Determinare i gruppi e i livelli di autorizzazione da utilizzare (Windows SharePoint Services)

  • Articolo

Contenuto dell'articolo:

  • Esaminare i gruppi predefiniti disponibili

  • Esaminare i livelli di autorizzazione disponibili

  • Determinare la necessità di gruppi o livelli di autorizzazione aggiuntivi

  • Foglio di lavoro

Per garantire la protezione del contenuto e del sito in Microsoft Windows SharePoint Services 3.0 è importante decidere come suddividere in categorie gli utenti e quali livelli di autorizzazione assegnare.

Sono disponibili diversi gruppi di SharePoint predefiniti che consentono di suddividere in categorie gli utenti in base ai tipi di azioni che devono eseguire. È tuttavia possibile che si abbiano requisiti specifici o un approccio completamente diverso nei confronti degli insiemi di utenti. Analogamente, sono disponibili livelli di autorizzazione predefiniti, ma potrebbero non essere esattamente compatibili con le attività che i gruppi devono eseguire.

In questo articolo vengono illustrati i gruppi e i livelli di autorizzazione predefiniti e sulla base delle informazioni fornite sarà possibile decidere se utilizzarli così come sono, se personalizzarli o se creare gruppi e livelli di autorizzazione diversi.

Esaminare i gruppi predefiniti disponibili

I gruppi di SharePoint consentono di gestire insiemi di utenti anziché singoli utenti. Tali gruppi possono essere costituiti da numerosi singoli utenti, possono includere un singolo gruppo di protezione di Windows o possono essere una combinazione di entrambi. I gruppi di SharePoint non concedono diritti specifici per il sito, sono semplicemente un contenitore per un insieme di utenti. A seconda delle dimensioni e della complessità dell'organizzazione o del sito Web, è possibile organizzare gli utenti in numerosi o pochi gruppi.

I gruppi di SharePoint predefiniti creati per i siti in Microsoft Windows SharePoint Services 3.0 sono elencati nella tabella seguente.

Nome del gruppo Livello di autorizzazione predefinito

Visitatori di <nome sito>

Lettura

Membri di <nome sito>

Collaborazione

Proprietari di <nome sito>

Controllo completo

Per le attività di amministrazione di livello superiore sono inoltre disponibili i gruppi e gli utenti speciali seguenti:

  • Amministratori raccolta siti   È possibile designare uno o più utenti come amministratori principali e secondari della raccolta siti. Questi utenti sono registrati nel database come contatti per la raccolta siti, dispongono del controllo completo per tutti i siti della raccolta, possono controllare il contenuto del sito e ricevere avvisi amministrativi (per verificare ad esempio se un sito è ancora in uso). In genere gli amministratori della raccolta siti vengono designati quando si crea il sito, ma è possibile modificarli in base alle esigenze specifiche del caso utilizzando il sito Amministrazione centrale o le pagine Impostazioni sito.

  • **Amministratori farm   **Questo gruppo consente di controllare quali utenti possono gestire le impostazioni di server e server farm ed evita di dover aggiungere utenti al gruppo Amministratori per il server o al gruppo Administrators di SharePoint utilizzato in Windows SharePoint Services versione 2.0. Per impostazione predefinita gli amministratori della farm non hanno diritto di accesso al contenuto del sito, devono infatti assumere la proprietà del sito per visualizzarne il contenuto. A tale scopo, i membri del gruppo si aggiungono come amministratori della raccolta siti, azione che viene registrata nei registri di controllo. Il gruppo Amministratori farm è utilizzato solo in Amministrazione centrale e non è disponibile per gli altri siti.

  • **Administrators   **Oltre alle azioni degli amministratori della farm, i membri del gruppo Administrators nel server locale possono eseguire le azioni seguenti:

    • Installazione di nuovi prodotti o nuove applicazioni.

    • Distribuzione di web part e nuove caratteristiche nella cache di assembly globale.

    • Creazione di nuove applicazioni Web e nuovi siti Web IIS.

    • Avvio di servizi.

    Analogamente al gruppo Amministratori farm, per impostazione predefinita i membri del gruppo Administrators nel server locale non hanno diritto di accesso al contenuto del sito.

Dopo aver identificato i gruppi necessari, determinare i livelli di autorizzazione da assegnare a ogni gruppo del sito.

Azione nel foglio di lavoro

Utilizzare il foglio di lavoro Custom permission levels and groups worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73133&clcid=0x410) (informazioni in lingua inglese) per registrare i gruppi che è necessario creare.

Esaminare i livelli di autorizzazione disponibili

La possibilità di visualizzare, modificare o gestire un sito specifico è determinata dal livello di autorizzazione assegnato a un utente o a un gruppo. Questo livello controlla tutte le autorizzazioni per il sito e per eventuali siti secondari, elenchi, raccolte documenti, cartelle ed elementi o documenti che ereditano le autorizzazioni del sito. Senza i livelli di autorizzazione appropriati, gli utenti potrebbero non essere in grado di eseguire le proprie attività o essere in grado di eseguire attività che non si desidera possano eseguire.

Per impostazione predefinita sono disponibili i livelli di autorizzazione seguenti:

  • **Accesso limitato   **Include autorizzazioni che consentono agli utenti di visualizzare elenchi, raccolte documenti, voci di elenchi, cartelle o documenti specifici, se autorizzati.

  • **Lettura   **Include autorizzazioni che consentono agli utenti di visualizzare elementi nelle pagine del sito.

  • **Collaborazione   **Include autorizzazioni che consentono agli utenti di aggiungere o modificare elementi nelle pagine del sito o in elenchi e raccolte documenti.

  • **Progettazione   **Include autorizzazioni che consentono agli utenti di modificare il layout delle pagine del sito mediante il browser o Microsoft Office SharePoint Designer 2007.

  • **Controllo completo   **Include tutte le autorizzazioni.

Per ulteriori informazioni sulle autorizzazioni incluse nei livelli di autorizzazione predefiniti, vedere Autorizzazioni utente e livelli di autorizzazione.

Determinare la necessità di gruppi o livelli di autorizzazione aggiuntivi

I gruppi e i livelli di autorizzazione predefiniti offrono una struttura generale per le autorizzazioni in quanto coprono un'ampia gamma di tipi di organizzazioni e di ruoli all'interno di tali organizzazioni. Potrebbero tuttavia non corrispondere esattamente al modo in cui i propri utenti sono organizzati o alla varietà di attività eseguite dagli utenti nei siti. Se i gruppi e i livelli di autorizzazione predefiniti non sono adatti alla propria organizzazione, è possibile creare gruppi predefiniti, modificare le autorizzazioni incluse in livelli di autorizzazione specifici o creare livelli di autorizzazione personalizzati.

Necessità di gruppi personalizzati

La decisione di creare gruppi personalizzati è abbastanza semplice e ha un impatto ridotto sulla protezione del sito. In sostanza, è necessario creare gruppi personalizzati invece di utilizzare i gruppi predefiniti se una delle situazioni seguenti è valida:

  • Nell'organizzazione vi sono più o meno ruoli utente di quelli previsti nei gruppi predefiniti. Ad esempio, se oltre al gruppo Designer è presente un insieme di utenti responsabili della pubblicazione di contenuto nel sito, è possibile creare un gruppo Editori.

  • Nell'organizzazione ci sono nomi noti per ruoli univoci che eseguono attività molto diverse nei siti. Se si sta ad esempio creando un sito pubblico per vendere i prodotti dell'organizzazione, è possibile creare un gruppo Clienti in sostituzione del gruppo Visitatori o Visualizzatori.

  • Si desidera mantenere una relazione uno-a-uno tra i gruppi di protezione di Windows e i gruppi di SharePoint. L'organizzazione dispone ad esempio di un gruppo di protezione Gestori sito Web e si desidera utilizzare tale nome come nome di un gruppo per semplificare l'identificazione durante la gestione del sito.

  • Si preferiscono nomi di gruppi diversi.

Necessità di livelli di autorizzazione personalizzati

La decisione di personalizzare i livelli di autorizzazione è meno semplice di quella di personalizzare i gruppi di SharePoint. Se si personalizzano le autorizzazioni assegnate a un determinato livello, è necessario tenere traccia di tale modifica, verificare che sia compatibile con tutti i gruppi e i siti su cui influisce la modifica e assicurarsi che la modifica non abbia un impatto negativo sulla protezione o sulla capacità o le prestazioni del server.

Per quanto riguarda la protezione, se si personalizza ad esempio il livello di autorizzazione Collaborazione per includere l'autorizzazione Creazione siti secondari, che è in genere inclusa nel livello Controllo completo, i membri del gruppo Collaboratori potranno creare siti secondari ed esserne proprietari ed eventualmente invitare utenti malintenzionati nei siti o pubblicare contenuto non approvato. Per quanto riguarda invece la capacità, se si modifica il livello di autorizzazione Lettura per includere l'autorizzazione Creazione avvisi, che è in genere inclusa nel livello Collaborazione, tutti i membri del gruppo Visitatori potranno creare avvisi sovraccaricando così i server.

È consigliabile personalizzare i livelli di autorizzazione predefiniti se una delle situazioni seguenti è valida:

  • Un livello di autorizzazione predefinito include tutte le autorizzazioni ad eccezione di una che è necessaria affinché gli utenti possano eseguire le proprie mansioni e si desidera aggiungere tale autorizzazione.

  • Un livello di autorizzazione predefinito include un'autorizzazione non utilizzata dagli utenti.

    Nota

    Se si ritiene che una determinata autorizzazione presenti un rischio per la protezione o un altro tipo di rischio per l'organizzazione e si desidera che non sia disponibile per tutti gli utenti assegnati al livello o ai livelli che includono tale autorizzazione, non personalizzare i livelli di autorizzazione predefiniti. A tale scopo, disattivare l'autorizzazione per tutte le applicazioni Web della server farm, invece di modificare tutti i livelli di autorizzazione. Per gestire le autorizzazioni per un'applicazione Web, in Amministrazione centrale fare clic su Autorizzazioni utente per l'applicazione Web nella sezione Protezione applicazione della pagina Gestione applicazioni.

Se si desidera apportare diverse modifiche a un livello di autorizzazione specifico, è preferibile creare un livello di autorizzazione personalizzato che includa tutte le autorizzazioni necessarie.

È possibile creare livelli di autorizzazione aggiuntivi se una delle situazioni seguenti è valida:

  • Si desidera escludere diverse autorizzazioni da un determinato livello di autorizzazione.

  • Si desidera definire un insieme univoco di autorizzazioni per un nuovo livello di autorizzazione.

Per creare un livello di autorizzazione, è possibile copiare un livello di autorizzazione esistente e quindi apportarvi modifiche, oppure creare un livello di autorizzazione e quindi selezionare le autorizzazioni da includervi.

Nota

Alcune autorizzazioni dipendono da altre autorizzazioni. Se si cancella un'autorizzazione da cui dipende un'altra autorizzazione, verrà cancellata anche l'altra autorizzazione.

Azione nel foglio di lavoro

Utilizzare il foglio di lavoro Custom permission levels and groups worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73133&clcid=0x410) (informazioni in lingua inglese) per registrare i livelli di autorizzazione che si desidera personalizzare o creare.

Foglio di lavoro

Utilizzare il foglio di lavoro seguente per determinare i gruppi e i livelli di autorizzazione da utilizzare:

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

Vedere l'elenco completo dei manuali disponibili visitando la pagina Web Manuali scaricabili per Windows SharePoint Services (informazioni in lingua inglese).