Risoluzione dei problemi comuni relativi alle autorizzazioni specifiche per SharePoint Server
**Si applica a:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016
**Ultima modifica dell'argomento:**2017-09-06
Sintesi: informazioni su come risolvere i problemi che includono autorizzazioni specifiche in SharePoint Server e SharePoint 2013.
Dopo aver implementato un'autorizzazione specifica, in un ambiente SharePoint potrebbero verificarsi problemi relativi alle prestazioni o alla sicurezza. Consultare le informazioni seguenti per risolvere i problemi che potrebbero essere correlati alle autorizzazioni specifiche.
Problemi e procedure di risoluzione consigliate per problemi di prestazioni comuni relativi alle autorizzazioni specifiche
I problemi indicati di seguito possono ridurre l'effetto dei problemi relativi alle prestazioni correlati all'ampio utilizzo di autorizzazioni specifiche. Ognuno dei seguenti problemi riguarda modifiche apportate alla sicurezza dell'ambiente, alla gerarchia degli oggetti o al codice personalizzato che contribuisce ai problemi delle prestazioni correlate alle autorizzazioni specifiche. Ogni problema inizia con il seguente ambiente di esempio in cui una singola pagina Web contiene più raccolte documenti, ognuna con numerosi oggetti figlio con autorizzazione univoca.
.jpg "Illustrates a single Web contains multiple document libraries, each with a great many number of uniquely uniquely-permissioned child objects.")
Problema 1: Rimuovere le autorizzazioni specifiche e usare l'applicazione della sicurezza solo a livello della pagina Web
Per riprogettare l'ambiente in modo che non richieda più le autorizzazioni specifiche, è possibile implementare una procedura di pulizia dell'ambiente; sarà quindi possibile regolare il numero di elementi con ambito per migliorare la scalabilità dell'ambiente più a lungo termine. I seguenti elementi consigliati descrivono le procedure di pulizia e le modifiche apportate alla sicurezza dell'architettura necessarie per ottenere questa soluzione.
Pulizia per la sicurezza dell'ambiente
Quando un utente viene rimosso dall'ambito a livello di pagina Web, il modello a oggetti interno deve rimuovere l'utente da tutti gli ambiti al di sotto di tale livello. La rimozione di singoli utenti per pulire le autorizzazioni esistenti è un processo lungo. Prima di tutto, rimuovere ogni ambito a livello di elemento univoco in modo che l'elemento sia impostato per ereditare le autorizzazioni dal relativo oggetto padre. Questo richiederà meno tempo rispetto a tentare di rimuovere prima gli utenti, perché si tratta di un'operazione relativa a un solo ambito unico per l'elemento.
Importante
Se l'attuale pagina Web non è alla base della raccolta siti e se viene quindi impostata in modo da ereditare le autorizzazioni dal relativo sito Web padre, tutti gli ambiti univoci a livello inferiore verranno rimossi e tutte le appartenenze con accesso limitato verranno sovrascritte contemporaneamente in un singolo round trip di SQL Server.
.jpg "Ilustrates permission cleanup by removing a user from the Web-level scope. When this is performed, the internal OM must remove the user from every scope below the Web level.")
Tutti gli ambiti a livello di elemento vengono rimossi, le singole appartenenze con ambito a livello di sito Web vengono possono essere sostituite con una o più appartenenze ai gruppi per consentire l'accesso.
.jpg "Illustrates individual scope memberships being replaced at the Web-level scope with one or more group memberships to allow access after all item-level scopes have been removed.")
Riprogettazione dell'architettura per la sicurezza dell'ambiente
Dopo la rimozione degli ambiti e delle autorizzazioni specifiche esistenti, l'obiettivo dell'architettura a lungo termine dovrebbe consistere nel mantenere solo un unico ambito a livello del sito Web. Nel diagramma seguente viene mostrato come dovrebbe essere la sua struttura in modo che rimanga solo l'ambito a livello del sito Web. Il requisito principale dell'architettura non è avere troppi elementi allo stesso livello di gerarchia nelle raccolte documenti, perché è necessario più tempo per elaborare gli elementi nelle visualizzazioni.
Risoluzione:
Il numero massimo di elementi o cartelle a qualsiasi livello nella gerarchia dovrebbe essere di circa 2.000 elementi.
.jpg "Illustrates the architecture how a Web-level scope should be structured.")
Se sono necessarie ulteriori modifiche all'architettura, valutare la possibilità di spostare le raccolte documenti in diversi siti Web o raccolte siti. Il numero di raccolte documenti può essere modificato per supportare meglio le esigenze aziendali e le procedure consigliate di scalabilità che si basano sulla tassonomia o sul gruppo di destinatari dei contenuti archiviati.
Problema 2: Usare le autorizzazioni specifiche per modifiche alla struttura gerarchica
Per riprogettare l'ambiente in modo che continui a utilizzare le autorizzazioni specifiche, ma senza la necessità di troppi aggiornamenti o del ridimensionamento dell'ambito di un singolo sito Web, valutare la possibilità di spostare in modo diverso le raccolte documenti protette in diversi siti Web.
Riprogettazione della gerarchia dell'ambiente
Nel diagramma seguente, l'architetura fisica è stata modificata in modo che ogni raccolta documenti si trovi in un sito Web con autorizzazione univoca. Inoltre, quando è necessario mantenere le autorizzazioni specifiche a livello di elemento, è consigliabile che il numero cumulativo di entità di sicurezza autorizzate all'accesso sia limitato a circa 2.000, sebbene questo non sia un limite fisso. Di conseguenza, l'appartenenza effettiva di ogni sito Web che include tutti gli utenti membri con accesso limitato non dovrebbe superare i 2.000 utenti. In questo modo, ogni ambito a livello di sito Web non diventerà eccessivamente grande.
.jpg "Illustrates a document library that is in a uniquely- permissioned Web. The membership of each Web should not exceed 2,000 users.")
Il numero degli oggetti figlio con ambito univoco non è un problema significativo, e può essere ridimensionato notevolmente. Tuttavia, il numero di principi che verranno aggiunti come accesso limitato per la catena di ambiti al sito Web con autorizzazione esclusiva in modo univoco sarà un fattore di limitazione.
Infine, sebbene non si tratti di un vero e proprio problema relativo alle autorizzazioni specifiche, la struttura della cartella dovrebbe garantire che nessun livello gerarchico singolo della raccolta documenti superi mai i 2.000 elementi. Questo limite consente di garantire prestazioni ottimali di visualizzazione richieste dagli utenti.
Problema 3: Usare le autorizzazioni specifiche per modifiche alla struttura dell'ambito
Per riprogettare l'ambiente in modo che continui a utilizzare le autorizzazioni specifiche, ma senza la necessità di troppi aggiornamenti o del ridimensionamento dell'ambito di un singolo sito Web, valutare la possibilità di usare una procedura diversa di protezione degli elementi. Questa opzione è disponibile soprattutto se la causa del numero elevato di ambiti univoci è stat una procedura automatica come un gestore eventi o un flusso di lavoro che ha modificato le autorizzazioni dell'oggetto in modo dinamico. In questo caso è consigliabile cambiare un codice di qualsiasi processo che ha creato ambiti di sicurezza univoci.
Riprogettazione del codice di modifica della sicurezza dinamica
Nel diagramma seguente, l'architettura dell'ambito è stata modificata in modo che l'appartenenza all'ambito non causi il ricalcolo ACL nel sito Web e nella raccolta documenti padre. Come accennato in precedenza, l'appartenenza effettiva del sito Web che include tutti i membri con accesso limitato, non dovrebbe superare i 2.000 elementi circa per mantenere l'ambito a livello del sito Web di dimensioni non eccessive. In questo caso, implementando un nuovo gruppo di SharePoint che contenga tutti i membri che devono disporre di diritti di accesso limitato, l'ambito non avrà una crescita eccessiva. Quando gli utenti vengono aggiunti ai singoli ambiti al di sotto del livello del sito Web mediante il metodo SharePoint ServerSPRoleAssignmentCollection.AddToCurrentScopeOnly, possono anche essere aggiunti, con un codice aggiuntivo, al nuovo gruppo con diritti di accesso limitato a livello della raccolta documenti e del sito Web.
.jpg "IIustrates scope membership which does not cause ACL recalculation at the parent document library and Web.")
Risoluzione:
Quando è necessario mantenere le autorizzazioni specifiche a livello di elemento, il numero cumulativo di entità di sicurezza autorizzate all'accesso dovrebbe essere limitato a circa 2.000, sebbene questo non sia un limite fisso. Quando il numero di entità di sicurezza aumenta, il ricalcolo dell'ACL binario richiede più tempo. Se l'appartenenza di un ambito viene modificata, è necessario ricalcolare l'ACL binario. L'aggiunta di utenti a un ambito univoco dell'elemento figlio farà in modo che gli ambiti padre vengano aggiornati con i nuovi membri con accesso limitato, anche se questo non comporterà modifiche all'appartenenza all'ambito padre. In questo caso, è necessario ricalcolare anche l'ACL binario per gli ambiti padre.
Come indicato nella soluzione precedente, il numero degli oggetti figlio con ambito univoco non è un problema significativo, e può essere ridimensionato notevolmente. Il numero di principi che verranno aggiunti come accesso limitato per la catena di ambiti al sito Web con autorizzazione esclusiva in modo univoco sarà un fattore di limitazione.
See also
Riferimento per le autorizzazioni specifiche di SharePoint Server 2013
Procedure consigliate per l'uso di autorizzazioni specifiche in SharePoint Server 2013