Determinar os níveis de permissão e grupos que serão usados (SharePoint Server 2010)

  • Artigo

 

Aplica-se a: SharePoint Foundation 2010, SharePoint Server 2010

Tópico modificado em: 2016-11-30

Este artigo descreve grupos e níveis de permissão padrão e ajuda você a decidir se eles devem ser usados como se encontram, se devem ser personalizados ou se é melhor criar diferentes grupos e níveis de permissão.

Neste artigo:

  • Revisar grupos padrão disponíveis

  • Rever níveis de permissão disponíveis

  • Determinar se você precisa de níveis ou grupos de permissões adicionais

A decisão mais importante sobre a segurança de sites e conteúdos no Microsoft SharePoint Server 2010 refere-se a como categorizar os seus usuários e quais níveis de permissão devem ser atribuídos.

Revisar grupos padrão disponíveis

Grupos do SharePoint permitem gerenciar conjuntos de usuários em vez de usuários individuais. Esses grupos podem conter muitos usuários individuais ou podem incluir o conteúdo de qualquer sistema de identidade corporativo, incluindo AD DS (Serviços de Domínio Active Directory), diretórios com base em LDAPv3, bancos de dados específicos de aplicativos e novos modelos de identidade centrados no usuário, como o LiveID. Grupos do SharePoint não concedem direitos específicos para o site; eles são uma maneira de designar um conjunto de usuários. Você pode organizar usuários em qualquer número de grupos, dependendo do tamanho e da complexidade da sua organização ou site. Grupos do SharePoint não podem ser aninhados.

A tabela a seguir exibe os grupos padrão criados para sites de equipe no SharePoint Server 2010.

Nome do grupo Nível de permissão padrão

Visualizadores

Somente Exibição

Visitantes

Leitura

Membros

Contribuir

Criadores

Design

Proprietários

Controle Total

Se você usar um modelo de site diferente do modelo de site de equipe, verá uma lista diferente de grupos padrão do SharePoint. Por exemplo, a tabela a seguir mostra os grupos adicionais fornecidos por um modelo de site de publicação.

Nome do grupo Nível de permissão padrão

Leitores Restritos

Leitura restrita no site, além de Acesso Limitado a listas específicas

Leitores do Recurso de Estilo

Leitura na Galeria de Páginas Mestras e leitura restrita na Biblioteca de Estilos

Usuários de implantação rápida

Contribuição para a biblioteca de Itens de Implantação Rápida, além de Acesso Limitado ao restante do site

Aprovadores

Aprovação, além de Acesso Limitado

Gerenciadores de Hierarquia

Gerenciamento de hierarquia, além de Acesso Limitado

Além disso, os seguintes usuários e grupos especiais estão disponíveis para tarefas de administração de nível mais elevado:

  • Administradores de conjuntos de sites   Você pode designar um ou mais usuários como administradores principais e secundários de um conjunto de sites. Esses usuários são registrados no banco de dados como contatos para o conjunto de sites, têm controle total de todos os sites contidos no conjunto, podem auditar todo o conteúdo do site e recebem qualquer alerta administrativo (como verificar se o site ainda está sendo usado). Administradores de conjuntos de sites são designados quando um site é criado, mas você pode alterá-los conforme necessário usando o site da Administração Central ou as páginas Configurações de Site do conjunto de sites. Grupos e funções do AD DS não podem ser adicionados como administradores de um conjunto de sites.

    Observação

    Administradores de conjunto de sites têm direitos totais a todos os sites de um conjunto. Eles podem adicionar ou excluir sites ou alterar as configurações de qualquer site dentro de um conjunto. Além disso, podem exibir, adicionar, excluir ou alterar todo o conteúdo nesses sites. Eles podem adicionar e remover usuários de sites e enviar convites para esses sites. Proprietários de conjunto de sites são os únicos usuários que recebem notificações por email para eventos, como a exclusão automática pendente de sites inativos. Por padrão, esses proprietários também recebem solicitações de acesso de usuários cujo acesso aos sites foi negado.

  • Administradores de farm Esse grupo controla quais usuários podem gerenciar configurações de servidor e farm de servidores. Esses administradores de farm não têm acesso ao conteúdo do site por padrão; eles devem apropriar-se do site quando desejam exibir qualquer conteúdo. O grupo de Administradores de Farm é usado somente na Administração Central e não está disponível para todos os sites.

  • Administradores Os membros do grupo de Administradores no servidor local podem executar todas as ações de administradores de farm e outras ações, incluindo as seguintes:

    • Instalação de novos produtos ou aplicativos.

    • Implantação de Web Parts e novos recursos no cache de montagem global.

    • Criação de novos aplicativos Web e novos sites IIS.

    • Inicialização de serviços.

    Como o grupo de Administradores de Farm, os membros do grupo de Administradores no servidor local não têm acesso ao conteúdo do site por padrão.

Depois de determinar os grupos necessários, determine os níveis de permissão a serem atribuídos a cada grupo no seu site.

Rever níveis de permissão disponíveis

A capacidade de exibir, alterar ou gerenciar um site é determinada pelo nível de permissão que você atribui a um usuário ou grupo. Esse nível controla todas as permissões para o site e quaisquer subsites, listas, bibliotecas de documentos, pastas e itens ou documentos que herdam as permissões do site. Sem os níveis de permissão apropriados, os usuários podem não conseguir executar suas tarefas, ou podem ser capazes de executar tarefas que você não pretendia que eles realizassem.

Por padrão, os seguintes níveis de permissão estão disponíveis:

  • Acesso Limitado Inclui permissões que permitem aos usuários exibir listas específicas, bibliotecas de documentos, itens de listas, pastas ou documentos, sem fornecer acesso a todos os elementos de um site. Não é possível editar esse nível de permissão diretamente.

    Observação

    Se esse nível de permissão for removido, os membros do grupo talvez não consigam navegar no site para acessar itens, mesmo se tiverem as permissões corretas para um item dentro do site.

  • Ler Inclui permissões que permitem aos usuários exibir itens nas páginas do site.

  • Contribuição Inclui permissões que permitem aos usuários adicionar ou alterar itens nas páginas do site ou em listas e bibliotecas de documentos.

  • Design Inclui permissões que permitem aos usuários alterar o layout das páginas do site usando o navegador ou o Microsoft SharePoint Designer 2010.

  • **Controle total   **Inclui todas as permissões.

Por padrão, os seguintes níveis de permissão adicionais são fornecidos com o modelo de publicação:

  • Exibir Apenas Inclui permissões que permitem aos usuários exibir páginas, itens de lista e documentos.

  • Aprovar Inclui permissões para editar e aprovar páginas, itens de lista e documentos.

  • Gerenciar HierarquiaInclui permissões para sites e edição de páginas, itens de lista e documentos.

  • Leitura Restrita Inclui permissões para exibir páginas e documentos, mas não versões históricas ou informações de direitos de usuários.

Determinar se você precisa de níveis ou grupos de permissões adicionais

Os grupos e níveis de permissão padrão fornecem uma estrutura geral para permissões, abrangendo muitos tipos diferentes de organizações e funções dentro dessas organizações. No entanto, eles podem não corresponder exatamente como os seus usuários estão organizados ou com as várias tarefas diferentes que esses usuários executam nos seus sites. Se os grupos e os níveis de permissão padrão não atenderem às necessidades da sua organização, você poderá criar grupos personalizados, alterar as permissões incluídas em níveis de permissão específicos ou criar níveis de permissão personalizados.

Você precisa de grupos personalizados?

A decisão de criar grupos personalizados é relativamente simples e tem pouco efeito sobre a segurança do seu site. Você deve criar grupos personalizados em vez de usar os grupos padrão se qualquer uma das situações a seguir for aplicável:

  • Você tem mais (ou menos) funções de usuário em sua organização do que as incluídas nos grupos padrão. Por exemplo, se além de Aprovadores, Designers e Gerenciadores de Hierarquia, você tiver um conjunto de pessoas que tenham como tarefa publicar conteúdo no site, talvez seja conveniente criar um grupo Editores.

  • Há nomes bem conhecidos para funções exclusivas de sua organização que realizam tarefas muito diferentes nos sites. Por exemplo: se você está criando um site público para vender os produtos da sua organização, pode querer criar um grupo Clientes para substituir Visitantes ou Visualizadores.

  • Você deseja preservar uma relação um-para-um entre grupos de segurança do Windows e os grupos do SharePoint. Por exemplo, se sua organização tiver um grupo de segurança denominado Gerentes de Sites, convém usar esse nome como um nome de grupo do SharePoint para facilitar a identificação durante o gerenciamento do site.

  • Você prefere outros nomes de grupo.

Você precisa de níveis de permissão personalizados?

A decisão de personalizar níveis de permissão é menos simples do que a decisão de personalizar grupos do SharePoint. Se você personalizar as permissões atribuídas a um nível de permissão, deverá controlar essa alteração, verificar se ela funciona para todos os grupos e sites por ela afetados e garantir que essa alteração não afete negativamente a sua segurança ou a capacidade ou o desempenho do seu servidor.

Por exemplo, se você personalizar o nível de permissão Contribuir de forma a incluir a permissão Criar Subsites, que normalmente faz parte do nível de permissão Controle Total, os membros do grupo de Parceiros poderão criar e possuir subsites e poderão convidar usuários mal-intencionados para seus subsites ou postar conteúdo não aprovado. Se você personalizar o nível de permissão Ler de forma a incluir a permissão Exibir Dados de Uso, que normalmente faz parte do nível de permissão Controle Total, todos os membros do grupo de Visitantes poderão ver dados de uso, o que pode causar problemas de desempenho.

Você deverá personalizar os níveis de permissão padrão se qualquer uma das situações a seguir for aplicável:

  • Um nível de permissão padrão inclui todas as permissões, exceto a que seus usuários precisam para realizar suas tarefas, e você quer adicionar essa permissão.

  • Um nível de permissão padrão inclui uma permissão de que seus usuários não precisam.

    Importante

    Você não deverá personalizar os níveis de permissão padrão se sua organização tiver preocupações de segurança ou outras preocupações com relação a uma permissão específica que faz parte do nível de permissão. Se quiser tornar essa permissão não disponível para todos os usuários atribuídos ao nível de permissão ou a níveis que incluem essa permissão, desative a permissão para todos os aplicativos Web no seu farm de servidores, em vez de alterar todos os níveis de permissão.

Se você precisar fazer várias alterações em um nível de permissão, crie um nível de permissão personalizado que inclua todas as permissões necessárias.

Convém criar níveis de permissão adicionais se uma das situações a seguir for aplicável:

  • Você quer excluir várias permissões de um nível específico.

  • Você quer definir um conjunto de permissões exclusivo para um novo nível de permissão.

Para criar um nível de permissão, você pode copiar um nível existente e fazer as alterações ou criar um nível de permissão e selecionar as permissões que deseja incluir.

Observação

Algumas permissões dependem de outras. Se você desmarcar uma permissão da qual outra permissão depende, essa outra permissão também será desmarcada.