Scegliere quali gruppi di protezione utilizzare (Office SharePoint Server)

Contenuto dell'articolo:

• Determinare quali gruppi di protezione e account di Windows utilizzare per concedere l'accesso ai siti

• Decidere se utilizzare tutti gli utenti autenticati

• Decidere se consentire l'accesso agli utenti anonimi

• Foglio di lavoro

Per rendere più facile la gestione degli utenti, è consigliabile assegnare le autorizzazioni per il sito a gruppi anziché a singoli utenti. Nel servizio directory Microsoft Active Directory per organizzare gli utenti vengono comunemente utilizzati i due tipi di gruppi seguenti:

• Gruppo di distribuzione   Gruppo senza protezione abilitata utilizzato esclusivamente per la distribuzione di posta elettronica. I gruppi di distribuzione non possono essere inclusi negli elenchi di controllo di accesso discrezionale (DACL) utilizzati per definire le autorizzazioni per risorse e oggetti.

• Gruppo di protezione   Gruppo che può essere incluso negli elenchi di controllo di accesso discrezionale (DACL) utilizzati per definire le autorizzazioni per risorse e oggetti. Un gruppo di protezione può inoltre essere utilizzato come entità di posta elettronica.

È possibile utilizzare i gruppi di protezione per gestire le autorizzazioni per il sito aggiungendo direttamente il gruppo di protezione e concedendo le autorizzazioni all'intero gruppo. I gruppi di distribuzione non possono invece essere utilizzati in questo modo. È tuttavia possibile espandere una lista di distribuzione e aggiungere i singoli utenti a un gruppo di SharePoint. Se si utilizza questo metodo, sarà necessario gestire il processo di mantenimento della sincronizzazione del gruppo di SharePoint con il gruppo di distribuzione. Se si utilizzano i gruppi di protezione, non sarà necessario gestire i singoli utenti nell'applicazione SharePoint. Dopo aver incluso il gruppo di protezione anziché i singoli membri del gruppo, gli utenti verranno gestiti automaticamente in Active Directory.

Determinare quali gruppi di protezione e account di Windows utilizzare per concedere l'accesso ai siti

I gruppi di protezione di Windows vengono impostati in modo diverso in ogni organizzazione. Per una gestione delle autorizzazioni più semplice, è consigliabile che i gruppi di protezione siano:

• Abbastanza grandi e stabili da non richiedere l'aggiunta continua di altri gruppi ai siti di SharePoint.

• Abbastanza piccoli da consentire l'assegnazione delle autorizzazioni appropriate.

Ad esempio, un gruppo di protezione denominato "tutti gli utenti dell'edificio 2" non è probabilmente abbastanza piccolo per consentire l'assegnazione delle autorizzazioni appropriate, a meno che tutti gli utenti dell'edificio 2 abbiano lo stesso ruolo professionale, ad esempio addetti alla contabilità clienti. Poiché questa è una situazione rara, è consigliabile prevedere un set di utenti più piccolo, ad esempio "contabilità clienti" o un altro gruppo più piccolo i cui componenti sono strettamente correlati tra loro.

Decidere se utilizzare tutti gli utenti autenticati

Se si desidera che tutti gli utenti all'interno del dominio siano in grado di visualizzare contenuto nel sito, valutare la possibilità di concedere l'accesso a tutti gli utenti autenticati (gruppo di protezione Domain Users di Windows). Questo gruppo speciale consente a tutti i membri del dominio di accedere a un sito Web (al livello di autorizzazione scelto), senza che sia necessario attivare l'accesso anonimo.

Decidere se consentire l'accesso agli utenti anonimi

È possibile concedere l'accesso anonimo per consentire agli utenti di visualizzare pagine in modo anonimo. La maggior parte dei siti Web Internet consente la visualizzazione anonima del sito, ma è possibile che venga richiesta l'autenticazione per modificare il sito o effettuare un acquisto in un sito per gli acquisti. L'accesso anonimo deve essere concesso al livello dell'applicazione Web nel momento in cui l'applicazione Web viene creata. Se è consentito l'accesso anonimo per l'applicazione Web, gli amministratori dei siti possono decidere se:

• Concedere l'accesso anonimo a un sito.

• Concedere l'accesso anonimo solo a elenchi e raccolte.

• Bloccare completamente l'accesso anonimo a un sito.

L'accesso anonimo si basa sull'account utente anonimo nel server Web. Questo account viene creato e gestito da Microsoft Internet Information Services (IIS) e non nel sito di SharePoint. Per impostazione predefinita, in IIS l'account utente anonimo corrisponde a IUSR_ NomeComputer. Quando si attiva l'accesso anonimo, a tale account viene concesso l'accesso al sito di SharePoint. La concessione dell'accesso al sito oppure a elenchi e raccolte determina l'assegnazione dell'autorizzazione Visualizzazione elementi all'account utente anonimo. Anche con l'autorizzazione Visualizzazione elementi, le operazioni che gli utenti anonimi possono eseguire sono comunque limitate. Gli utenti anonimi non sono infatti in grado di:

• Utilizzare la chiamata di procedura remota (RPC) di Microsoft Office SharePoint Designer. In altri termini, gli utenti anonimi non possono aprire siti per la modifica in Microsoft Office SharePoint Designer. Non possono inoltre utilizzare DAV, il protocollo Cartelle Web in Windows. In altri termini, gli utenti anonimi non possono visualizzare il sito in Risorse di rete.

• Caricare o modificare documenti nelle raccolte documenti, incluse le raccolte Wiki.

  Importante

  Per garantire un livello di protezione più elevato per siti, elenchi o raccolte, non è consigliabile attivare l'accesso anonimo. Quando si attiva l'accesso anonimo, gli utenti possono collaborare agli elenchi, partecipare alle discussioni, rispondere ai sondaggi e quindi utilizzare una grande quantità di spazio su disco del server e altre risorse. L'attivazione dell'accesso anonimo consente inoltre agli utenti anonimi di individuare informazioni del sito, inclusi gli indirizzi di posta elettronica degli utenti e i contenuti inviati agli elenchi, alle raccolte e alle discussioni.

È inoltre possibile impostare criteri di autorizzazione per l'utente anonimo per aree diverse (Internet, Extranet, Intranet o un'altra area), nel caso in cui la stessa applicazione Web gestisca il contenuto in tali aree diverse. I criteri vengono descritti nella tabella seguente:

• Nessuno   Nessun criterio. Corrisponde all'opzione predefinita. Agli utenti anonimi del sito non viene applicata alcuna restrizione aggiuntiva alle autorizzazioni o altra autorizzazione.

• Lettura   Gli utenti anonimi possono leggere il contenuto, a meno che l'accesso anonimo non venga disattivato dall'amministratore del sito.

• Nega scrittura   Gli utenti anonimi non possono scrivere contenuto, anche se l'amministratore del sito tenta di concedere tale autorizzazione specifica all'account utente anonimo.

• Nega tutto   Gli utenti anonimi non dispongono di alcun accesso, anche se gli amministratori dei siti tentano di concedere l'accesso ai siti all'account utente anonimo.

Foglio di lavoro

Nel foglio di lavoro Site and content security worksheet (https://go.microsoft.com/fwlink/?linkid=73135&clcid=0x410) (informazioni in lingua inglese) elencare i gruppi di protezione che verranno utilizzati e i relativi livelli di autorizzazione necessari a ogni livello della gerarchia del sito.

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

• Pianificare siti e caratteristiche, parte 1 (informazioni in lingua inglese)

Per un elenco completo dei manuali disponibili che è possibile scaricare per Office SharePoint Server 2007, vedere Downloadable content for Office SharePoint Server 2007 (informazioni in lingua inglese).