Determinación de niveles de permiso y grupos (Office SharePoint Server)

  • Artículo

En este artículo:

  • Revisión de los grupos predeterminados disponibles

  • Revisión de los niveles de permisos disponibles

  • Determinación de la necesidad de grupos o niveles de permisos adicionales

  • Hoja de trabajo

La decisión más importante sobre el sitio y la seguridad del contenido en Microsoft Office SharePoint Server 2007 es decidir cómo clasificar los usuarios y qué niveles de permisos asignarles.

Hay varios grupos predeterminados de SharePoint cuyo objetivo es ayudar en la clasificación de los usuarios de acuerdo con los tipos de acciones que deben realizar, pero también pueden existir requisitos diferentes u otras formas de agrupar a los usuarios. Asimismo, hay niveles de permisos predeterminados, pero pueden no adaptarse exactamente a las tareas que sus grupos necesitan realizar.

En este artículo, se revisan los grupos y los niveles de permisos predeterminados. Puede decidir usarlos como están, personalizarlos o crear diferentes grupos y niveles de permisos.

Revisión de los grupos predeterminados disponibles

Con los grupos de SharePoint, se administran conjuntos de usuarios, en lugar de usuarios individuales. Los grupos de SharePoint pueden estar compuestos por varios usuarios individuales, pueden abarcar un solo grupo de seguridad de Windows o pueden ser una combinación de estos dos tipos. Los grupos de SharePoint no ofrecen derechos específicos para el sitio, simplemente son una forma de contener un grupo de usuarios. De acuerdo con el tamaño y la complejidad de su organización o sitio web, es posible organizar los usuarios en varios grupos o sólo en unos pocos.

En la siguiente tabla, se enumeran los grupos de SharePoint predeterminados creados para los sitios de Office SharePoint Server 2007.

Nombre del grupo Nivel de permisos predeterminado

Lectores restringidos

Lectura restringida en el sitio (además de Acceso limitado a listas específicas)

Lectores de recursos de estilo

Lectura en la Galería de páginas maestras y Lectura restringida en la Biblioteca de estilos

Lectores

Vista solamente

Visitantes de la página principal

Leer

Miembros de la página principal

Colaborar

Usuarios de distribución rápida

Colaborar en la biblioteca de elementos de distribución rápida (además de Acceso limitado al resto del sitio)

Aprobadores

Aprobar (además de Acceso limitado)

Diseñadores

Diseño

Administradores de jerarquías

Administrar la jerarquía (además de Acceso limitado)

Propietarios de la página principal

Control total

Nota

El nivel de permisos Acceso limitado se usa para proporcionar a los grupos acceso a una lista, biblioteca de documentos, elemento o documento específicos, sin concederles acceso al sitio completo. No quite este nivel de permisos de los grupos de la lista anterior. Si lo hace, es posible que los grupos no puedan navegar por el sitio para llegar a elementos específicos con los que deben interactuar.

Además, están disponibles los siguientes usuarios y grupos especiales para tareas administrativas de niveles superiores:

  • Administradores de colecciones de sitios   Puede designar uno o varios usuarios como administradores de colecciones de sitios principales o secundarios. Estos usuarios quedan registrados en la base de datos como contactos para la colección de sitios, tienen control total sobre los sitios de la colección, pueden realizar auditorías de todo el contenido del sitio y reciben cualquier alerta administrativa (como verificaciones para saber si el sitio está en uso). Generalmente, los administradores de colecciones de sitios se designan al crear el sitio, pero es posible modificarlos cuando sea necesario desde las páginas de Administración central o Configuración del sitio.

  • Administradores de granjas de servidores   Controlan qué usuarios pueden administrar la configuración del servidor y de la granja de servidores. El grupo de administradores de granjas elimina la necesidad de agregar usuarios al grupo de administradores del servidor o al grupo de administradores de SharePoint usado en Windows SharePoint Services 2.0. Los administradores de granjas de servidores no tienen acceso al contenido del sitio de forma predeterminada; deben ser propietarios del sitio para ver su contenido. Para ello, deben agregarse como administradores de colecciones de sitios, acción que se incluye en los registros de auditoría. El grupo de administradores de granjas de servidores se usa solamente en la Administración central, y no está disponible para ningún sitio.

  • Administradores Integrantes del grupo Administradores del servidor local que pueden realizar acciones de administrador de granja de servidores y otras tareas, como las siguientes:

    • Instalar nuevos productos o aplicaciones.

    • Implementar elementos web y nuevas características en la memoria caché de ensamblados global.

    • Crear nuevas aplicaciones web y nuevos sitios web de IIS.

    • Iniciar servicios.

    Al igual que el grupo de administradores de granjas de servidores, los integrantes del grupo Administradores del servidor local no tienen, de forma predeterminada, acceso al contenido del sitio.

Una vez que haya identificado los grupos que necesita, determine los niveles de permisos para asignar a cada uno de los grupos del sitio.

Acción de hoja de trabajo

Para registrar los grupos que necesite crear, use la hoja de trabajo de grupos y niveles de permisos personalizados (en inglés) (https://go.microsoft.com/fwlink/?linkid=73134&clcid=0xC0A) (en inglés).

Revisión de los niveles de permisos disponibles

La posibilidad de ver, cambiar o administrar un sitio en particular se determina en función del nivel de permisos asignados a un usuario o grupo. Este nivel de permisos controla todos los permisos para el sitio y los subsitios, las listas, las bibliotecas de documentos, las carpetas y los elementos o documentos que heredan los permisos del sitio. Sin los niveles de permisos apropiados, es posible que los usuarios no puedan realizar sus tareas o que puedan realizar tareas que no se deseaba que realicen.

De forma predeterminada, los siguientes niveles de permisos están disponibles:

  • Acceso limitado: incluye permisos que permiten a los usuarios ver listas específicas, bibliotecas de documentos, elementos de lista, carpetas o documentos cuando se otorgan permisos.

  • Leer : incluye permisos que permiten a los usuarios ver elementos en páginas del sitio.

  • Colaborar : incluye permisos que permiten a los usuarios agregar o cambiar elementos en páginas del sitio, listas o bibliotecas de documentos.

  • Diseño: incluye permisos que permiten a los usuarios cambiar el diseño de las páginas del sitio mediante el uso del explorador o de Microsoft Office SharePoint Designer 2007.

  • Aprobar: incluye permisos para editar y aprobar páginas, elementos de lista y documentos.

  • Administrar la jerarquía: incluye permisos para sitios y páginas de edición, elementos de lista y documentos.

  • Lectura restringida: incluye permisos para ver páginas y documentos, pero no las versiones históricas ni información de derechos de usuario.

  • Control total: incluye todos los permisos.

Para obtener más información acerca de los permisos incluidos en los niveles de servicios predeterminados, vea User permissions and permission levels.

Determinación de la necesidad de grupos o niveles de permisos adicionales

Los grupos y niveles de permisos predeterminados están diseñados para proporcionar un marco general para los permisos y abarcan una amplia gama de tipos de organizaciones y las funciones incluidas en ellas. Sin embargo, es posible que éstos no se asocien exactamente con el modo en que los usuarios están organizados o con la variedad de tareas que los usuarios realizan en los sitios. Si los grupos y niveles de permisos predeterminados no se adaptan a su organización, puede crear grupos personalizados, cambiar los permisos incluidos en los niveles de permisos específicos o crear niveles de permisos personalizados.

¿Necesita grupos personalizados?

La decisión de crear grupos personalizados es bastante sencilla y tiene un impacto mínimo en la seguridad del sitio. Básicamente, deberá crear grupos personalizados en lugar de usar los grupos predeterminados si se aplica alguna de las siguientes condiciones:

  • Tiene más (o menos) funciones de usuario en la organización de las que aparecen en los grupos predeterminados. Por ejemplo, si además de Aprobadores, Diseñadores y Administradores de jerarquías, tiene un grupo de usuarios cuya responsabilidad es publicar contenido en el sitio, posiblemente necesite crear un grupo Editores.

  • Existen nombres conocidos para funciones exclusivas en la organización que realizan tareas muy distintas en los sitios. Por ejemplo, si va a crear un sitio público para vender los productos de su organización, puede ser conveniente crear un grupo Clientes que reemplace los grupos Visitantes o Lectores.

  • Se desea conservar la relación de uno a uno entre los grupos de seguridad de Windows y los grupos de SharePoint. (Por ejemplo, su organización cuenta con un grupo de seguridad para Administradores del sitio web y desea usar este nombre como nombre de grupo para simplificar la identificación al administrar el sitio).

  • Se prefiere usar otros nombres de grupo.

¿Necesita niveles de permisos personalizados?

La decisión de personalizar niveles de permisos es menos sencilla que la de personalizar grupos de SharePoint. Cuando personaliza los permisos asignados a un nivel de permisos en particular, debe realizar un seguimiento de este cambio, comprobar que funcione para todos los grupos y sitios afectados por el cambio, y asegurarse de que el cambio no afecte negativamente a la seguridad ni la capacidad y el rendimiento del servidor.

Por ejemplo, desde el punto de vista de la seguridad, si personaliza el nivel de permisos Colaborar para incluir el permiso Crear subsitios, que normalmente forma parte del nivel de permisos Control total, los miembros del grupo Colaboradores podrán crear y poseer subsitios, así como invitar a usuarios malintencionados a sus subsitios o publicar contenido no autorizado. En lo que respecta a la capacidad, si personaliza el permiso Leer para incluir el permiso Crear alertas, que suele ser parte del nivel de permisos Colaborar, todos los miembros del grupo de visitantes de la página principal podrán crear alertas, lo que podría sobrecargar los servidores.

Deberá personalizar los niveles de permisos predeterminados si se aplica alguna de las siguientes condiciones:

  • Un nivel de permisos predeterminado incluye todos los permisos excepto uno que los usuarios necesitan para realizar sus tareas, y se desea agregar este permiso.

  • Un nivel de permisos predeterminado incluye un permiso que los usuarios no necesitan.

    Nota

    No se deben personalizar los niveles de permisos predeterminados si existen dudas respecto de la seguridad de un permiso en particular o de otro tipo, y se desea deshabilitar dicho permiso para todos los usuarios asignados a los niveles de permisos en los que éste se incluye. En tal caso, debe desactivar el permiso para todas las aplicaciones web de la granja de servidores en lugar de cambiar todos los niveles de permisos. Para administrar los permisos de una aplicación web, en Administración central, en la página Administración de aplicaciones, en la sección Seguridad de aplicaciones, haga clic en Permisos de usuario para aplicación web.

Si desea realizar varios cambios en un nivel de permisos determinado, es preferible crear un nivel de permisos personalizado que incluya todos los permisos necesarios.

Es conveniente crear niveles de permisos adicionales si se aplica alguna de las siguientes condiciones:

  • Se desea excluir diversos permisos de un nivel de permisos determinado.

  • Se desea definir un conjunto exclusivo de permisos para un nuevo nivel de permisos.

Para crear un nivel de permisos, puede copiar un nivel de permisos existente y luego realizar cambios. También puede crear un nivel de permisos y luego seleccionar los permisos que desea incluir.

Nota

Algunos permisos dependen de otros. Si se borra un permiso del cual depende otro permiso, éste también se borrará.

Acción de hoja de trabajo

Use la hoja de trabajo de grupos y niveles de permisos personalizados (en inglés) (https://go.microsoft.com/fwlink/?linkid=73134&clcid=0xC0A) (en inglés) para registrar los niveles de permisos que desee personalizar o crear.

Hoja de trabajo

Use la siguiente hoja de trabajo para determinar los niveles de permisos y grupos que desea usar:

Descarga de este libro

En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:

Vea la lista completa de libros disponibles en la página que muestra el contenido descargable para Office SharePoint Server 2007.