• Artykuł

SharePoint

Planowanie zabezpieczeń witryn i zawartości (SharePoint Server 2010) Udostępnij na: Facebook

Opublikowano: 30 czerwca 2010

Prawdopodobnie niektóre witryny w przedsiębiorstwie zawierają treści, które nie powinny być dostępne dla wszystkich użytkowników. Przykładowo zastrzeżone informacje techniczne powinny być dostępne tylko w określonych przypadkach. Portal intranetowy dotyczący świadczeń pracowniczych powinien być dostępny tylko dla pracowników zatrudnionych w pełnym wymiarze godzin, a strona główna witryny sieci Web — dla klientów anonimowych.

Uprawnienia zapewniają kontrolę dostępu do witryn i ich zawartości. Uprawnieniami można zarządzać za pomocą grup programu Microsoft SharePoint Server 2010, określając: które uprawnienia sterują członkostwem i uprawnieniami szczegółowymi, a które zabezpieczają zawartości na poziomie elementu i dokumentu. W tej sekcji opisano uprawnienia dotyczące witryn i zawartości witryny oraz przedstawiono rozważania dotyczące wybór uprawnień.

*

Zawartość strony
Planowanie uprawnień w kontekście witryny  Planowanie uprawnień w kontekście witryny
Określanie poziomów uprawnień i grup (SharePoint Server 2010)  Określanie poziomów uprawnień i grup (SharePoint Server 2010)
Wybieranie grup zabezpieczeń  Wybieranie grup zabezpieczeń
Wybieranie administratorów i właścicieli hierarchii administracji  Wybieranie administratorów i właścicieli hierarchii administracji

Planowanie uprawnień w kontekście witryny

Ta część stanowi pomoc w planowaniu kontroli dostępu na poziomie zbioru witryn, witryny i podwitryny. Ponadto opisano w nim dziedziczenie uprawnień oraz uprawnienia szczegółowe, jak również przedstawiono sposoby określania czynnych uprawnień dla użytkowników i grup w różnych zakresach w hierarchii zbiorów witryn.

Wprowadzenie

Sterowanie dostępem do witryn i zawartości odbywa się za pomocą nadawania zestawu uprawnień użytkownikom i grupom, zapewniających dostęp do określonej witryny, listy lub biblioteki, folderu, dokumentu lub elementu. Podczas opracowywania planu dostępu do witryny i zawartości należy rozważyć następujące kwestie:

  • Jak dokładnie chcesz kontrolować uprawnienia do witryny lub zawartości witryny. Na przykład można kontrolować dostęp na poziomie witryny lub koniecznym może być bardziej restrykcyjne ustawienie zabezpieczeń określonej listy, folderu lub elementu.
  • Jak używać grup do kategoryzowania użytkowników i zarządzania nimi. Grupy nie mają żadnych uprawnień, dopóki nie zostanie im przypisany poziom uprawnień dla określonej witryny lub zawartości określonej witryny. Po przypisaniu poziomów uprawnień do grup programu SharePoint na poziomie zbioru witryn domyślnie wszystkie witryny i zawartości witryn dziedziczą te poziomy uprawnień. Aby uzyskać więcej informacji na temat używania grup w celu prostszego zarządzania uprawnieniami, zobacz sekcję Wybieranie grup zabezpieczeń (SharePoint Server 2010)(j.ang.).

W tym artykule opisano uprawnienia witryny i przedstawiono informacje pomocne w określeniu, które witryny lub zawartości witryny będą wymagać uprawnień unikatowych. Ten artykuł nie dotyczy planowania zabezpieczeń całego serwera ani farmy serwerów.

Informacje na temat uprawnień witryny

Przed skonfigurowaniem dostępu do witryn i ich zawartości należy się zapoznać się z następującymi pojęciami:

  • Poszczególne uprawnienia użytkowników - Poszczególne uprawnienia zapewniają użytkownikowi możliwość wykonywania określonych czynności. Na przykład uprawnienie Wyświetlanie elementów umożliwia użytkownikowi wyświetlanie elementów na liście lub w folderze, ale nie pozwala na dodawanie ani usuwanie elementów. Aby uzyskać więcej informacji na temat dostępnych uprawnień, zobacz sekcję Uprawnienia użytkowników i poziomy uprawnień (SharePoint Foundation 2010) (j. ang.).
  • Poziom uprawnień - Ten wstępnie zdefiniowany zestaw uprawnień pozwala użytkownikom na wykonywanie zestawu powiązanych zadań. Przykładowo poziom uprawnień Odczyt zawiera uprawnienia Wyświetlanie elementów, Otwieranie elementów, Wyświetlanie stron i Wyświetlanie wersji (i inne). Wszystkie te uprawnienia są potrzebne do odczytywania dokumentów, elementów i stron z witryny programu SharePoint. Poszczególne uprawnienia mogą zostać uwzględnione w wielu poziomach uprawnień. Dowolni użytkownicy lub dowolne grupy, których poziom uprawnień obejmuje uprawnienie Zarządzanie uprawnieniami, mogą dostosowywać poziomy uprawnień. Domyślne poziomy uprawnień obejmują uprawnienia: Ograniczony dostęp, Odczyt, Współtworzenie, Projektowanie i Pełna kontrola. Aby uzyskać więcej informacji na temat domyślnych poziomów uprawnień i informacje na temat uprawnień zawartych w nich, zobacz sekcję Uprawnienia użytkowników i poziomy uprawnień (SharePoint Foundation 2010) (j. ang.).
  • Grupa - Grupą może być grupa zabezpieczeń systemu Windows lub grupa programu SharePoint, taka jak Właściciele witryn, Członkowie witryny lub Odwiedzający witrynę. Tworzenie i zarządzenie grupami odbywa się na poziomie zbioru witryn. Do każdej grupy programu SharePoint jest przypisany domyślny poziom uprawnień, ale w przypadku dowolnej grupy można dostosować poziom uprawnień. Każdy użytkownik przypisany do poziomu uprawnień obejmującego uprawnienie Tworzenie grupy, zawarte domyślnie w poziomie uprawnień Pełna kontrola, może tworzyć niestandardowe grupy programu SharePoint. Aby uzyskać więcej informacji na temat dostosowywania poziomów uprawnień, zobacz sekcję Konfigurowanie uprawnień niestandardowych (SharePoint Server 2010) (j. ang.).
  • Użytkownik - Użytkownik to posiadacz konta użytkownika, który może być uwierzytelniony w taki sam sposób jak przebiega uwierzytelnianie serwera. Zaleca się przypisywanie uprawnień do grup, a nie do użytkowników, można jednak bezpośrednio nadać poszczególnym użytkownikom uprawnienia do witryny lub określonej zawartości bądź bezpośrednio przypisać poziom uprawnień do użytkownika. Jednak zarządzanie kontami użytkowników indywidualnych jest nieefektywne, dlatego też uprawnienia dla poszczególnych użytkowników należy przypisywać tylko w drodze wyjątku. Aby uzyskać więcej informacji na temat typów kont użytkownika, zobacz sekcję Uprawnienia użytkowników i poziomy uprawnień (SharePoint Foundation 2010) (j. ang.).
  • Zabezpieczany obiekt - Zabezpieczany obiekt to witryna, lista, biblioteka, folder, dokument lub element, w obrębie których poziomy uprawnień można przypisać dla użytkowników lub grup. Domyślnie wszystkie listy i biblioteki w obrębie witryny dziedziczą uprawnienia z tej witryny. Można używać uprawnień na poziomie listy, folderu i elementu, aby zapewnić większą kontrolę nad tym, którzy użytkownicy mogą wyświetlać zawartość witryny lub wchodzić z nią w interakcję. Na przykład jeśli poziom uprawnień określonego obiektu zabezpieczanego obejmuje uprawnienie Zarządzanie uprawnieniami, każdy użytkownik dysponujący tym poziomem uprawnień może zmienić uprawnienia tego obiektu zabezpieczanego. W dowolnym momencie można wznowić dziedziczenie uprawnień z poziomu listy nadrzędnej, witryny jako całości lub witryny nadrzędnej.

Informacje na temat przypisywania uprawnień

Użytkownikowi lub grupie można przypisać poziom uprawnień dla określonego obiektu zabezpieczanego. Poszczególni użytkownicy lub poszczególne grupy mogą dysponować różnymi poziomami uprawnień w przypadku różnych zabezpieczanych obiektów. Na poniższym diagramie przedstawiono, w jaki sposób odbywa się przypisywanie użytkowników i grup do poziomów uprawnień określonego zabezpieczanego obiektu.

VirtualBox

Informacje na temat dziedziczenia uprawnień

Uprawnienia do zabezpieczanych obiektów w witrynie są domyślnie dziedziczone z witryny. Można użyć uprawnień szczegółowych — uprawnień unikatowych na poziomie listy, biblioteki, folderu lub elementu — w celu uzyskania większej kontroli nad działaniami, które użytkownicy mogą podjąć w Twojej witrynie. Jednak używanie zbyt wielu uprawnień szczegółowych może komplikować zarządzanie uprawnieniami.

Dziedziczenie uprawnień i uprawnienia szczegółowe

Tworząc szczegółowe uprawnienia dla dowolnego zabezpieczanego obiektu znajdującego się na niższym poziomie w hierarchii witryny, można przerwać dziedziczenie uprawnień dla tego obiektu zabezpieczanego. Na przykład można edytować uprawnienia biblioteki dokumentów, co powoduje przerwanie dziedziczenia z witryny. Jednak dziedziczenie zostaje przerwane tylko dla określonego obiektu zabezpieczanego, dla którego użytkownik zmienił uprawnienia; pozostałe uprawnienia witryny nie ulegają zmianie. W dowolnym momencie można wznowić dziedziczenie uprawnień z nadrzędnej listy lub witryny.

Porada:

W przypadku używania uprawnień szczegółowych należy używać grup, aby uniknąć konieczności śledzenia poszczególnych kont użytkowników. Na przykład: ze względu na to, że ludzie przemieszczają się między zespołami i ich obowiązki ulegają częstym zmianom, śledzenie tych zmian i aktualizowanie uprawnień unikatowo zabezpieczonych obiektów będzie czasochłonne i podatne na błędy.

 

Do następujących obiektów zabezpieczanych można przypisać uprawnienia szczegółowe:

  • Witryna: kontroluje dostęp do całej witryny.
  • Lista lub biblioteka: kontroluje dostęp do określonej listy lub biblioteki.
  • Folder: kontroluje dostęp do właściwości folderu (takich jak np. nazwa folderu).
  • Element lub dokument: kontroluje dostęp do określonego elementu listy lub dokumentu.

Dziedziczenie uprawnień i podwitryny

Dziedziczenie uprawnień to zachowanie domyślne i jest najłatwiejszym sposobem zarządzania grupą witryn sieci Web. Jeśli jednak podwitryna dziedziczy uprawnienia ze swojej witryny nadrzędnej, to ten zestaw uprawnień witryny podrzędnej jest identyczny z zestawem uprawnień witryny nadrzędnej. Jeżeli właściciel podwitryny wyedytuje swoje uprawnienia, to uprawnienia witryny również ulegną zmianie. Może to spowodować naruszenie bezpieczeństwa lub uniemożliwić użytkownikom dostęp do zawartości.

Aby zmienić tylko uprawnienia podwitryny, użytkownik musi najpierw zatrzymać dziedziczenie uprawnień z witryny, a następnie utworzyć uprawnienia szczegółowe w podwitrynie. Na przykład jeśli określone listy, biblioteki, foldery, elementy lub dokumenty zawierają dane poufne, które wymagają zwiększonego poziomu ochrony, można utworzyć uprawnienia szczegółowe dla określonej grupy lub poszczególnych użytkowników, którzy wymagają dostępu.

Tworzenie uprawnień unikatowych powoduje kopiowanie grup, użytkowników i poziomów uprawnień z witryny nadrzędnej do podwitryny, a następnie przerywa dziedziczenie. W przypadku przywrócenia uprawnień odziedziczonych podwitryna będzie dziedziczyć ich użytkowników, grupy i poziomy uprawnień z witryny nadrzędnej; utraceni zostaną wszyscy użytkownicy, wszystkie grupy lub poziomy uprawnień, które były niepowtarzalne w kontekście podwitryny.

Uwaga:

Zaleca się takie ustawienie witryn i podwitryn, aby możliwe było współdzielenie większości ich uprawnień; takie same zasady należy wprowadzić w przypadku list i bibliotek. Wszystkie poufne dane należy umieścić w osobnych listach, bibliotekach lub podwitrynach.

 

Informacje na temat czynnych uprawnień

Konfigurowanie ustawień zabezpieczeń lub wykonywanie operacji zbiorczych wymaga dokładnych informacji na temat uprawnień użytkownika i grup w zasobach witryny. Na przykład wiele witryn programu SharePoint zapewnia wszystkim uwierzytelnionym użytkownikom (grupa domeny NT AUTHORITY\AUTHENTICATED USERS) dostęp do przynajmniej część zawartości witryny. Aby stosować większe ograniczenia dostępu, należy dokładnie określić uprawnienia przyznane uwierzytelnionym użytkownikom i w kontekście jakich zawartości witryn zostały one przyznane.

Śledzenie uprawnień dziedziczonych i obszarów, gdzie dziedziczenie zostało przerwane komplikuje proces określania prawidłowych uprawnień. W programie SharePoint Server 2010 czynne uprawnienia użytkownika są wykorzystywane w celu określenia uprawnień użytkownika lub grupy do wszystkich zasobów w ramach zbioru witryn. Teraz można znaleźć bezpośrednio przypisane uprawnienia użytkownika, jak i uprawnienia przypisane do dowolnych grup, których członkiem jest użytkownik.

Ważne:

Czynne uprawnienia ułatwiają wyszukiwanie uprawnień w zbiorze witryn. Jednak nie powinny one nigdy być używane jako zamiennik dokładnie zaplanowanej struktury uprawnień.

 

Wybieranie poziomów uprawnień

Podczas tworzenia uprawnień należy określić balans między łatwością administrowania i wydajnością a koniecznością kontrolowania dostępu do pojedynczych elementów. W przypadku korzystania z uprawnień szczegółowych w szerokim zakresie zarządzanie uprawnieniami będzie bardziej czasochłonne, a użytkownicy mogą zauważyć mniejszą wydajność podczas prób uzyskiwania dostępu do zawartości witryny.

Aby skonfigurować uprawnienia witryny, należy skorzystać z następujących wytycznych:

  • Należy postępować zgodnie z zasadą najniższych uprawnień: Użytkownicy powinni dysponować tylko poziomami uprawnień lub poszczególnymi uprawnieniami potrzebnymi do wykonywania przydzielonych zadań.
  • Należy używać standardowych grup (takich jak Członkowie, Odwiedzający i Właściciele) i kontroli uprawnień na poziomie witryny.
  • Większość użytkowników należy przydzielać do grup Członkowie lub Odwiedzający. Domyślnie użytkownicy należący do grupy Członkowie mogą współtworzyć witrynę poprzez dodawanie lub usuwanie elementów lub dokumentów, ale nie mogą zmieniać struktury, ustawień ani wyglądu witryny. Grupa Odwiedzający ma dostęp tylko do odczytu do witryny, co oznacza, że Odwiedzający mogą wyświetlać strony i elementy oraz otwierać dokumenty i elementy, ale nie mogą dodać ani usuwać stron, elementów ani dokumentów.
  • Należy ograniczyć liczbę osób w grupie Właściciele. W grupie Właściciele powinni znajdować się tylko użytkownicy, którym można powierzyć zmiany struktury, ustawień lub wyglądu witryny.

Jeśli wymagana jest większa kontrola nad działaniami, które mogą podejmować użytkownicy, można utworzyć dodatkowe grupy programu SharePoint i poziomy uprawnień. Na przykład aby w poziomie uprawnień Odczyt określonej podwitryny nie uwzględniać uprawnienia Tworzenie alertów, należy przerwać dziedziczenie i dostosować poziom uprawnień Odczyt dla tej podwitryny.

Planowanie dziedziczenia uprawnień

Zarządzanie uprawnieniami jest znacznie prostsze, gdy istnieje przejrzysta hierarchia uprawnień i uprawnień dziedziczonych. Zarządzanie staje się trudniejsze, gdy w niektórych listach w obrębie witryny zastosowano uprawnienia szczegółowe i gdy niektóre witryny mają podwitryny z uprawnieniami unikatowymi a inne dysponują uprawnieniami dziedziczonymi.

Przykładowo znacznie łatwiej jest zarządzać witryną zawierającą dziedziczenie uprawnień, tak jak opisano to w poniższej tabeli.

Zabezpieczany obiekt Opis Uprawnienia unikatowe lub dziedziczone
WitrynaA Strona główna grupy Unikatowe
WitrynaA/PodwitrynaA Grupa poufnych Unikatowe
WitrynaA/PodwitrynaA/ListaA Dane poufne Unikatowe
WitrynaA/PodwitrynaA/BibliotekaA Dokumenty poufne Unikatowe
WitrynaA/PodwitrynaB Informacje o projekcie udostępniane w grupie Dziedziczone
WitrynaA/PodwitrynaB/ListaB Dane inne niż poufne Dziedziczone
WitrynaA/PodwitrynaB/BibliotekaB Dokumenty inne niż poufne Dziedziczone

Jednak zarządzanie witryną zawierającą dziedziczenie uprawnień nie jest proste, jak pokazano to w poniższej tabeli.

Zabezpieczany obiekt Opis Uprawnienia unikatowe lub dziedziczone
WitrynaA Strona główna grupy Unikatowe
WitrynaA/PodwitrynaA Grupa poufnych Unikatowe
WitrynaA/PodwitrynaA/ListaA Dane inne niż poufne Unikatowe, ale uprawnienia takie same jak w WitrynieA
WitrynaA/PodwitrynaA/BibliotekaA Dokumenty inne niż poufne, ale jeden lub dwa z nich są poufne Dziedziczone z uprawnieniami unikatowymi na poziomie dokumentu
WitrynaA/PodwitrynaB Informacje o projekcie udostępniane w grupie Dziedziczone
WitrynaA/PodwitrynaB/ListaB Dane inne niż poufne, ale jeden lub dwa elementy są poufne Dziedziczone z uprawnieniami unikatowymi na poziomie elementu
WitrynaA/PodwitrynaB/BibliotekaB Dokumenty inne niż poufne, ale dostępny folder specjalny zawierający dokumenty poufne Dziedziczone z uprawnieniami unikatowymi na poziomie folderu i dokumentu

 Do początku strony Do początku strony

Określanie poziomów uprawnień i grup (SharePoint Server 2010)

W tej części opisano domyślne grupy i poziomy uprawnień. Przedstawione tu informacje stanowią pomoc w przypadku określania, czy danych grup i poziomów należy używać w niezmienionej postaci, dostosować je czy tworzyć inne grupy i poziomy uprawnień.

Najważniejsza decyzja dotyczącą witryny i zabezpieczenia zawartości w programie Microsoft SharePoint Server 2010 dotyczy sposobu kategoryzowania użytkowników i poziomów uprawnień, które należy im przypisać.

Przegląd dostępnych grup domyślnych

Grupy w programie SharePoint umożliwiają zarządzanie zestawami użytkowników, a nie poszczególnymi użytkownikami. Te grupy mogą obejmować wielu pojedynczych użytkowników lub zawartości każdego systemu firmowej tożsamości, w tym usług domenowych w usłudze Active Directory (AD DS), katalogów opartych na LDAPv3, baz danych określonych aplikacji i nowych modeli tożsamości zorientowanych na użytkownika, takich jak LiveID. Grupy programu SharePoint nie przyznają określonych praw do witryny, umożliwiają one określenie zestawu użytkowników. Użytkowników można przydzielić do dowolnej liczby grup w zależności od wielkości i złożoności organizacji lub witryny sieci Web. Grup programu SharePoint nie można zagnieżdżać.

W poniższej tabeli przedstawiono domyślne grupy utworzone dla witryn zespołu w programie SharePoint Server 2010.

Nazwa grupy Domyślny poziom uprawnień
Osoby oglądające Tylko widok
Odwiedzający Odczyt
Członkowie Współtworzenie
Projektanci Projektowanie
Właściciele Pełna kontrola

Jeśli jest używany szablon witryny inny niż szablon witryny zespołu, wyświetlane są różne listy domyślnych grup programu SharePoint. Na przykład w poniższej tabeli przedstawiono dodatkowe grupy dostępne w szablonie witryny publikowanie.

Nazwa grupy Domyślny poziom uprawnień
Czytelnicy z ograniczeniami Odczyt z ograniczeniami w kontekście witryny i Ograniczony dostęp do określonych list
Czytelnicy zasobów związanych ze stylami Odczyt Galerii stron wzorcowych i Odczyt z ograniczeniami do Biblioteki stylów
Użytkownicy funkcji szybkiego rozmieszczania Współtworzenie biblioteki Elementy szybkiego rozmieszczania i Ograniczony dostęp do pozostałych części witryny
Osoby zatwierdzające Zatwierdzanie oraz Ograniczony dostęp
Menedżerowie hierarchii Zarządzaj hierarchią oraz Ograniczony dostęp

Ponadto w przypadku zadań związanych z administrowaniem wyższego poziomu są dostępni następujący specjalni użytkownicy i grupy:

  • Administratorzy zbioru witryn - Co najmniej jednego użytkownika można wyznaczyć jako podstawowego i pomocniczego administratora zbioru witryn. Użytkownicy ci zostają zarejestrowani w bazie danych jako kontakty dla zbioru witryn, mają pełną kontrolę nad wszystkimi witrynami w zbiorze witryn, mogą dokonywać inspekcji całej zawartości witryny i otrzymywać dowolne alerty administracyjne (np. sprawdzenie, czy witryna jest nadal używana). Administratorzy zbioru witryn są wyznaczani podczas tworzenia witryny, ale można ich zmienić w razie potrzeby za pomocą witryny Administracja centralna lub stron Ustawienia witryny dostępnych w kolekcji witryn. Grup i ról AD DS nie można dodawać jako administratorów zbioru witryn.

    Uwaga:
    Administratorzy zbioru witryn mają pełne uprawnienia dostępu do wszystkich witryn w zbiorze witryn. Mogą oni dodawać lub usuwać witryny, jak również zmieniać ustawienia dowolnych witryn w kolekcji. Ponadto mogą oni wyświetlać, dodawać, usuwać lub zmieniać całą zawartość w tych witrynach. Mogą także dodawać i usuwać użytkowników witryn oraz wysyłać zaproszenia do tych witryn. Właściciele zbiorów witryn to jedyni użytkownicy, którzy otrzymują powiadomienia pocztą e-mail dotyczące zdarzeń takich jak oczekiwanie na automatyczne usunięcie witryn nieaktywnych. Domyślnie właściciele zbioru witryn otrzymują również żądania dostępu od użytkowników, którym odmówiono dostępu.

  • Administratorzy farm - Ta grupa kontroluje, którzy użytkownicy mogą zarządzać ustawieniami serwera i farmy serwerów. Domyślnie administratorzy farmy nie mają dostępu do zawartości witryny; aby wyświetlić dowolną zawartość, muszą oni przejmować witryny na własność. Grupa Administratorzy farmy jest używana wyłącznie w zakresie Administracji centralnej i nie jest dostępna w żadnej innej witrynie.

  • Administratorzy - Członkowie grupy Administratorzy na serwerze lokalnym mogą wykonywać wszystkie akcje administratorów farmy oraz inne akcje takie jak:

    • Instalowanie nowych produktów lub aplikacji.
    • Wdrażanie składników Web Part i nowych funkcji w globalnej pamięci podręcznej zestawów.
    • Tworzenie nowych aplikacji sieci Web i witryn sieci Web usług IIS.
    • Uruchamianie usług.

    Podobnie jak w przypadku grupy Administratorzy farmy członkowie grupy Administratorzy na serwerze lokalnym domyślnie nie mają dostępu do zawartości witryny.

Po określeniu wymaganych grup należy określić poziomy uprawnień z przeznaczeniem do przypisania do każdej grupy w witrynie.

Przegląd dostępnych poziomów uprawnień

Możliwości wyświetlania witryny, wprowadzania zmian lub zarządzania nią są określane na poziomie uprawnień, które można przypisać do użytkownika lub grupy. Poziom uprawnień kontroluje wszystkie uprawnienia witryny i wszelkich podwitryn, list, bibliotek dokumentów, folderów i elementów lub dokumentów dziedziczących uprawnienia z witryny. Bez odpowiednich poziomów uprawnień użytkownicy nie będą w stanie wykonać swoich zadań lub mogą wykonywać zadania inne niż zamierzone.

Domyślnie dostępne są następujące poziomy uprawnień:

  • Ograniczony dostęp - Obejmuje uprawnienia, które pozwalają użytkownikom na wyświetlanie określonych list, bibliotek dokumentów, elementów listy, folderów lub dokumentów bez udzielania dostępu do wszystkich elementów witryny. Tego poziomu uprawnień nie można edytować bezpośrednio.

    Ważne:
    Usunięcie tego poziomu uprawnień może uniemożliwić członkom grupy nawigację w witrynie i dostęp do elementów, nawet jeśli mają oni prawidłowe uprawnienia dla elementu w obrębie witryny.

  • Odczyt - Obejmuje uprawnienia, które pozwalają użytkownikom na wyświetlanie elementów na stronach witryny.

  • Współtworzenie - Obejmuje uprawnienia, które pozwalają użytkownikom na dodawanie lub zmienianie elementów na stronach witryny lub w bibliotekach dokumentów i listach.

  • Projektowanie - Obejmuje uprawnienia, które pozwalają użytkownikom na zmienianie układu stron witryny przy użyciu przeglądarki lub programu Microsoft SharePoint Designer 2010.

  • Pełna kontrola - Obejmuje wszystkie uprawnienia.

Domyślnie z szablonem publikowania dostępne są następujące dodatkowe poziomy uprawnień:

  • Tylko widok - Obejmuje uprawnienia, które pozwalają użytkownikom na wyświetlanie stron, elementów listy i dokumentów.
  • Zatwierdzanie - Obejmuje uprawnienia do edycji i zatwierdzania stron, elementów listy i dokumentów.
  • Zarządzaj hierarchią - Obejmuje uprawnienia do witryn i edytowania stron, elementów listy i dokumentów.
  • Odczyt z ograniczeniami - Obejmuje uprawnienia do wyświetlania stron i dokumentów, ale nie historycznych wersji ani informacji o prawach użytkownika.

Określanie, czy są wymagane dodatkowe poziomy uprawnień lub grupy

Domyślne grupy i poziomy uprawnień zapewniają ogólną strukturę uprawnień, obejmującą wiele typów różnych organizacji i ról w ramach tych organizacji. Jednak ta struktura może nie być zgodna z organizacją użytkowników lub różnymi zadaniami wykonywanymi przez użytkowników w witrynach. Jeśli domyślne grupy i poziomy uprawnień nie odpowiadają wymogom danej organizacji, można utworzyć grupy niestandardowe, zmienić uprawnienia zawarte w określonych poziomach uprawnień lub utworzyć niestandardowe poziomy uprawnień.

Czy potrzebne są grupy niestandardowe?

Decyzja dotycząca utworzenia grup niestandardowych jest dość oczywista i ma niewielki wpływ na zabezpieczenia witryny. W przypadku wystąpienia jednej z poniższych sytuacji należy utworzyć grupy niestandardowe zamiast korzystać z grup domyślnych:

  • W organizacji jest dostępnych więcej (lub mniej) ról użytkowników niż w grupach domyślnych. Na przykład jeśli oprócz ról Osoby zatwierdzające, Projektanci i Menedżerowie hierarchii istnieją jeszcze pracownicy, którym powierzono zadania publikowania zawartości w witrynie, można utworzyć nową grupę Wydawcy.
  • W obrębie organizacji funkcjonują powszechnie znane, niepowtarzalne nazwy ról przypisanych do osób odpowiedzialnych za bardzo różne zadania w witrynach. Na przykład w przypadku utworzenia publicznej witryny służącej do sprzedaży produktów tworzonych przez organizację warto utworzyć grupę Klienci, która zastępuje grupy Odwiedzający lub Osoby oglądające.
  • Warto zachować relację jeden do jednego między grupami zabezpieczeń systemu Windows i grupami programu SharePoint. Na przykład jeśli w organizacji funkcjonuje grupa zabezpieczeń o nazwie Menedżerowie witryny sieci Web, można użyć tej nazwy jako nazwy grupy programu SharePoint w celu ułatwienia identyfikacji podczas zarządzania witryną.
  • Preferowane są inne nazwy grup.

Czy potrzebne są niestandardowe poziomy uprawnień?

Decyzja dotycząca dostosowania poziomów uprawnień jest mniej oczywista niż decyzja związana z dostosowaniem grup programu SharePoint. W przypadku dostosowania uprawnień przypisanych do poziomu uprawnień należy przechowywać informacje dotyczące tych zmian, sprawdzać, czy zmiany działają we wszystkich grupach i witrynach, których te zmiany dotyczą, oraz zapewniać, że zmiana nie wpływa niekorzystnie na bezpieczeństwo ani na wydajność serwera.

Na przykład dostosowanie poziomu uprawnień Współtworzenie obejmujące dodanie uprawnienia Tworzenie podwitryn, które to uprawnienie zazwyczaj jest częścią poziomu uprawnień Pełna kontrola, umożliwi członkom grupy Współautorzy tworzenie i posiadanie własnych podwitryn, a także może potencjalnie stanowić zaproszenie dla złośliwych użytkowników do tych podwitryn lub do przesyłania przez nich niezatwierdzonych zawartości. Dostosowanie poziomu uprawnień Odczyt obejmujące dodanie uprawnienia Wyświetlanie danych użycia, które to uprawnienie zazwyczaj stanowi część poziomu uprawnień Pełna kontrola, zapewni wszystkim członkom grupy Odwiedzający możliwość wyświetlania danych użycia, co może być przyczyną poważnych problemów dotyczących wydajności.

W przypadku wystąpienia jednej z poniższych sytuacji należy dostosować domyślne poziomy uprawnień:

  • Domyślny poziom uprawnień obejmuje wszystkie uprawnienia z wyjątkiem jednego, które jest niezbędne użytkownikom do wykonywania ich zadań, i to uprawnienie należy dodać.

  • Domyślny poziom uprawnień obejmuje uprawnienie niepotrzebne użytkownikom.

    Ważne:
    Jeśli w organizacji wystąpiły obawy dotyczące zabezpieczeń lub inne obawy dotyczące określonych uprawnień będących częścią danego poziomu uprawnień, nie należy dostosowywać domyślnego poziomu uprawnień. Aby uniemożliwić dostęp do tego uprawnienia wszystkim użytkownikom przypisanym do poziomu uprawnień lub poziomów, które obejmują takie uprawnienie, należy wyłączyć to uprawnienie we wszystkich aplikacjach sieci Web na farmie serwerów, a nie zmieniać wszystkie poziomy uprawnień.

Jeśli wymagane jest wprowadzenie wielu zmian poziomu uprawnień, należy utworzyć niestandardowy poziom uprawnień zawierający wszystkie potrzebne uprawnienia.

W przypadku wystąpienia jednej z poniższych sytuacji można utworzyć dodatkowe poziomy uprawnień:

  • Należy wykluczyć kilka uprawnień z określonego poziomu uprawnień.
  • Należy określić unikatowy zestaw uprawnień dla nowego poziomu uprawnień.

Aby utworzyć poziom uprawnień, można skopiować istniejący poziom uprawnień, a następnie wprowadzić zmiany, lub można utworzyć poziom uprawnień i następnie wybrać uprawnienia, które zostaną dołączone.

 Do początku strony Do początku strony

Wybieranie grup zabezpieczeń

W tej części opisano grupy zabezpieczeń i dystrybucji, które są uwzględnione w usługach domenowych w usłudze Active Directory (AD DS). W tym artykule zawarto również zalecenia dotyczące korzystania z tych grup w celu organizowania użytkowników witryn programu SharePoint.

Wprowadzenie

Zarządzanie użytkownikami witryn programu SharePoint jest łatwiejsze, jeśli uprawnienia witryny zostaną przypisane do grup zamiast do poszczególnych użytkowników. W usługach AD DS do organizowania użytkowników są zazwyczaj używane następujące grupy:

  • Grupa dystrybucyjna - Niezabezpieczona grupa, która jest używana tylko w przypadku dystrybucji poczty e-mail. Grup dystrybucji nie można wyświetlać na poufnych listach kontroli dostępu (DACL) służących do definiowania uprawnień dotyczących zasobów i obiektów.
  • Grupa zabezpieczeń - Tę grupę można wyświetlać na listach DACL. Grupy zabezpieczeń można również używać jako elementu wiadomości e-mail.

Grup zabezpieczeń można używać do kontroli uprawnień w kontekście witryny, bezpośrednio dodając grupę zabezpieczeń do witryny i przyznając uprawnienia do całej grupy. Nie można bezpośrednio dodawać grup dystrybucyjnych, ale można rozwinąć grupę dystrybucyjną i dodać poszczególnych członków do grupy programu SharePoint. Jeśli ta metoda zostanie użyta, należy ręcznie zachować synchronizację grupy programu SharePoint z grupą dystrybucyjną. Korzystanie z grup zabezpieczeń nie wymaga zarządzania poszczególnymi użytkownikami w programie SharePoint. Ponieważ uwzględniono samą grupę zabezpieczeń, a nie oddzielnych członków tej grupy, więc usługi AD°DS zapewniają zarządzanie użytkownikami.

Zarządzanie grupami zabezpieczeń zawierającymi następujące elementy może być trudniejsze:

  • Zagnieżdżone grupy zabezpieczeń.
  • Kontakty lub listy dystrybucyjne.

Określanie, które konta i grupy zabezpieczeń systemu Windows będą używane do udzielania dostępu do witryn

Grupy zabezpieczeń systemu Windows w organizacjach są skonfigurowane w różny sposób. W celu ułatwienia zarządzania uprawnieniami grupy zabezpieczeń powinny być:

  • Duże i wystarczająco stabilne, aby stałe dodawanie grup do witryn programu SharePoint nie było wymagane.
  • Odpowiednio małe, aby możliwe było przypisywanie odpowiednich uprawnień.

Na przykład grupa zabezpieczeń o nazwie „wszyscy użytkownicy w budynku 2” prawdopodobnie jest zbyt duża, aby przypisać uprawnienia, o ile wszyscy użytkownicy w budynku 2 nie pełnią tej samej funkcji, np. sprzedawcy należności z tytułu rachunków. Taka sytuacja jest rzadkością, należy więc określić mniejszy, bardziej określony zestaw użytkowników, np. „Należności”.

Określanie, czy należy zezwalać na dostęp wszystkim uwierzytelnionym użytkownikom

Aby wszyscy użytkownicy w domenie mieli możliwość wyświetlania zawartości witryny, można udzielić dostępu dla wszystkich użytkowników uwierzytelnionych (grupa zabezpieczeń systemu Windows Użytkownicy domeny). Ta grupa specjalna zapewnia wszystkim członkom domeny dostęp do witryny sieci Web (na wybranym poziomie uprawnień) bez konieczności włączania dostępu anonimowego.

Określanie, czy możliwy będzie dostęp dla użytkowników anonimowych

Można włączyć dostęp anonimowy, aby zezwolić użytkownikom na anonimowe wyświetlanie stron. Większość witryn sieci Web pozwala na anonimowe przeglądanie, ale w przypadku żądania edycji lub zakupu towaru w sklepie uwierzytelnienie może być wymagane. Dostęp anonimowy musi być udzielany na poziomie aplikacji sieci Web w czasie tworzenia tej aplikacji.

Jeśli dostęp anonimowy jest włączony w aplikacji witryny sieci Web, administratorzy witryny mogą zdecydować, czy:

  • Udzielić dostępu anonimowego do witryny.
  • Udzielić dostępu anonimowego tylko do list i bibliotek.
  • Całkowicie zablokować możliwość dostępu anonimowego do witryny.

Dostęp anonimowy bazuje na anonimowym koncie użytkownika na serwerze sieci Web. To konto zostaje utworzone i jest utrzymywane przez Internetowe usługi informacyjne (IIS), a nie przez witryny programu SharePoint. Domyślnie w programie IIS kontem użytkownika anonimowego jest IUSR.

Włączenie dostępu anonimowego zapewnia danemu kontu możliwość dostępu do witryny programu SharePoint. Umożliwienie dostępu do witryny lub do list i bibliotek zapewnia dla konta użytkownika anonimowego możliwość korzystania z funkcji uprawnienia Wyświetlanie elementów. Niemniej jednak nawet z uprawnieniem Wyświetlanie elementów istnieją ograniczenia dotyczące funkcji dostępnych dla użytkowników anonimowych. Anonimowi użytkownicy nie mogą:

  • Otwierać witryn do edycji w programie Microsoft SharePoint Designer 2010, czyli nie mogą używać zdalnego wywoływania procedur (RPC).

  • Wyświetlać witrynę w folderze Moje miejsca sieciowe, czyli nie mogą używać protokołu Web Distributed Authoring and Versioning (WebDAV), protokołu folderów sieci Web w systemie Windows.

  • Przesyłać ani edytować dokumentów w bibliotekach dokumentów, w tym w bibliotekach wiki.

    Ważne:
    Aby zwiększyć bezpieczeństwo witryn, list lub bibliotek, nie należy włączać dostępu anonimowego. Włączenie dostępu tego typu pozwala użytkownikom współtworzyć listy, brać udział w dyskusjach i ankietach, co może powodować zmniejszenie ilości miejsca na dysku twardym serwera i negatywnie wpływać na inne zasoby. Dostęp anonimowy pozwala także anonimowym użytkownikom na wyszukiwanie informacji o witrynie w tym adresów e-mail użytkownika i wszelkich treści dostępnych w listach, bibliotekach i dyskusjach.

Można ustawić zasady uprawnień użytkownika anonimowego w odniesieniu do różnych stref (Internet, Ekstranet, Intranet, Inne), jeśli zawartość w tych różnych strefach jest obsługiwana za pomocą tych samych aplikacji sieci Web. Poniższa lista zawiera opisy zasad:

  • Brak - Brak zasady. Jest to opcja domyślna. Dla użytkowników anonimowych nie są stosowane żadne dodatkowe ograniczenia ani uzupełnienia uprawnień.
  • Odczyt - Użytkownicy anonimowi mogą odczytywać zawartości, o ile administrator witryny nie wyłączy dostępu dla użytkowników anonimowych.
  • Odrzuć zapis - Anonimowi użytkownicy nie mogą zapisywać zawartości, nawet jeśli administratorzy witryn świadomie udzielają uprawnień do zapisu użytkownikowi konta anonimowego.
  • Odrzuć wszystkie - Anonimowi użytkownicy nie mają żadnego dostępu, nawet jeśli administratorzy witryn świadomie próbują udzielać dostępu użytkownikowi konta anonimowego do swoich witryn.

 Do początku strony Do początku strony

Wybieranie administratorów i właścicieli hierarchii administracji

W tymtej części opisano role administratora związane z serwerem Microsoft SharePoint Server 2010 i hierarchią witryn. Zarządzaniem programem SharePoint Server 2010 może się zajmować wiele osób. Administracja programu SharePoint Server 2010 następuje na następujących poziomach:

  • Farma serwerów
  • Usługi udostępnione
  • Witryny
  • Biblioteka dokumentów lub lista
  • Poszczególne elementy

Wprowadzenie

Większości poziomów hierarchii witryny i serwera odpowiadają grupy administracji. Poziom aplikacji sieci Web nie zawiera unikatowej grupy administratorów, ale administratorzy farmy kontrolują aplikacje sieci Web w ramach swoich obowiązków. Członkowie grupy Administratorzy farmy i członkowie grupy Administratorzy na serwerze lokalnym mogą zdefiniować zasadę umożliwiającą udzielanie uprawnień poszczególnym użytkownikom na poziomie aplikacji sieci Web.

Poziomy administracji

Następujące grupy użytkowników dysponują uprawnieniami administracyjnymi na różnych poziomach hierarchii administracji:

  • Poziom serwera lub farmy serwerów

    • Grupa Administratorzy farmy - Członkowie grupy Administratorzy farmy mają uprawnienia do obsługi wszystkich serwerów w farmie i są za nie odpowiedzialni. Członkowie tej grupy mogą wykonywać wszystkie zadania administracyjne w ramach Administracji centralnej na serwerze lub na farmie serwerów. Członkowie tej grupy mogą również używać programu Windows PowerShell do tworzenia obiektów bazy danych konfiguracji i zarządzania nimi. Oni mogą przypisywać administratorom zadania związane z zarządzaniem aplikacjami usługi, które są wystąpieniami usług udostępnionych. Ta grupa nie ma dostępu do poszczególnych witryn ani ich zawartości.

    • Grupa Administratorzy - Członkowie grupy Administratorzy farmy mają uprawnienia do obsługi wszystkich serwerów w farmie i są za nie odpowiedzialni. Członkowie tej grupy mogą wykonywać wszystkie zadania administracyjne w ramach Administracji centralnej na serwerze lub na farmie serwerów. Członkowie tej grupy mogą również używać programu Windows PowerShell do tworzenia obiektów bazy danych konfiguracji i zarządzania nimi. Oni mogą przypisywać administratorom zadania związane z zarządzaniem aplikacjami usługi, które są wystąpieniami usług udostępnionych. Ta grupa nie ma dostępu do poszczególnych witryn ani ich zawartości.

      Uwaga:
      W razie konieczności administratorzy farmy i administratorzy lokalni mogą przejąć na własność określone zbiory witryn. Na przykład jeśli administrator witryny opuszcza organizację i należy dodać nowego administratora, to administrator farmy lub członek lokalnej grupy Administratorzy może przejąć na własność zbiór witryn w celu dokonania zmian.

  • Poziom usług udostępnionych

    • Administratorzy usług - Ci administratorzy są delegowani przez administratora farmy. Mogą oni konfigurować ustawienia określonej aplikacji usługi w ramach farmy. Jednak nie mogą oni tworzyć aplikacji usług, uzyskiwać dostępu do innych aplikacji usług w farmie ani wykonywać żadnych operacji na poziomie farmy, włączając w to zmiany topologii. Na przykład administrator aplikacji usługi Wyszukiwanie w farmie może skonfigurować ustawienia tylko aplikacji usługi Wyszukiwanie.
    • Administratorzy funkcji - Administrator funkcji jest skojarzony z określoną funkcją lub funkcjami aplikacji usługi. Ci administratorzy mogą zarządzać podzbiorem ustawień aplikacji usług, ale nie całą aplikacją usługi. Na przykład Administrator usługi może zarządzać funkcją Odbiorcy w aplikacji usługi Profil użytkownika.

  • Poziom witryny

    • Administratorzy zbioru witryn - Ci administratorzy dysponują poziomem uprawnień Pełna kontrola we wszystkich witrynach sieci Web w ramach zbioru witryn. Mają oni dostęp do zawartości we wszystkich witrynach tej kolekcji witryn, nawet jeśli nie dysponują jawnymi uprawnieniami w danej witrynie.
    • Właściciele witryny - Domyślnie członkowie grupy Właściciele witryny dysponują poziomem uprawnień Pełna kontrola w tej witrynie. Mogą oni wykonywać zadania związane z administrowaniem witryną, dowolną listą lub biblioteką w obrębie tej witryny. Otrzymują oni powiadomienia pocztą e-mail dotyczące zdarzeń takich jak oczekiwanie na automatyczne usunięcie witryn nieaktywnych i żądania o zapewnienie dostępu do witryny.
 Do początku strony Do początku strony

 

SharePoint