляется за счет назначения разрешений пользователям и группам для конкретных защищаемых объектов (сайтов, списков или элементов). При планировании системы безопасности необходимо решить следующие вопросы:
Степень контроля за разрешениями для конкретных защищаемых объектов. Например, управление доступом должно осуществляться для всего сайта или следует использовать определенные параметры безопасности для конкретного списка, папки или элемента?
Способы классификации и управления пользователями (с помощью групп). В данной статье рассматриваются основные вопросы безопасности сайта, предоставляются справочные сведения об определении защищаемых объектов, к которым применяются конкретные разрешения. Дополнительные сведения о группировании пользователей см. в разделе Выбор используемых групп безопасности (Windows SharePoint Services).
Примечание
По сравнению с предыдущей версией был значительно изменен способ взаимодействия между группами и разрешениями. Так, в прежней версии группы уровня сайта включали как пользователей, так и разрешения: при добавлении пользователя к группе сайта автоматически определялись разрешения, предоставляемые этому пользователю для этого сайта. В настоящей версии группы пользователей и разрешения разделены: группы SharePoint на уровне семейства сайтов содержат пользователей, уровни разрешений включают разрешения, и группы не получают разрешений до тех пор, пока им не будет назначен уровень разрешений для конкретного защищаемого объекта (сайта, списка, папки, элемента или документа).
Элементы системы безопасности сайта
Независимо от типа создаваемого сайта, система безопасности включает в себя пять следующих элементов:
Отдельные разрешения пользователей Отдельные разрешения, которые позволяют выполнять конкретные действия. Например, разрешение на просмотр элементов позволяет пользователям просматривать элементы в списке. С помощью страницы центра администрирования "Разрешения пользователя для веб-приложения" администраторы фермы серверов могут управлять доступными для этой фермы разрешениями (чтобы открыть эту страницу, на странице "Управление приложениями" в разделе Безопасность приложений щелкните Разрешения пользователя для веб-приложения). Сведения о доступных разрешениях см. в разделе Пользовательские разрешения и уровни разрешений.
Уровень разрешений Предварительно определенный набор разрешений, который позволяет пользователям выполнять соответствующие действия. По умолчанию заданы следующие уровни разрешений: "Ограниченный доступ", "Чтение", "Участие", "Разработка" и "Полный доступ". Например, уровень разрешений "Чтение" включает в себя разрешения "Просмотр элементов", "Открытие элементов", "Просмотр страниц" и "Просмотр версий" (доступны и другие разрешения). Все они требуются для для чтения документов, элементов и страниц на сайте SharePoint. Разрешения могут быть включены в несколько уровней. Уровни разрешений может настраивать любой пользователь, обладающий уровнем, который включает разрешение "Управление разрешениями". Сведения об уровнях разрешений по умолчанию и входящих в них разрешениях см. в разделе Пользовательские разрешения и уровни разрешений.
Пользователь Лицо, имеющее учетную запись, подлинность которой может быть проверена с помощью способа проверки подлинности, используемого для сервера. Можно добавлять отдельных пользователей и непосредственно назначать каждому из них уровень разрешений. Пользователи не обязательно должны являться участниками группы. Рекомендуется назначать разрешения не отдельным пользователям, а группам. Управление учетными записями пользователей напрямую неэффективно, поэтому рекомендуется назначать разрешения для отдельных пользователей только в виде исключения. Дополнительные сведения о видах учетных записей пользователей см. в разделе Пользовательские разрешения и уровни разрешений.
Группа Группой называется группа пользователей. Группа может быть группой безопасности Windows (например "отдел_A"), которая добавляется на сайт, либо группой SharePoint, например "Владельцы узла", "Участники узла" или "Посетители узла". Для каждой группы SharePoint назначается уровень разрешений по умолчанию, но при необходимости его можно изменить для любой группы. Создавать пользовательские группы SharePoint может любой пользователь, которому назначен уровень разрешений, включающий разрешение "Создание групп" (по умолчанию входит в уровень разрешений "Полный доступ").
Защищаемый объект Уровень разрешений назначается пользователям или группам для конкретного защищаемого объекта: сайта, списка, библиотеки, папки, документа или элемента. По умолчанию разрешения для списков, библиотек, папок, документов и элементов наследуются от родительского сайта или родительского списка или библиотеки. Однако любой, кому назначен уровень разрешений для определенного защищаемого объекта, включающий разрешение "Управление разрешениями", может изменить разрешения для этого объекта. По умолчанию контроль над разрешениями первоначально осуществляется на уровне сайта, при этом все списки и библиотеки наследуют разрешения сайта. Для более детального контроля пользователей, которые могут просматривать контент сайта и взаимодействовать с ним, используйте разрешения на уровне списка, папки и элемента. В любой момент можно вернуться к наследованию разрешений от родительского списка, сайта в целом или родительского сайта.
Назначение разрешений
Можно назначать уровни разрешений пользователям или группам для конкретных защищаемых объектов (сайтов, списков или элементов). Отдельные пользователи или группы могут иметь различные уровни разрешений для разных защищаемых объектов.
Примечание
Поскольку управление учетными записями пользователей напрямую неэффективно, рекомендуется максимально использовать разрешения групп. В случае использования детальных разрешений (см. раздел далее) применение групп позволит избежать необходимости отслеживать разрешения для отдельных учетных записей. Пользователи могут переходить из группы в группу и часто менять обязанности, при этом отпадает необходимость отслеживать эти изменения и постоянно обновлять разрешения для уникальных защищенных объектов.
На следующей схеме показано, как пользователям и группам назначаются отдельные уровни разрешений для определенных защищаемых объектов.
.gif "Особые уровни разрешений")
Детальные разрешения и наследование разрешений
Детальные разрешения (разрешения на уровне списка, библиотеки, папки, элемента или документа) можно использовать для более точного управления действиями, которые пользователи могут выполнять на сайте. Для назначения разрешений доступны следующие защищенные объекты.
Сайт Управляет доступом к сайту в целом.
Список или библиотека Управляет доступом к определенному списку или библиотеке.
Папка Управляет доступом к свойствам папки (таким как название папки).
Элемент или документ Управляет доступом к определенному элементу списка или документу.
Наследование разрешений и детальные разрешения
По умолчанию разрешения на сайте наследуются от этого сайта. Однако это наследование можно прекратить для любого защищаемого объекта, находящегося на более низком уровне в иерархии. Для этого нужно изменить разрешения (создать назначение уникальных разрешений) для этого защищаемого объекта. Например, можно изменить разрешения для библиотеки документов, прекратив наследование от сайта. Однако наследование отменяется только для конкретного защищаемого объекта, которому были присвоены разрешения; остальные разрешения на сайте остаются неизменными. В любое время можно вернуться к наследованию разрешений от родительского сайта или списка.
Наследование разрешений и дочерние сайты
Веб-сайт представляет собой защищаемый объект, для которого можно назначить разрешения. Можно настроить дочерние сайты для наследования разрешений от родительского сайта либо создать уникальные разрешения для определенного сайта. Наследование разрешений является простейшим способом для управления группой веб-сайтов. Тем не менее, если дочерний сайт наследует разрешения от своего родительского сайта, то этот набор разрешений является общим. Это означает, что владельцы дочерних сайтов, наследующих разрешения от родительского сайта, могут изменять разрешения родительского сайта. Чтобы изменить разрешения только для дочернего сайта, необходимо остановить наследование разрешений, а затем внести необходимые изменения.
Дочерние сайты могут наследовать разрешения от родительского сайта. Наследование разрешений можно остановить для дочернего сайта, создав для него уникальные разрешения. При этом группы, пользователи и уровни разрешений копируются с родительского сайта на дочерний сайт и затем прекращается наследование. При смене уникальных разрешений на наследуемые начинается наследование пользователей, групп и уровней разрешений и все уникально заданные на данном дочернем сайте пользователи, группы и уровни разрешений будут утрачены. Уровни разрешений также могут наследоваться таким образом, что уровень разрешений "Чтение" остается неизменным вне зависимости от объекта, к которому он применяется (и это является поведением по умолчанию). Можно прекратить наследование, изменив уровень разрешений (например, в уровень разрешений "Чтение" конкретного дочернего сайта можно включить разрешение "Создание оповещений").
Выбор уровней безопасности сайта
При создании структуры разрешений необходимо постараться сохранить оптимальное соотношение между простотой администрирования, производительностью и необходимостью в управлении конкретными разрешениями для отдельных элементов. При частом использовании детальных разрешений управление ими будет отнимать слишком много времени и производительность пользователей при доступе к контенту сайта может падать. Как и в случае с любыми серверами или веб-сайтами при разрешении доступа к сайту необходимо руководствоваться принципом предоставления минимальных прав. У пользователей должен быть только тот уровень разрешений, который им необходим. Для начала, чтобы упростить задачи администрирования, используйте стандартные группы ("Участники", "Посетители" и "Владельцы") и управляйте разрешениями на уровне сайта. Большинство пользователей следует отнести в группы "Посетители" или "Участники". В группу "Владельцы" должны входить только те пользователи, которым разрешено изменять структуру сайта или его параметры и вид. По умолчанию пользователи, входящие в группу "Участники", могут управлять контентом сайта, добавляя или удаляя элементы и документы, однако им запрещено изменять структуру сайта или его параметры и вид. Чтобы увеличить степень контроля за действиями, которые могут предпринять пользователи, можно создать дополнительные группы SharePoint и уровни разрешений.
При наличии списков, библиотек, папок, элементов или документов, содержащих конфиденциальные данные, требующие дополнительной защиты, можно предоставлять разрешения только для некоторых групп или отдельных пользователей. Учтите, что невозможно просмотреть одновременно все разрешения по определенным спискам, библиотекам, папкам, элементам или документам на сайте. Это означает, что почти невозможно быстро получить информацию о пользователях, обладающих разрешениями для определенных защищаемых объектов, и сложно выполнить сброс детальных разрешений в пакетном режиме.
Планирование наследования разрешений
Управлять разрешениями намного легче, когда существует четкая иерархия разрешений и наследуемых разрешений. Однако эта задача становится труднее, если для некоторых списков сайта используются детальные разрешения, а также в том случае, когда у одних сайтов дочерние сайты обладают уникальными разрешениями, а у других сайтов — наследуемыми. Насколько возможно, организуйте сайты, дочерние сайты, списки и библиотеки так, чтобы они могли наследовать большую часть разрешений. Поместите конфиденциальные данные в отдельные списки, библиотеки или дочерние сайты.
К примеру, намного проще управлять сайтом с наследованием разрешений, показанным в следующей таблице.
| Защищаемый объект | Описание | Уникальные или наследуемые разрешения |
|---|---|---|
Сайт A |
Домашняя страница группы |
Уникальные |
Сайт A/дочерний сайт A |
Конфиденциальная группа |
Уникальные |
Сайт A/дочерний сайт A/список A |
Конфиденциальные данные |
Уникальные |
Сайт A/дочерний сайт A/библиотека A |
Конфиденциальные документы |
Уникальные |
Сайт A/сайт B |
Общие сведения проекта группы |
Унаследованные |
Сайт A/сайт B/список B |
Не конфиденциальные данные |
Унаследованные |
Сайт A/сайт B/библиотека B |
Не конфиденциальные документы |
Унаследованные |
Для сравнения управление сайтом с наследованием разрешений, показанным в таблице далее, намного сложнее.
| Защищаемый объект | Описание | Уникальные или наследуемые разрешения |
|---|---|---|
Сайт A |
Домашняя страница группы |
Уникальные |
Сайт A/дочерний сайт A |
Конфиденциальная группа |
Уникальные |
Сайт A/дочерний сайт A/список A |
Не конфиденциальные данные |
Уникальные, но с такими же разрешениями, как для сайта А |
Сайт A/дочерний сайт A/библиотека A |
Не конфиденциальные документы, но с одним или двумя конфиденциальными документами |
Унаследованные, с уникальными разрешениями на уровне документа |
Сайт A/сайт B |
Общие сведения проекта группы |
Унаследованные |
Сайт A/сайт B/список B |
Не конфиденциальные данные, но с одним или двумя конфиденциальными элементами |
Унаследованные, с уникальными разрешениями на уровне элемента |
Сайт A/сайт B/библиотека B |
Не конфиденциальные данные, но с особой папкой, включающей конфиденциальные документы |
Унаследованные, с уникальными разрешениями на уровне папки и документа |
Форма
Заполните указанный ниже лист сведениями об иерархии своего сайта и перечислите разрешения, необходимые на каждом уровне иерархии, и все наследования разрешений: