Determinare i gruppi e i livelli di autorizzazione (SharePoint Foundation)

 

Si applica a: SharePoint Foundation 2010

Ultima modifica dell'argomento: 2016-11-30

In questo articolo vengono illustrati i gruppi e i livelli di autorizzazione predefiniti. Sarà quindi più facile decidere se utilizzarli, personalizzarli oppure aggiungere nuovi gruppi e livelli di autorizzazione per garantire una maggiore sicurezza.

Contenuto dell'articolo:

Per garantire la sicurezza del contenuto e del sito in Microsoft SharePoint Foundation 2010 è importante decidere come suddividere in categorie gli utenti e quali livelli di autorizzazione assegnare.

Sono disponibili diversi gruppi di SharePoint predefiniti che consentono di suddividere in categorie gli utenti in base ai tipi di azioni che devono eseguire. È tuttavia possibile che si debbano soddisfare requisiti specifici o che si desideri organizzare gli insiemi di utenti in modo diverso. Analogamente, sono disponibili livelli di autorizzazione predefiniti, ma potrebbero non essere sempre compatibili con le attività che i gruppi devono eseguire.

In questo articolo vengono illustrati i gruppi e i livelli di autorizzazione predefiniti e sulla base delle informazioni fornite sarà possibile decidere se utilizzarli così come sono, se personalizzarli o se creare gruppi e livelli di autorizzazione diversi.

I gruppi di SharePoint consentono di gestire insiemi di utenti anziché singoli utenti. Tali gruppi possono essere costituiti da numerosi singoli utenti, possono includere un singolo gruppo di sicurezza di Windows o possono essere una combinazione di entrambi. I gruppi di SharePoint non concedono diritti specifici per il sito, ma rappresentano un contenitore per un insieme di utenti. È possibile organizzare gli utenti in un numero qualsiasi di gruppi, a seconda delle dimensioni e della complessità dell'organizzazione o del sito Web.

Nella tabella seguente vengono illustrati i gruppi predefiniti creati per i siti in SharePoint Foundation 2010.

 

Nome del gruppo Livello di autorizzazione predefinito

Visitatori di <nome sito>

Lettura

Membri di <nome sito>

Collaborazione

Proprietari di <nome sito>

Controllo completo

Per le attività di amministrazione di livello superiore sono inoltre disponibili i gruppi e gli utenti speciali seguenti:

  • Amministratori raccolta siti È possibile designare uno o più utenti come amministratori principali e secondari della raccolta siti. Questi utenti sono registrati nel database come contatti per la raccolta siti, dispongono del controllo completo per tutti i siti della raccolta, possono controllare tutto il contenuto del sito e ricevere avvisi amministrativi (per verificare ad esempio se un sito è ancora in uso). In genere gli amministratori della raccolta siti vengono designati quando si crea il sito, ma è possibile modificarli in base alle esigenze utilizzando il sito Amministrazione centrale o le pagine di Impostazioni sito.

  • Amministratori farm Questo gruppo consente di controllare quali utenti possono gestire le impostazioni di server e server farm ed evita di dover aggiungere utenti al gruppo Amministratori per il server. Per impostazione predefinita gli amministratori della farm non hanno diritto di accesso al contenuto del sito, devono infatti assumere la proprietà del sito per visualizzarne il contenuto. A tale scopo, i membri del gruppo devono aggiungersi come amministratori della raccolta siti, azione che viene registrata nei registri di controllo. Il gruppo Amministratori farm è utilizzato solo in Amministrazione centrale e non è disponibile per gli altri siti.

  • Amministratori Oltre alle azioni degli amministratori della farm, i membri del gruppo Amministratori nel server locale possono eseguire le operazioni seguenti:

    • Installazione di nuovi prodotti o nuove applicazioni.

    • Distribuzione di web part e nuove caratteristiche nella cache di assembly globale.

    • Creazione di nuove applicazioni Web e nuovi siti Web IIS.

    • Avvio di servizi.

    Analogamente al gruppo Amministratori farm, per impostazione predefinita i membri del gruppo Administrators nel server locale non hanno diritto di accesso al contenuto del sito.

Dopo aver identificato i gruppi necessari, determinare i livelli di autorizzazione da assegnare a ogni gruppo del sito.

La possibilità di visualizzare, modificare o gestire un sito specifico è determinata dal livello di autorizzazione assegnato a un utente o a un gruppo. Questo livello controlla tutte le autorizzazioni per il sito e per tutti i siti secondari, gli elenchi, le raccolte documenti, le cartelle e gli elementi o i documenti che ereditano le autorizzazioni del sito. Senza i livelli di autorizzazione appropriati, gli utenti potrebbero non essere in grado di eseguire le proprie attività o essere in grado di eseguire attività che non si desidera possano eseguire.

Per impostazione predefinita sono disponibili i livelli di autorizzazione seguenti:

  • Accesso limitato Include autorizzazioni che consentono agli utenti autorizzati di visualizzare elenchi, raccolte documenti, voci di elenchi, cartelle o documenti specifici.

  • Lettura Include autorizzazioni che consentono agli utenti di visualizzare elementi nelle pagine del sito.

  • Collaborazione Include autorizzazioni che consentono agli utenti di aggiungere o modificare elementi nelle pagine del sito o in elenchi e raccolte documenti.

  • Progettazione Include autorizzazioni che consentono agli utenti di modificare il layout delle pagine del sito mediante il browser o Microsoft Office SharePoint Designer 2007.

  • Controllo completo   Include tutte le autorizzazioni.

I gruppi e i livelli di autorizzazione predefiniti offrono una struttura generale per le autorizzazioni in quanto si riferiscono a molti tipi diversi di organizzazioni e di ruoli all'interno di tali organizzazioni. Potrebbero tuttavia non corrispondere esattamente al modo in cui i propri utenti sono organizzati o alle molte attività diverse eseguite dagli utenti nei siti. Se i gruppi e i livelli di autorizzazione predefiniti non sono adatti alla propria organizzazione, è possibile creare gruppi personalizzati, modificare le autorizzazioni incluse in livelli di autorizzazione specifici o creare livelli di autorizzazione personalizzati.

La decisione di creare gruppi personalizzati è abbastanza semplice e ha un impatto ridotto sulla sicurezza del sito. In sostanza, è necessario creare gruppi personalizzati invece di utilizzare i gruppi predefiniti se si verifica una delle situazioni seguenti:

  • Nell'organizzazione vi sono più o meno ruoli utente di quelli previsti nei gruppi predefiniti. Ad esempio, se oltre al gruppo Designer è presente un insieme di utenti responsabili della pubblicazione di contenuto nel sito, è possibile creare un gruppo Editori.

  • Nell'organizzazione ci sono nomi noti per ruoli univoci che eseguono attività molto diverse nei siti. Se si sta ad esempio creando un sito pubblico per vendere i prodotti dell'organizzazione, è possibile creare un gruppo Clienti in sostituzione del gruppo Visitatori o Visualizzatori.

  • Si desidera mantenere una relazione uno-a-uno tra i gruppi di sicurezza di Windows e i gruppi di SharePoint. L'organizzazione dispone ad esempio di un gruppo di sicurezza per i gestori del sito Web e si desidera utilizzare tale nome come nome di un gruppo per semplificare l'identificazione durante la gestione del sito.

  • Si preferiscono nomi di gruppi diversi.

La decisione di personalizzare i livelli di autorizzazione è meno semplice di quella di personalizzare i gruppi di SharePoint. Se si personalizzano le autorizzazioni assegnate a un livello, è necessario tenere traccia di tale modifica, verificare che sia compatibile con tutti i gruppi e i siti su cui influisce e assicurarsi che la modifica non abbia un impatto negativo sulla sicurezza oppure sulla capacità o le prestazioni del server.

Per quanto riguarda la sicurezza, se si personalizza ad esempio il livello di autorizzazione Collaborazione per includere l'autorizzazione Creazione siti secondari, che è in genere inclusa nel livello Controllo completo, i membri del gruppo Collaboratori potranno creare siti secondari ed esserne proprietari ed eventualmente invitare utenti malintenzionati nei siti o pubblicare contenuto non approvato. Per quanto riguarda invece la capacità, se si modifica il livello di autorizzazione Lettura per includere l'autorizzazione Creazione avvisi, che è in genere inclusa nel livello Collaborazione, tutti i membri del gruppo Visitatori potranno creare avvisi sovraccaricando così i server.

È consigliabile personalizzare i livelli di autorizzazione predefiniti se si verifica una delle situazioni seguenti:

  • Un livello di autorizzazione predefinito include tutte le autorizzazioni ad eccezione di una che è necessaria affinché gli utenti possano eseguire le proprie mansioni e si desidera aggiungere tale autorizzazione.

  • Un livello di autorizzazione predefinito include un'autorizzazione non utilizzata dagli utenti.

    NotaNote
    Se si ritiene che una determinata autorizzazione rappresenti un rischio per la sicurezza o un altro tipo di rischio per l'organizzazione e si desidera che non sia disponibile per tutti gli utenti assegnati al livello o ai livelli che includono tale autorizzazione, non personalizzare i livelli di autorizzazione predefiniti. A tale scopo, è consigliabile disattivare l'autorizzazione per tutte le applicazioni Web della server farm anziché modificare tutti i livelli di autorizzazione.

Se si desidera apportare diverse modifiche a un livello di autorizzazione specifico, è preferibile creare un livello di autorizzazione personalizzato che includa tutte le autorizzazioni necessarie.

Potrebbe essere necessario creare livelli di autorizzazione aggiuntivi se si verifica una delle situazioni seguenti:

  • Si desidera escludere diverse autorizzazioni da un determinato livello di autorizzazione.

  • Si desidera definire un insieme univoco di autorizzazioni per un nuovo livello di autorizzazione.

Per creare un livello di autorizzazione, è possibile copiare un livello di autorizzazione esistente e quindi apportarvi modifiche, oppure creare un livello di autorizzazione e quindi selezionare le autorizzazioni da includervi.

NotaNote
Alcune autorizzazioni dipendono da altre autorizzazioni. Se si cancella un'autorizzazione da cui dipende un'altra autorizzazione, verrà cancellata anche l'altra autorizzazione.

Mostra: