Planeación de los permisos del sitio (SharePoint Foundation 2010)

 

Se aplica a: SharePoint Foundation 2010

Última modificación del tema: 2016-11-30

En este artículo se ofrece información para planear el control de acceso en los niveles de colección de sitios, sitio, subsitio y contenido de sitio (lista o biblioteca, carpeta, elemento o documento). Además, se describen los conceptos de herencia de permisos y la personalización avanzada de permisos.

En este artículo no se explica la planeación de la seguridad de la totalidad del servidor o la granja de servidores. Para obtener más información acerca de la planeación de otros aspectos de la seguridad, como los métodos y modos de autenticación, vea Planeación de métodos de autenticación (SharePoint Foundation 2010).

En este artículo:

  • Permisos del sitio

  • Herencia de permisos

  • Planeación de los permisos del sitio

  • Planeación de la herencia de permisos

Introducción

Se puede controlar el acceso al sitio y al contenido del sitio mediante la asignación de permisos a usuarios o grupos para un sitio o contenido del sitio específicos en los siguientes niveles dentro de una colección de sitios:

  • Sitio

  • Biblioteca o lista

  • Carpeta

  • Documento o elemento

Antes de desarrollar el plan de acceso al sitio y al contenido, debe plantearse las siguientes preguntas:

  • ¿Hasta qué granularidad desea controlar los permisos para el sitio o el contenido del sitio? Por ejemplo, quizás desee controlar el acceso a todo el sitio o es posible que necesite una configuración de seguridad más restrictiva para una lista, una carpeta o un elemento en particular.

  • ¿Cómo desea categorizar y administrar a los usuarios mediante grupos de SharePoint? Los grupos no tienen permisos hasta que se les asigna un nivel de permisos para un sitio específico o para un contenido del sitio en particular. Cuando asigna niveles de permisos a grupos de SharePoint en la colección de sitios, de forma predeterminada, todos los sitios y su contenido heredan tales niveles de permisos.

Para obtener más información acerca del uso de grupos para la administración de permisos, vea Elección de los grupos de seguridad (SharePoint Foundation 2010).

Permisos del sitio

Antes de diseñar el plan de permisos, es necesario comprender los conceptos siguientes:

  • Permisos   Los permisos conceden a un usuario la capacidad de realizar acciones específicas. Por ejemplo, el permiso Ver elementos permite al usuario ver elementos de una lista o carpeta, pero no agregar o quitar elementos. Los permisos se pueden conceder a usuarios individuales a nivel del sitio o de contenido del sitio.

    Para obtener información acerca de los permisos disponibles, vea Permisos de usuario y niveles de permisos (SharePoint Foundation 2010).

  • Personalización avanzada de permisos   La Personalización avanzada de permisos implica permisos únicos en objetos protegibles que se encuentran en un nivel inferior de una jerarquía de sitios, como los permisos en una lista o biblioteca, una carpeta o un elemento o documento. La Personalización avanzada de permisos permite una mayor granularidad y personalización de los permisos del usuario en una colección de sitios.

  • Nivel de permisos   Los niveles de permisos son colecciones de permisos que permiten a los usuarios realizar un conjunto de tareas relacionadas. Por ejemplo, el nivel de permisos de lectura incluye los permisos Ver elementos, Abrir elementos, Ver páginas y Ver versiones (entre otros), los cuales son necesarios para ver páginas, documentos y elementos de un sitio de SharePoint. Los permisos pueden incluirse en más de un nivel de permisos.

    Los niveles de permisos se definen en el nivel de la colección de sitios y cualquier usuario o grupo cuyo nivel de permisos incluya el permiso Administrar permisos puede personalizarlos. Para obtener más información acerca de cómo personalizar los niveles de permisos, vea Configuración de permisos personalizados (SharePoint Foundation 2010).

    Los niveles de permisos predeterminados son: Acceso limitado, Lectura, Colaborar, Diseño y Control total. Para obtener información acerca de los niveles de permisos predeterminados y los permisos incluidos en cada nivel, vea Permisos de usuario y niveles de permisos (SharePoint Foundation 2010).

  • Grupo de SharePoint   Un grupo de SharePoint es un grupo de usuarios que se define en el nivel de la colección de sitios para facilitar la administración de permisos. A cada uno de los grupos de SharePoint se le asigna un nivel de permisos predeterminado. Por ejemplo, los grupos de SharePoint predeterminados son Propietarios, Visitantes y Miembros, con niveles de permisos predeterminados Control total, Lectura y Colaborar, respectivamente. Todos los usuarios que tengan un permiso Control total pueden crear grupos personalizados.

  • Usuario   Un usuario puede ser una persona con una cuenta de usuario de cualquier proveedor de autenticación que admita la aplicación web. Se recomienda asignar permisos a grupos en lugar de a usuarios, aunque es posible conceder directamente a usuarios individuales permisos a un sitio o a contenido específico. Dado que no es eficaz mantener cuentas de usuario individuales, debe asignar permisos a usuarios individuales solamente en casos excepcionales.

  • Objeto protegible   Un objeto protegible es un sitio, lista, biblioteca, carpeta, documento o elemento para el cual se puede asignar un nivel de permisos a los usuarios o grupos. De forma predeterminada, todas las listas y bibliotecas de un sitio heredan los permisos del sitio. Puede usar los permisos de nivel de lista, nivel de carpeta y nivel de elemento para controlar aún más qué usuarios pueden ver o interactuar con el contenido del sitio. Antes de cambiar o asignar permisos a dicho objeto protegible, debe interrumpir la herencia de permisos. Puede volver a heredar los permisos de la lista primaria o del sitio primario en cualquier momento.

Puede asignar permisos a un usuario o grupo para un objeto protegible específico. Los usuarios individuales o grupos pueden tener diferentes permisos para diferentes objetos protegibles. En el diagrama siguiente se ilustran las relaciones entre permisos, usuarios y grupos, y objetos protegibles.

Niveles de permisos específicos

Herencia de permisos

Los permisos para los objetos protegibles de un sitio se heredan del objeto primario de forma predeterminada. Puede interrumpir la herencia y usar la personalización avanzada de permisos (permisos únicos en los niveles de lista o biblioteca, carpeta, elemento o documento) para controlar con mayor precisión las acciones que pueden realizar los usuarios en el sitio. Para obtener más información sobre los procedimientos recomendados para usar la personalización avanzada de permisos, vea los procedimientos recomendados para usar la personalización avanzada de permisos

Al interrumpir la herencia de permisos, se copian los grupos, usuarios y niveles de permisos del objeto primario en el objeto secundario y, a continuación, se interrumpe la herencia. Cuando se interrumpe la herencia de permisos, todos los permisos son explícitos y los cambios realizados en el objeto primario no afectan al objeto secundario. Si se restauran los permisos heredados, el objeto secundario heredará nuevamente los usuarios, grupos y niveles de permisos del objeto primario y perderá todos los usuarios, grupos o niveles de permisos que se hayan definido de forma exclusiva en el objeto secundario.

Para facilitar la administración, use la herencia de permisos siempre que sea posible.

Sugerencia

Si elige interrumpir la herencia y usar la personalización avanzada de permisos, debe usar grupos para evitar tener que realizar un seguimiento de los usuarios individuales. Por ejemplo, dado que los usuarios participan en equipos y los dejan, y cambian de responsabilidades con frecuencia, realizar un seguimiento de esos cambios y actualizar los permisos para objetos asegurados de forma exclusiva consumiría tiempo y daría lugar a errores.

Planeación de los permisos del sitio

Cuando se crean permisos, hay que buscar un equilibrio entre la facilidad de administración y el rendimiento, por un lado, y la necesidad de controlar el acceso a elementos individuales, por otro. Si usa la personalización avanzada de permisos de forma extensa, empleará más tiempo administrándolos y los usuarios podrían sufrir un menor rendimiento cuando intenten tener acceso al contenido del sitio.

Siga estas instrucciones para planear los permisos de un sitio:

  1. Adopte el principio de privilegios mínimos: los usuarios solo deberían tener los niveles de permiso o los permisos individuales que precisan para llevar a cabo las tareas asignadas.

  2. Use grupos estándar (por ejemplo, Miembros, Visitantes y Propietarios) y controle los permisos en el nivel de sitio.

    • Incluya a la mayoría de los usuarios en los grupos Visitantes o Miembros. De forma predeterminada, los usuarios del grupo Miembros pueden colaborar en el sitio, agregando o quitando elementos o documentos, pero no pueden cambiar la estructura, la configuración del sitio o su apariencia. El grupo de visitantes tiene acceso de solo lectura al sitio, lo que significa que puede ver páginas y elementos, y abrir elementos y documentos, pero no pueden eliminar páginas, elementos ni documentos.

    • Limite el número de personas del grupo Propietarios e incluya solo a aquellos usuarios a los que permitirá cambiar la estructura, la configuración o la apariencia del sitio.

  3. Use niveles de permisos en lugar de asignar permisos individuales.

Nota

  1. Puede crear grupos de SharePoint y niveles de permisos adicionales si necesita un mayor control sobre las acciones que pueden realizar los usuarios. Por ejemplo, si no desea que el nivel de permiso de lectura en un subsitio específico incluya Crear alertas, rompa la herencia y personalice el nivel del permiso de lectura para ese subsitio.

  2. Microsoft SharePoint Foundation 2010 y SharePoint Server 2010 usan Comprobar permisos para determinar los permisos que tiene un grupo o un usuario a todos los recursos de una colección de sitios. Ahora puede encontrar los permisos directamente asignados al usuario y los asignados a los grupos a los que pertenece el usuario si comprueba los permisos para un sitio o contenido del sitio específicos.

Planeación de la herencia de permisos

Resulta más sencillo administrar permisos cuando existe una jerarquía definida de permisos y permisos heredados. Se complica cuando algunas listas de un sitio tienen aplicados permisos específicos y cuando algunos sitios tienen subsitios con permisos exclusivos y subsitios con permisos heredados.

Por ejemplo, resulta mucho más sencillo administrar un sitio con herencia de permisos como se describe en la siguiente tabla.

Objeto asegurable Descripción Permisos exclusivos o heredados

SitioA

Página principal del grupo

Único

SitioA/SubsitioA

Grupo confidencial

Único

SitioA/SubsitioA/ListaA

Información confidencial

Único

SitioA/SubsitioA/BibliotecaA

Documentos confidenciales

Único

SitioA/SubsitioB

Información de proyecto compartida en grupo

Heredados

SitioA/SubsitioB/ListaB

Información no confidencial

Heredados

SitioA/SubsitioB/BibliotecaB

Documentos no confidenciales

Heredados

Sin embargo, no resulta tan sencillo administrar un sitio con herencia de permisos, como se muestra en la siguiente tabla.

Objeto asegurable Descripción Permisos exclusivos o heredados

SitioA

Página principal del grupo

Único

SitioA/SubsitioA

Grupo confidencial

Único

SitioA/SubsitioA/ListaA

Información no confidencial

Exclusivos, pero con los mismos permisos que SitioA

SitioA/SubsitioA/BibliotecaA

Documentos no confidenciales, pero con uno o dos documentos confidenciales

Heredados, pero con permisos exclusivos en el nivel de documento

SitioA/SubsitioB

Información de proyecto compartida en grupo

Heredados

SitioA/SubsitioB/ListaB

Datos no confidenciales, pero con uno o dos elementos confidenciales

Heredados, pero con permisos exclusivos en el nivel de elemento

SitioA/SubsitioB/BibliotecaB

Documentos no confidenciales, pero con una carpeta especial que contiene documentos confidenciales

Heredados, pero con permisos exclusivos en el nivel de carpeta y documento