Pianificare le autorizzazioni dei siti (SharePoint Server 2010)
Si applica a: SharePoint Foundation 2010, SharePoint Server 2010
Ultima modifica dell'argomento: 2016-11-30
In questo articolo vengono fornite informazioni utili per pianificare il controllo dell'accesso a livello di raccolta siti, sito, sito secondario e contenuto del sito (elenco o raccolta, cartella, elemento o documento). Vengono inoltre illustrati i concetti relativi a ereditarietà delle autorizzazioni e autorizzazioni specifiche.
Nell'articolo non viene invece trattata la pianificazione della sicurezza dell'intero server o dell'intera server farm. Per ulteriori informazioni sulla pianificazione di altri aspetti della sicurezza, ad esempio i metodi e le modalità di autenticazione, vedere Pianificare i metodi di autenticazione (SharePoint Server 2010).
Contenuto dell'articolo:
Informazioni sulle autorizzazioni per i siti
Informazioni sull'ereditarietà delle autorizzazioni
Pianificare le autorizzazioni per il sito
Pianificare l'ereditarietà delle autorizzazioni
Introduzione
È possibile controllare l'accesso al sito e il contenuto del sito tramite l'assegnazione di autorizzazioni a utenti o gruppi per un sito o un contenuto del sito specifico ai livelli seguenti in una raccolta siti:
Sito
Raccolta o elenco
Cartella
Documento o elemento
Prima di sviluppare un piano per l'accesso ai siti e al contenuto, è consigliabile considerare le domande seguenti:
A quale livello di dettaglio si desidera controllare le autorizzazioni per il sito o il relativo contenuto? Ad esempio, si desidera controllare l'accesso a livello di sito oppure sono necessarie impostazioni di sicurezza più restrittive per un elenco, una cartella o un elemento specifico.
Come si desidera suddividere e gestire gli utenti in categorie tramite i gruppi di SharePoint? I gruppi non dispongono di autorizzazioni finché non viene loro assegnato un livello di autorizzazione per un sito o per un contenuto specifico. Quando si assegnano livelli di autorizzazione a gruppi di SharePoint a livello di raccolta siti, per impostazione predefinita tali livelli di autorizzazione verranno ereditati da tutti i siti e dal relativo contenuto.
Per ulteriori informazioni sull'utilizzo di gruppi per facilitare la gestione delle autorizzazioni, vedere Scegliere i gruppi di sicurezza (SharePoint Server 2010).
Informazioni sulle autorizzazioni per i siti
Prima di progettare il piano di autorizzazioni, è consigliabile comprendere i concetti seguenti:
Autorizzazioni Le autorizzazioni concedono a un utente la possibilità di eseguire azioni specifiche. Ad esempio, l'autorizzazione Visualizzazione elementi consente all'utente di visualizzare gli elementi di un elenco o di una cartella, ma non di aggiungere o rimuovere elementi. Le autorizzazioni possono essere concesse ai singoli utenti a livello di sito o di contenuto del sito.
Per informazioni sulle autorizzazioni disponibili, vedere User permissions and permission levels (SharePoint Server 2010).
Autorizzazioni specifiche Le autorizzazioni specifiche sono autorizzazioni esclusive su oggetti a protezione diretta che si trovano a un livello inferiore in una gerarchia dei siti, ad esempio autorizzazioni per un elenco o una raccolta, una cartella, un elemento oppure un documento. Le autorizzazioni specifiche consentono un maggiore livello di dettaglio e una maggiore personalizzazione delle autorizzazioni utente in una raccolta siti.
Livello di autorizzazione I livelli di autorizzazione sono raccolte di autorizzazioni, che consentono agli utenti di eseguire un insieme di attività correlate. Ad esempio, Ad esempio, il livello di autorizzazione Lettura include tra le altre le autorizzazioni Visualizzazione elementi, Apertura elementi, Visualizzazione pagine e Visualizzazione versioni. Tutte queste autorizzazioni sono necessarie per visualizzare pagine, documenti ed elementi in un sito di SharePoint. Le autorizzazioni possono essere incluse in più livelli di autorizzazione.
I livelli di autorizzazione vengono definiti a livello di raccolta siti e possono essere personalizzati da qualsiasi utente o gruppo, il cui livello di autorizzazione include l'autorizzazione Gestisci autorizzazioni. Per ulteriori informazioni sulla personalizzazione dei livelli di autorizzazione, vedere Configure custom permissions (SharePoint Server 2010).
I livelli di autorizzazione predefiniti sono Accesso limitato, Lettura, Collaborazione, Progettazione e Controllo completo. Per ulteriori informazioni sulla personalizzazione dei livelli di autorizzazione, vedere User permissions and permission levels (SharePoint Server 2010).
Gruppo di SharePoint Un gruppo di SharePoint è un gruppo di utenti definito a livello di raccolta siti, per agevolare la gestione delle autorizzazioni. A ogni gruppo di SharePoint viene assegnato un livello di autorizzazione predefinito. Ad esempio, i gruppi predefiniti di SharePoint sono Proprietari, Visitatori e Membri, rispettivamente con livelli di autorizzazione predefiniti Controllo completo, Lettura e Collaborazione. Tutti gli utenti che dispongono dell'autorizzazione Controllo completo possono creare gruppi personalizzati.
Utente Un utente può essere una persona che dispone di un account utente creato da qualsiasi provider di autenticazione supportato dall'applicazione Web. È consigliabile assegnare le autorizzazioni ai gruppi invece che agli utenti, benché sia possibile concedere direttamente autorizzazioni ai singoli utenti per un sito o per contenuto specifico. Poiché la gestione dei singoli account utente è onerosa, è opportuno assegnare autorizzazioni per i singoli utenti solo come eccezione.
Oggetto a protezione diretta È un sito, un elenco, una raccolta, una cartella, un documento o un elemento per cui è possibile assegnare livelli di autorizzazione a utenti o gruppi. Per impostazione predefinita, tutti gli elenchi e le raccolte di un sito ereditano le autorizzazioni del sito. È possibile utilizzare le autorizzazioni a livello di elenco, cartella ed elemento per disporre di un maggiore controllo sugli utenti che possono visualizzare o interagire con il contenuto del sito. Per modificare o assegnare autorizzazioni per un oggetto a protezione diretta, è innanzitutto necessario interrompere l'ereditarietà delle autorizzazioni. È possibile riprendere a ereditare le autorizzazioni da un elenco padre i da un sito in qualsiasi momento.
È possibile assegnare a un utente o a un gruppo autorizzazioni per un oggetto a protezione diretta specifico. I singoli utenti o gruppi possono disporre di autorizzazioni diverse per oggetti a protezione diretta diversi. Nel diagramma seguente viene illustrata la relazione tra autorizzazioni, utenti e gruppi e gli oggetti a protezione diretta.
.gif "Livelli di autorizzazione specifici")
Informazioni sull'ereditarietà delle autorizzazioni
Le autorizzazioni relative agli oggetti a protezione diretta all'interno di un sito vengono ereditate dall'oggetto padre per impostazione predefinita. È possibile interrompere l'ereditarietà e utilizzare autorizzazioni specifiche, ovvero autorizzazioni esclusive a livello di elenco o raccolta, cartella, elemento o documento, in modo da ottenere maggiore controllo sulle azioni che gli utenti possono eseguire sul sito. Per ulteriori informazioni sulle procedure consigliate per l'utilizzo di autorizzazioni specifiche, vedere Procedure consigliate per l'utilizzo delle autorizzazioni specifiche (le informazioni potrebbero essere in lingua inglese)
L'interruzione dell'ereditarietà comporta la copia di gruppi, utenti e livelli di autorizzazione dall'oggetto padre all'oggetto figlio e quindi l'interruzione dell'ereditarietà. Quando l'ereditarietà delle autorizzazioni viene interrotta, tutte le autorizzazioni diventano esplicite ed eventuali modifiche apportate all'oggetto padre non influiranno sull'oggetto figlio. Se si ripristinano le autorizzazioni ereditate, l'oggetto figlio erediterà di nuovo utenti, gruppi e livelli di autorizzazione dal sito padre e si perderanno eventuali utenti, gruppi o livelli di autorizzazione esclusivi per l'oggetto figlio.
Per semplificare la gestione, è consigliabile utilizzare l'ereditarietà delle autorizzazioni quando possibile.
Suggerimento
Se si sceglie di interrompere l'ereditarietà e utilizzare le autorizzazioni specifiche, è consigliabile utilizzare i gruppi per evitare di dover tenere traccia dei singoli utenti. Poiché le persone possono cambiare frequentemente team e responsabilità, il fatto di dover tenere traccia di tutti i cambiamenti e di dover aggiornare le autorizzazioni per gli oggetti protetti in modo esclusivo può essere un'attività che richiede tempo e che comporta diversi errori.
Pianificare le autorizzazioni per il sito
Quando si creano le autorizzazioni, è fondamentale trovare il giusto compromesso tra facilità di amministrazione e prestazioni e la necessità di controllare l'accesso ai singoli elementi. Se si utilizzano diffusamente le autorizzazioni specifiche, si impiegherà più tempo per gestire le autorizzazioni e gli utenti potrebbero riscontrare prestazioni ridotte quando tentano di accedere al contenuto del sito.
Per pianificare le autorizzazioni per i siti, attenersi alle linee guida seguenti:
Seguire il principio dei privilegi minimi, in base al quale gli utenti devono disporre esclusivamente dei livelli di autorizzazione o delle autorizzazioni singole di cui hanno necessità per eseguire le attività loro assegnate.
Utilizzare gruppi standard, ad esempio Membri, Visitatori e Proprietari, e controllare le autorizzazioni a livello di sito.
Inserire gran parte degli utenti nel gruppo Membri o Visitatori. Per impostazione predefinita, gli utenti inclusi nel gruppo Membri possono collaborare al sito aggiungendo o rimuovendo elementi o documenti, ma non possono modificare la struttura, le impostazioni o l'aspetto del sito. Il gruppo Visitatori dispone dell'accesso in sola lettura al sito, pertanto gli utenti inclusi in tale gruppo possono visualizzare le pagine e gli elementi o aprire elementi e documenti, ma non aggiungere o rimuovere pagine, elementi o documenti.
Limitare il numero delle persone appartenenti al gruppo Proprietari, inserendovi solo gli utenti che si ritiene possano eventualmente modificare in modo affidabile la struttura, le impostazioni o l'aspetto del sito.
Utilizzare i livelli di autorizzazioni invece di assegnare singole autorizzazioni.
Nota
-
Per avere un maggiore controllo sulle operazioni che gli utenti sono autorizzati a eseguire, è possibile creare ulteriori livelli di autorizzazione e gruppi di SharePoint. Se ad esempio non si desidera che nel livello di autorizzazione Lettura per un determinato sito secondario sia inclusa l'autorizzazione Creazione avvisi, interrompere l'ereditarietà e personalizzare tale livello di autorizzazione per il sito secondario in questione.
-
Microsoft SharePoint Foundation 2010 e SharePoint Server 2010 utilizzano Verifica autorizzazioni per determinare le autorizzazioni di un utente o di un gruppo per tutte le risorse all'interno di una raccolta siti. È ora possibile identificare sia le autorizzazioni assegnate direttamente all'utente sia le autorizzazioni assegnate agli eventuali gruppi di cui l'utente è membro verificando le autorizzazioni per un sito o un contenuto del sito specifico.
Pianificare l'ereditarietà delle autorizzazioni
La gestione delle autorizzazioni risulta più semplice quando viene definita una gerarchia chiara di autorizzazioni e autorizzazioni ereditate. Quando ad alcuni elenchi in un sito vengono applicate autorizzazioni specifiche e quando alcuni siti dispongono di siti secondari con autorizzazioni esclusive e altri con autorizzazioni ereditate, la gestione diventa più complicata. Per quanto possibile, disporre siti e siti secondari, elenchi e raccolte in modo da consentire la condivisione della maggior parte delle autorizzazioni. Separare i dati riservati nei rispettivi elenchi, raccolte o siti secondari.
Ad esempio, la gestione di un sito con ereditarietà delle autorizzazioni analoga a quella illustrata nella tabella seguente risulta molto più semplice.
| Oggetto a protezione diretta | Descrizione | Autorizzazioni esclusive o ereditate |
|---|---|---|
SitoA |
Home page del gruppo |
Esclusive |
SitoA/SitoSecondarioA |
Gruppo riservato |
Esclusive |
SitoA/SitoSecondarioA/ElencoA |
Dati riservati |
Esclusive |
SitoA/SitoSecondarioA/RaccoltaA |
Documenti riservati |
Esclusive |
SitoA/SitoSecondarioB |
Informazioni di progetto condivise dal gruppo |
Ereditate |
SitoA/SitoSecondarioB/ElencoB |
Dati non riservati |
Ereditate |
SitoA/SitoSecondarioB/RaccoltaB |
Documenti non riservati |
Ereditate |
La gestione di un sito con ereditarietà delle autorizzazioni analoga a quella illustrata nella tabella seguente non risulta invece molto semplice.
| Oggetto a protezione diretta | Descrizione | Autorizzazioni esclusive o ereditate |
|---|---|---|
SitoA |
Home page del gruppo |
Esclusive |
SitoA/SitoSecondarioA |
Gruppo riservato |
Esclusive |
SitoA/SitoSecondarioA/ElencoA |
Dati non riservati |
Esclusive ma uguali a SitoA |
SitoA/SitoSecondarioA/RaccoltaA |
Documenti non riservati ma con uno o due documenti riservati |
Ereditate con autorizzazioni esclusive a livello di documento |
SitoA/SitoSecondarioB |
Informazioni di progetto condivise dal gruppo |
Ereditate |
SitoA/SitoSecondarioB/ElencoB |
Dati non riservati ma con uno o due elementi riservati |
Ereditate con autorizzazioni esclusive a livello di elemento |
SitoA/SitoSecondarioB/RaccoltaB |
Documenti non riservati ma con una cartella speciale contenente documenti riservati |
Ereditate con autorizzazioni specifiche a livello di cartella e di documento |