Elección de los grupos de seguridad que se usarán (Office SharePoint Server)

En este artículo:

• Determinación de las cuentas y grupos de seguridad de Windows que se van a usar para conceder acceso a los sitios

• Decisión acerca de la inclusión de todos los usuarios autenticados

• Decisión acerca de la concesión de acceso a usuarios anónimos

• Hoja de trabajo

Para que la administración de los usuarios sea más sencilla, recomendamos que asigne permisos de sitio a grupos en lugar de a usuarios individuales. En el servicio de directorio Microsoft Active Directory, normalmente se usan los dos tipos de grupos siguientes para organizar los usuarios:

• Grupo de distribución   Grupo que sólo se usa para la distribución de correo electrónico y no tiene habilitada la seguridad. Los grupos de distribución no se pueden incluir en las listas de control de acceso discrecional (DACL) que se usan para definir los permisos sobre recursos y objetos.

• Grupo de seguridad   Grupo que se puede incluir en las listas de control de acceso discrecional (DACL) que se usan para definir los permisos sobre recursos y objetos. Un grupo de seguridad se puede usar también como una entidad de correo electrónico.

Puede usar los grupos de seguridad para controlar los permisos del sitio agregando directamente el grupo de seguridad y concediendo permisos a todo el grupo. Los grupos de distribución no se pueden usar de esta forma; sin embargo, se puede expandir una lista de distribución y agregar cada uno de los usuarios a un grupo de SharePoint. Si usa este método, debe administrar el proceso de mantener el grupo de SharePoint sincronizado con el grupo de distribución. Si usa grupos de seguridad, no tiene que administrar a cada uno de los usuarios de la aplicación de SharePoint. Active Directory se ocupa de la administración de los usuarios al haber incluido el grupo de seguridad en lugar de cada uno de los usuarios del grupo.

Determinación de las cuentas y grupos de seguridad de Windows que se van a usar para conceder acceso a los sitios

Cada organización configura sus grupos de seguridad de Windows de distinta manera. Para que la administración de permisos sea sencilla, los grupos de seguridad deben ser:

• Lo suficientemente grandes y estables para que no haya que agregar más grupos a los sitios de SharePoint constantemente.

• Lo suficientemente pequeños para poder asignar los permisos adecuados.

Por ejemplo, es probable que un grupo de seguridad denominado "todos los usuarios del edificio 2" no sea lo suficientemente pequeño para asignar permisos, a menos que todos los usuarios del edificio 2 tengan la misma función en su trabajo, por ejemplo administrativos de cuentas por cobrar. Esto no suele ser así, por lo que debería buscar un grupo de usuarios más pequeño, como "cuentas por cobrar" u otro grupo pequeño en que los usuarios estén estrechamente relacionados.

Decisión acerca de la inclusión de todos los usuarios autenticados

Si desea que todos los usuarios del dominio puedan ver el contenido del sitio, considere la posibilidad de conceder acceso a todos los usuarios autenticados (grupo de seguridad de Windows Usuarios de dominio). Este grupo especial permite a todos los usuarios del dominio tener acceso a un sitio web, con el nivel de permiso que se seleccione, sin tener que habilitar el acceso anónimo.

Decisión acerca de la concesión de acceso a usuarios anónimos

Puede habilitar el acceso anónimo para que los usuarios puedan ver las páginas de forma anónima. La mayor parte de los sitios web de Internet permiten que se vea el sitio de forma anónima, pero podrían solicitar la autenticación si alguien desea modificar el sitio o adquirir algún artículo en un sitio de compras. El acceso anónimo se debe conceder en el nivel de la aplicación web en el momento de crearla. Si se permite el acceso anónimo en la aplicación web, los administradores del sitio puede decidir si:

• Conceder acceso anónimo a un sitio

• Conceder acceso anónimo sólo a las listas y bibliotecas

• Bloquear totalmente el acceso anónimo a un sitio

El acceso anónimo se basa en la cuenta de usuario anónimo del servidor web. Esta cuenta la crea y mantiene Microsoft Internet Information Services (IIS), no su sitio de SharePoint. De forma predeterminada, en IIS, la cuenta de usuario anónimo es IUSR_nombreDeEquipo. Cuando habilita el acceso anónimo, está concediendo a esa cuenta acceso al sitio de SharePoint. Al permitir el acceso a un sitio o a listas y bibliotecas, concede el permiso Ver elementos a la cuenta de usuario anónimo. Sin embargo, incluso con el permiso Ver elementos, las acciones de los usuarios anónimos tienen restricciones. Los usuarios anónimos no pueden:

• Usar la llamada a procedimiento remoto (RPC) de Microsoft Office SharePoint Designer, es decir, no pueden abrir sitios para modificarlos en Office SharePoint Designer. Tampoco pueden usar DAV (el protocolo de carpetas web de Windows), es decir, no pueden ver el sitio en Mis sitios de red.

• Carga o edición de documentos en bibliotecas de documentos, incluidas la bibliotecas Wiki.

  Importante

  Para crear sitios, listas o bibliotecas más seguros, no habilite el acceso anónimo. El acceso anónimo permite que los usuarios contribuyan a listas, discusiones y encuestas, usando probablemente espacio de disco del servidor y otros recursos. Además, permite a los usuarios anónimos conocer la información del sitio, incluidas las direcciones de correo electrónico y todo el contenido expuesto en listas, bibliotecas y discusiones.

También puede establecer directivas de permisos para el usuario anónimo para diferentes zonas (Internet, Extranet, Intranet, otras), si una misma aplicación web suministra contenido a esas distintas zonas. Las directivas se describen en la siguiente lista:

• Ninguno   Sin directiva. Ésta es la opción predeterminada. No se aplican otras adiciones o restricciones de permisos a los usuarios anónimos del sitio.

• Leer   Los usuarios anónimos pueden leer el contenido, a menos que el administrador del sitio desactive el acceso anónimo.

• Denegar escritura   Los usuarios anónimos no pueden escribir contenido, incluso si el administrador del sitio intenta conceder este permiso a la cuenta de usuario anónimo.

• Denegar a todos   Los usuarios anónimos no pueden tener ningún acceso, incluso si los administradores de sitios intentan conceder a la cuenta de usuario anónimo acceso a sus sitios.

Hoja de trabajo

En la hoja de trabajo para la planeación de la seguridad del contenido y de los sitios (https://go.microsoft.com/fwlink/?linkid=73135&clcid=0xC0A) (en inglés), enumere los grupos de seguridad que vaya a usar y los niveles de permisos que necesitará en cada nivel de la jerarquía de sitios.

Descarga de este libro

En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:

• Planeación de sitios y características (primera parte)

Vea la lista completa de libros disponibles en la página que muestra el contenido descargable para Office SharePoint Server 2007.