Scegliere i gruppi di sicurezza (SharePoint Foundation 2010)

  • Articolo

 

Si applica a: SharePoint Foundation 2010

Ultima modifica dell'argomento: 2016-11-30

In questo articolo vengono illustrati i gruppi di sicurezza e di distribuzione previsti in Servizi di dominio Active Directory®. Vengono inoltre forniti suggerimenti sull'utilizzo di tali gruppi per organizzare gli utenti dei siti di SharePoint.

Contenuto dell'articolo:

  • Decidere se aggiungere gruppi di sicurezza

  • Determinare i gruppi di sicurezza da utilizzare per concedere l'accesso ai siti

  • Decidere se concedere l'accesso a tutti gli utenti autenticati

  • Decidere se concedere l'accesso per gli utenti anonimi

Introduzione

Per semplificare la gestione degli utenti dei siti di SharePoint, è consigliabile assegnare i livelli di autorizzazione ai gruppi anziché ai singoli utenti. Un gruppo di SharePoint è un insieme di singoli utenti e può anche includere gruppi di Active Directory. In Servizi di dominio Active Directory vengono utilizzati in genere i gruppi seguenti per organizzare gli utenti:

  • Gruppo di distribuzione   Gruppo utilizzato solo per la distribuzione di posta elettronica e senza sicurezza abilitata. I gruppi di distribuzione non possono essere elencati negli elenchi di controllo di accesso discrezionale (DACL, Discretionary Access Control List) utilizzati per definire le autorizzazioni per risorse e oggetti.

  • Gruppo di sicurezza   Gruppo che può essere elencato negli elenchi di controllo di accesso discrezionale. Un gruppo di sicurezza può essere inoltre utilizzato come entità di posta elettronica.

È possibile utilizzare i gruppi di sicurezza per definire le autorizzazioni per il sito aggiungendo gruppi di sicurezza ai gruppi di SharePoint e concedendo le autorizzazioni ai gruppi di SharePoint. Non è possibile aggiungere gruppi di distribuzione ai gruppi di SharePoint, ma è possibile espandere un gruppo di distribuzione e aggiungere i singoli membri a un gruppo di SharePoint. Se si utilizza questo metodo, è necessario mantenere manualmente il gruppo di SharePoint sincronizzato con il gruppo di distribuzione. Se si utilizzano gruppi di sicurezza, non è necessario gestire i singoli utenti nell'applicazione SharePoint. Poiché viene incluso il gruppo di sicurezza anziché i singoli membri del gruppo, gli utenti vengono gestiti automaticamente da Servizi di dominio Active Directory.

Nota

Per gestire più agevolmente la sicurezza, nella gestione dei gruppi di Active Directory non è consigliabile eseguire le operazioni seguenti:

  • Assegnare livelli di autorizzazione direttamente a gruppi di Active Directory.

  • Aggiungere gruppi di sicurezza contenenti contatti, liste di distribuzione o gruppi di sicurezza annidati.

Decidere se aggiungere gruppi di sicurezza

Aggiungendo gruppi di sicurezza ai gruppi di SharePoint, è possibile gestire in modo centralizzato i gruppi e la sicurezza. Il gruppo di sicurezza è l'unica posizione in cui è possibile gestire i singoli utenti. Dopo aver aggiunto il gruppo di sicurezza a un gruppo di SharePoint, non è necessario gestire i membri del gruppo di sicurezza in tale gruppo di SharePoint. Se un utente viene rimosso dal gruppo di sicurezza, verrà rimosso automaticamente dal gruppo di SharePoint.

L'utilizzo di gruppi di sicurezza nei siti di SharePoint tuttavia non garantisce la visibilità completa sulle operazioni in corso. Ad esempio, quando un gruppo di sicurezza viene aggiunto a un gruppo di SharePoint per un determinato sito, quest'ultimo non verrà visualizzato nei siti personali degli utenti. Nell'Elenco informazioni utente non saranno visibili i singoli utenti finché non avranno collaborato al sito. I gruppi di sicurezza con una struttura con diversi livelli di annidamento possono inoltre compromettere l'integrità dei siti di SharePoint.

Sulla base dei vantaggi e degli svantaggi sopra indicati, attenersi ai suggerimenti seguenti:

  • Per i siti Intranet largamente accessibili agli utenti, utilizzare gruppi di sicurezza perché non ha importanza sapere quali utenti singoli abbiano avuto accesso alla home page del sito.

  • Per i siti di collaborazione a cui accede un gruppo limitato di utenti, aggiungere gli utenti direttamente ai gruppi di SharePoint. In questo caso è importante sapere chi è membro perché i membri del gruppo conoscono i rispettivi indirizzi di posta elettronica e le modalità con cui contattarsi reciprocamente.

Determinare i gruppi di sicurezza da utilizzare per concedere l'accesso ai siti

Ogni organizzazione configura i propri gruppi di sicurezza in modo diverso. Per semplificare la gestione delle autorizzazioni, è consigliabile che i gruppi di sicurezza abbiano le caratteristiche seguenti:

  • Devono essere sufficientemente grandi e stabili da non comportare l'aggiunta continua di ulteriori gruppi di sicurezza ai siti di SharePoint.

  • Devono essere sufficientemente piccoli da consentire l'assegnazione di autorizzazioni appropriate.

È improbabile ad esempio che un gruppo di sicurezza denominato "tutti gli utenti dell'edificio 2" sia sufficientemente piccolo per l'assegnazione di autorizzazioni, a meno che tutti gli utenti dell'edificio 2 non svolgano lo stesso ruolo professionale, ad esempio addetti alla contabilità clienti. Poiché si tratta di un evento raro, è consigliabile individuare un insieme di utenti meno esteso e più specifico, ad esempio "contabilità clienti".

Decidere se concedere l'accesso a tutti gli utenti autenticati

Se si desidera consentire a tutti gli utenti del dominio di visualizzare il contenuto del sito, è possibile valutare la possibilità di concedere l'accesso a tutti gli utenti autenticati, ovvero al gruppo di sicurezza Domain Users di Windows. Questo gruppo speciale consente a tutti i membri del dominio di accedere a un sito Web, con il livello di autorizzazione stabilito, senza dover abilitare l'accesso anonimo.

Decidere se concedere l'accesso per gli utenti anonimi

È possibile abilitare l'accesso anonimo per consentire agli utenti di visualizzare le pagine in modo anonimo. La maggior parte dei siti Web Internet consente la visualizzazione anonima di un sito, ma è possibile che venga richiesta l'autenticazione se un utente desidera modificare il sito o acquistare un articolo in un sito per gli acquisti online. L'accesso anonimo è disabilitato per impostazione predefinita e deve essere concesso a livello dell'applicazione Web al momento della creazione di tale applicazione.

Se per l'applicazione Web è consentito l'accesso anonimo, gli amministratori dei siti possono decidere se concedere l'accesso anonimo a un sito o a qualsiasi contenuto di tale sito.

L'accesso anonimo dipende dall'account utente anonimo nel server Web. Questo account viene creato e gestito da Microsoft Internet Information Services (IIS) e non dal sito di SharePoint. Per impostazione predefinita, in IIS l'account utente anonimo è IUSR. Quando si abilita l'accesso anonimo, si concede in effetti a tale account l'accesso al sito di SharePoint. Consentendo l'accesso a un sito o a elenchi e raccolte, si concede l'autorizzazione Visualizzazione elementi all'account utente anonimo. Nonostante l'autorizzazione Visualizzazione elementi, esistono tuttavia restrizioni per le operazioni consentite agli utenti anonimi, i quali nello specifico non possono:

  • Aprire siti per la modifica in Microsoft Office SharePoint Designer.

  • Visualizzare siti in Risorse di rete.

  • Caricare o modificare documenti nelle raccolte documenti, incluse le raccolte wiki.

    Importante

    Per garantire un livello di sicurezza più elevato per siti, elenchi o raccolte, non è consigliabile abilitare l'accesso anonimo. L'abilitazione dell'accesso anonimo consente agli utenti di collaborare a elenchi, discussioni e sondaggi, con il potenziale rischio di esaurire lo spazio su disco del server e altre risorse. L'accesso anonimo consente inoltre agli utenti anonimi di individuare informazioni del sito, inclusi gli indirizzi di posta elettronica degli utenti e il contenuto inserito negli elenchi, nelle raccolte e nelle discussioni.

I criteri di autorizzazione offrono un modo centralizzato per configurare e gestire un set di autorizzazioni che si applica solo a un sottoinsieme di utenti o gruppi in un'applicazione Web. È possibile gestire i criteri di autorizzazione per gli utenti anonimi abilitando o disabilitando l'accesso anonimo per un'applicazione Web. Se si abilita l'accesso anonimo per un'applicazione Web, gli amministratori di siti possono quindi concedere o negare l'accesso anonimo a livello di raccolta siti, di sito o di elemento. Se si disabilita l'accesso anonimo per un'applicazione Web, gli utenti anonimi non possono accedere ad alcun sito all'interno dell'applicazione Web.

  • Nessuno   Nessun criterio. Questa è l'opzione predefinita. Agli utenti anonimi dei siti non vengono applicate ulteriori restrizioni o aggiunte per le autorizzazioni.

  • Nega scrittura   Gli utenti anonimi non possono scrivere contenuto, anche se l'amministratore del sito tenta specificamente di concedere tale autorizzazione all'account utente anonimo.

  • Nega tutto   Gli utenti anonimi non dispongono di alcun accesso, anche se gli amministratori dei siti tentano specificamente di concedere all'account utente anonimo l'accesso ai propri siti.

Per ulteriori informazioni sui criteri di autorizzazione, vedere Manage permission policies for a Web application (SharePoint Foundation 2010).