Scegliere i gruppi di protezione da utilizzare (Windows SharePoint Services)

Contenuto dell'articolo:

  • Determinare i gruppi e gli account di protezione di Windows da utilizzare per concedere l'accesso ai siti

  • Decidere se utilizzare tutti gli utenti autenticati

  • Decidere se concedere l'accesso agli utenti anonimi

  • Foglio di lavoro

Per una più semplice gestione degli utenti, è consigliabile assegnare le autorizzazioni per i siti ai gruppi anziché ai singoli utenti. Nel servizio directory Microsoft Active Directory vengono utilizzati in genere i due tipi di gruppi seguenti per organizzare gli utenti:

  • Gruppo di distribuzione   Gruppo utilizzato solo per la distribuzione di posta elettronica e senza protezione abilitata. I gruppi di distribuzione non possono essere elencati negli elenchi di controllo di accesso discrezionale (DACL, Discretionary Access Control List) utilizzati per definire le autorizzazioni per risorse e oggetti.

  • Gruppo di protezione   Gruppo che può essere elencato negli elenchi di controllo di accesso discrezionale utilizzati per definire le autorizzazioni per risorse e oggetti. Un gruppo di protezione può essere utilizzato inoltre come entità di posta elettronica.

È possibile utilizzare i gruppi di protezione per definire le autorizzazioni per il sito aggiungendo direttamente il gruppo di protezione e concedendo le autorizzazioni all'intero gruppo. I gruppi di distribuzione invece non possono essere utilizzati in questo modo. È comunque possibile espandere una lista di distribuzione e aggiungere i singoli utenti a un gruppo di SharePoint. Se si utilizza questo metodo, è necessario mantenere il gruppo di SharePoint sincronizzato con il gruppo di distribuzione. Se si utilizzano gruppi di protezione, non è necessario gestire i singoli utenti nell'applicazione SharePoint. Poiché è stato incluso il gruppo di protezione stesso anziché i singoli membri del gruppo, gli utenti vengono gestiti da Active Directory.

Determinare i gruppi e gli account di protezione di Windows da utilizzare per concedere l'accesso ai siti

Ogni organizzazione configura i propri gruppi di protezione di Windows in modo diverso. Per semplificare la gestione delle autorizzazioni, è consigliabile che i gruppi di protezione abbiano le caratteristiche seguenti:

  • Devono essere sufficientemente grandi e stabili da non dover aggiungere costantemente ulteriori gruppi ai siti di SharePoint.

  • Devono essere sufficientemente piccoli da consentire l'assegnazione di autorizzazioni appropriate.

È improbabile ad esempio che un gruppo di protezione denominato "tutti gli utenti dell'edificio 2" sia sufficientemente piccolo per l'assegnazione di autorizzazioni, a meno che tutti gli utenti dell'edificio 2 non svolgano lo stesso ruolo professionale, ad esempio addetti alla contabilità clienti. Poiché si tratta di un evento raro, è consigliabile cercare un insieme di utenti meno esteso, ad esempio "contabilità clienti" o addirittura un gruppo ancora più piccolo estremamente correlato.

Decidere se utilizzare tutti gli utenti autenticati

Se si desidera consentire a tutti gli utenti del dominio di visualizzare il contenuto del sito, concedere l'accesso a tutti gli utenti autenticati, ovvero al gruppo di protezione Domain Users di Windows. Questo gruppo speciale consente a tutti i membri del dominio di accedere a un sito Web al livello di autorizzazione scelto dall'utente, senza dover attivare l'accesso anonimo.

Decidere se concedere l'accesso agli utenti anonimi

È possibile attivare l'accesso anonimo per consentire agli utenti di visualizzare le pagine in modo anonimo. La maggior parte dei siti Web Internet consente la visualizzazione anonima del sito, ma è possibile che richieda l'autenticazione se un utente desidera modificare il sito o acquistare un articolo in un sito per gli acquisti online. L'accesso anonimo deve essere concesso a livello dell'applicazione Web al momento della creazione dell'applicazione Web. Se viene concesso l'accesso anonimo per l'applicazione Web, gli amministratori del sito possono decidere se eseguire le operazioni seguenti:

  • Concedere l'accesso anonimo a un sito.

  • Concedere l'accesso anonimo solo a elenchi e raccolte.

  • Bloccare l'accesso anonimo a un sito.

L'accesso anonimo dipende dall'account utente anonimo nel server Web. Questo account viene creato e gestito da Microsoft Internet Information Services (IIS) e non dal sito di SharePoint. Per impostazione predefinita, in IIS l'account utente anonimo è IUSR_ NomeComputer. Quando si attiva l'accesso anonimo, si concede in realtà all'account l'accesso al sito di SharePoint. Consentendo l'accesso a un sito o a elenchi e raccolte, si concede l'autorizzazione Visualizzazione elementi all'account utente anonimo. Nonostante l'autorizzazione Visualizzazione elementi, esistono tuttavia restrizioni alle azioni che possono essere eseguite dagli utenti anonimi. Non possono essere eseguite dagli utenti anonimi le operazioni seguenti:

  • Utilizzare la chiamata di procedura remota (RPC) Microsoft Office SharePoint Designer. In altri termini non possono aprire i siti per la modifica in Microsoft Office SharePoint Designer, né possono utilizzare DAV, ovvero il protocollo Cartelle Web in Windows. Non possono pertanto visualizzare il sito in Risorse di rete.

  • Caricare o modificare documenti nelle raccolte documenti, incluse le raccolte wiki.

    Importante

    Per garantire un livello di protezione più elevato per siti, elenchi o raccolte, non è consigliabile attivare l'accesso anonimo. L'attivazione dell'accesso anonimo consente agli utenti di collaborare a elenchi, discussioni e sondaggi, con il rischio di consumare lo spazio su disco del server e altre risorse. Consente inoltre agli utenti anonimi di individuare informazioni del sito, inclusi gli indirizzi di posta elettronica e il contenuto inserito negli elenchi, nelle raccolte e nelle discussioni.

È inoltre possibile impostare criteri di autorizzazione per l'utente anonimo per aree diverse (Internet, Extranet, Intranet, Personalizzata) se il contenuto di tali aree è gestito dalla stessa applicazione Web. I criteri vengono illustrati nell'elenco seguente:

  • Nessuno   Nessun criterio. Questa è l'opzione predefinita. Agli utenti anonimi dei siti non vengono applicate ulteriori restrizioni o aggiunte per le autorizzazioni.

  • Lettura   Gli utenti anonimi possono leggere il contenuto, a meno che l'amministratore del sito non abbia disattivato l'accesso anonimo.

  • Nega scrittura   Gli utenti anonimi non possono scrivere contenuto, anche se l'amministratore del sito tenta specificamente di concedere tale autorizzazione all'account utente anonimo.

  • Nega tutto   Gli utenti anonimi non dispongono di alcun accesso, anche se gli amministratori dei siti tentano specificamente di concedere all'account utente anonimo l'accesso ai propri siti.

Foglio di lavoro

Utilizzare il foglio di lavoro seguente per elencare i gruppi di protezione che verranno utilizzati e i livelli di autorizzazione richiesti dai gruppi a ogni livello della gerarchia di siti.

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

Vedere l'elenco completo dei manuali disponibili visitando la pagina Web Manuali scaricabili per Windows SharePoint Services (informazioni in lingua inglese).