Share via

Выбор используемых групп безопасности (Office SharePoint Server)

  • Статья

Содержание:

  • Определение учетных записей и групп безопасности Windows, которые будут использоваться для предоставления доступа к сайтам

  • Принятие решения об использовании всех пользователей, прошедших проверку подлинности

  • Принятие решения о предоставлении доступа анонимным пользователям

  • Таблица

Чтобы упростить управление пользователями, рекомендуется назначать разрешения для сайтов группам, а не отдельным пользователям. В службе каталогов Microsoft Active Directory для организации пользователей обычно используются следующие два типа групп:

  • Группа распространения   Незащищаемая группа, которая используется только для рассылки электронной почты. Группы распространения не могут быть указаны в списках управления доступом на уровне пользователей (DACL), используемых для определения разрешений для ресурсов и объектов.

  • Группа безопасности   Группа, которая может быть указана в списках управления доступом на уровне пользователей (DACL), используемых для определения разрешений для ресурсов и объектов. Группа безопасности также может быть использована в качестве объекта электронной почты.

Группы безопасности можно использовать для управления разрешениями для веб-сайта путем прямого добавления группы безопасности и предоставления разрешений всей группе. Нельзя использовать группы распространения подобным образом; однако можно расширить список рассылки и добавить отдельных пользователей в группу SharePoint. При использовании этого способа необходимо управлять процессом синхронизации группы SharePoint с группой распространения. При использовании групп безопасности нет необходимости управлять отдельными пользователями в приложении SharePoint. Поскольку включена сама группа безопасности, а не ее отдельные члены, управление пользователями осуществляется службой каталогов Active Directory.

Определение учетных записей и групп безопасности Windows, которые будут использоваться для предоставления доступа к сайтам

Каждая организация настраивает группы безопасности Windows по-разному. Чтобы максимально упростить процесс управления разрешениями, группы безопасности должны быть:

  • Достаточно большими и с достаточно постоянными составом, чтобы не приходилось постоянно добавлять дополнительные группы к сайтам SharePoint

  • Достаточно маленькими, чтобы можно было назначать соответствующие разрешения

Например, группа безопасности под названием "все пользователи в здании 2", по всей видимости, не является достаточно маленькой для назначения разрешений, если только все пользователи в здании 2 не имеют одинаковые должности, такие как бухгалтер по дебиторской задолженности. В действительных ситуациях такие совпадения редко случаются, поэтому следует ориентироваться на небольшие наборы пользователей, такие как "бухгалтеры по дебиторской задолженности" или еще более маленькие тесно связанные между собой группы.

Принятие решения об использовании всех пользователей, прошедших проверку подлинности

Если требуется, чтобы все пользователи домена имели возможность просматривать контент сайта, рекомендуется предоставить доступ всем пользователям, прошедшим проверку подлинности (группа безопасности Windows "Пользователи домена"). Эта особая группа предоставляет всем членам домена доступ к веб-сайту (на выбранном уровне разрешений), избавляя от необходимости разрешать анонимный доступ.

Принятие решения о предоставлении доступа анонимным пользователям

Можно разрешить анонимный доступ, чтобы пользователи могли просматривать страницы анонимно. Большинство веб-сайтов Интернета разрешают анонимный просмотр, но при необходимости изменить веб-сайт или совершить покупку в Интернет-магазине может потребоваться пройти проверку подлинности. Анонимный доступ должен предоставляться на уровне веб-приложения во время его создания. Если анонимный доступ разрешен для веб-приложения, администраторы сайта могут принять решение о:

  • Предоставлении анонимного доступа к сайту

  • Предоставлении анонимного доступа только к спискам и библиотекам

  • Блокировке анонимного доступа к сайту в целом

Анонимный доступ основывается на учетной записи анонимного пользователя на веб-сервере. Эта учетная запись создается и обслуживается службами IIS, а не существующим сайтом SharePoint. По умолчанию в службах IIS учетная запись анонимного пользователя — это IUSR_ Имя_компьютера. Когда производится включение анонимного доступа, эта учетная запись получает доступ к сайту SharePoint. Предоставление доступа к сайту, либо к списками или библиотекам обеспечивает анонимной учетной записи разрешение на просмотр элементов. Однако даже с разрешением на просмотр элементов существуют ограничения возможностей анонимных пользователей. Анонимные пользователи не могут:

  • Использовать удаленный вызов процедур (RPC) Microsoft Office SharePoint Designer; другими словами, они не могут открывать сайты для внесения изменений в Office SharePoint Designer. Они также не могут использовать DAV (протокол веб-папок в Windows); другими словами, они не могут просматривать сайт в папке "Сетевое окружение".

  • Передача или изменение документов в библиотеках документов, в том числе в вики-библиотеках.

    Важно!

    Чтобы создать более безопасные сайты, списки или библиотеки, анонимный доступ разрешать нельзя. Разрешение анонимного доступа позволяет пользователям добавлять или изменять контент в списках, обсуждениях и опросах, возможно, используя при этом дисковое пространство сервера и другие ресурсы. Кроме того, оно позволяет анонимным пользователям получать сведения на сайте, включая адреса электронной почты пользователей, а также любое содержимое в списках, библиотеках и обсуждениях.

Также можно установить политики разрешений для анонимных пользователей в различных зонах (Интернета, экстрасети, интрасети и других), если в этих зонах контент обслуживается одним и тем же веб-приложением. Описание этих политик приведено в следующем списке:

  • Отсутствует   Ни одна из политик не используется. Этот параметр установлен по умолчанию. Никакие дополнительные ограничения или добавления в отношении разрешений не применяются к анонимным пользователям сайта.

  • Чтение   Анонимные пользователи могут читать контент; такая возможность предоставляется до тех пор, пока администратор сайта не запретит анонимный доступ.

  • Запретить запись   Анонимные пользователи не могут выполнять запись контента, даже если администратор сайта намеренно предпримет попытку предоставить такое разрешение учетной записи анонимного пользователя.

  • Запретить все   Анонимные пользователи не могут иметь никакого доступа, даже если администратор сайта намеренно предпримет попытку предоставить учетной записи анонимного пользователя доступ к сайтам.

Форма

В таблице "Безопасность сайта и содержимого" (https://go.microsoft.com/fwlink/?linkid=73135&clcid=0x419) (на английском языке) перечисляются группы безопасности, которые можно использовать, и уровни разрешений, которые при этом потребуются на каждом уровне иерархии сайта.

Загрузить эту книгу

Для упрощения чтения и печати эта тема включена в следующую загружаемую книгу:

См. полный список доступных книг на веб-сайте Загружаемые материалы для Office SharePoint Server 2007.