Поделиться через

Определение требуемых уровней разрешения и групп (Office SharePoint Server)

  • Статья

Содержание:

  • Обзор доступных групп по умолчанию

  • Обзор доступных уровней разрешений

  • Определение потребности в дополнительных уровнях разрешений или группах

  • Таблица

Наиболее важное решение, касающееся безопасности сайта и содержимого в Microsoft Office SharePoint Server 2007, состоит в том, как распределить пользователей по категориям и какие уровни разрешений им присвоить.

В SharePoint имеется несколько групп по умолчанию, с помощью которых можно распределить пользователей по категориям в зависимости от вида их деятельности, но могут существовать и уникальные требования или другие подходы к группированию пользователей. Подобно этому имеется несколько уровней разрешений по умолчанию, но они не всегда могут точно соответствовать задачам, стоящим перед группами.

В данной статье рассматриваются группы и уровни разрешений по умолчанию, после ознакомления с которыми можно принять решение, использовать ли их "как есть", настроить их или создать другие группы и уровни разрешений.

Обзор доступных групп по умолчанию

В случае групп SharePoint речь идет об управлении коллективами пользователей, а не отдельными пользователями. Группы SharePoint могут состоять из нескольких индивидуальных пользователей, могут включать в себя одну группу безопасности Windows или могут быть комбинацией этих двух вариантов. Группы SharePoint не предоставляют никаких особых прав на сайте; они просто являются способом объединения нескольких пользователей. В зависимости от размера и сложности организации или веб-сайта можно распределить пользователей по нескольким группам или ограничиться совсем небольшим числом групп.

Группы SharePoint по умолчанию, создаваемые для сайтов в Office SharePoint Server 2007, приведены в следующей таблице.

Имя группы Уровень разрешений по умолчанию

Ограниченное чтение.

Ограниченное чтение на сайте (а также ограниченный доступ к определенным спискам)

Чтение ресурсов стилей

Чтение коллекции главных страниц и ограниченное чтение библиотеки стилей.

Браузеры

Только просмотр

Посетители домашней страницы

Чтение

Участники домашней страницы

Участие

Пользователи с правом быстрого развертывания

Добавление в библиотеку элементов для быстрого развертывания (а также ограниченный доступ к остальной части сайта)

Утверждающие

Утверждение (а также ограниченный доступ)

Разработчики

Разработка

Управляющие иерархией

Управление иерархией (а также ограниченный доступ)

Владельцы домашних страниц

Полный доступ

Примечание

Уровень разрешений ограниченного доступа служит для предоставления группам доступа к определенному списку, библиотеке документов, элементу или документу, не давая при этом доступа ко всему сайту. Не следует удалять этот уровень разрешений из указанных выше групп. Если уровень разрешений будет удален, группы не смогут выполнять переходы на сайте, чтобы получить доступ к определенным элементам, с которыми требуется взаимодействие.

Кроме того, для решения задач администрирования более высокого уровня доступны следующие особые пользователи и группы:

  • Администраторы семейства сайтов   Одного или нескольких пользователей можно назначить главными и дополнительными администраторами семейства сайтов. Эти пользователи записаны в базе данных как контактные лица для данного семейства сайтов, они имеют полный доступ ко всем сайтам данного семейства, могут проверять содержимое сайта и получать любые административные предупреждения (например проверить, используется ли данный сайт). Обычно администраторы семейства сайтов назначаются при создании сайта, но в случае необходимости их можно заменить, используя веб-сайт центра администрирования или страницы параметров сайта.

  • **Администраторы фермы   **Эти лица определяют, какие пользователи могут управлять сервером и параметрами фермы серверов. Наличие группы администраторов фермы исключает необходимость добавления пользователей в группу администраторов для сервера или в группу администраторов SharePoint, которая использовалась в Windows SharePoint Services версии 2.0. По умолчанию администраторы фермы не имеют доступа к содержимому сайта; для просмотра любого содержимого они должны стать владельцами сайта. Чтобы это сделать, они добавляют себя как администраторов семейства сайтов, и эта операция регистрируется в журналах аудита. Группа администраторов фермы используется только в центре администрирования и недоступна для любого сайта.

  • **Администраторы   **Члены группы администраторов на локальном сервере могут выполнять все операции администратора фермы и ряд других, включая:

    • Установку новых продуктов или приложений

    • Развертывание веб-частей и новых функций в глобальном кэше сборок

    • Создание новых веб-приложений и веб-сайтов IIS

    • Запуск служб

    Члены группы администраторов на локальном сервере, как и члены группы администраторов фермы, по умолчанию не имеют доступа к содержимому сайта.

После формирования необходимых групп определите уровни разрешений, которые должны быть присвоены каждой группе на вашем сайте.

Действие листа

Для записи всех групп, которые предстоит создать, воспользуйтесь таблицей "Специальные уровни разрешений и группы" (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73134&clcid=0x419) (на английском языке).

Обзор доступных уровней разрешений

Возможность просматривать или изменять конкретный сайт, а также управлять им, определяется уровнем разрешений, присвоенным пользователю или группе. Этот уровень разрешений указывает все разрешения для данного сайта и всех дочерних сайтов, списков, библиотек документов, папок, а также элементов или документов, которые наследуют разрешения сайта. Без соответствующих уровней разрешений пользователи могут оказаться неспособными решить поставленные перед ними задачи либо им может быть предоставлена возможность решать те задачи, которые не предполагалось им поручать.

По умолчанию доступны следующие уровни разрешений:

  • **Ограниченный доступ   **Включает разрешения, позволяющие пользователям просматривать конкретные списки, библиотеки документов, элементы списков, папки или документы.

  • **Чтение   **Включает разрешения, позволяющие пользователям просматривать элементы на страницах сайта.

  • **Участие   **Включает разрешения, позволяющие пользователям добавлять или изменять элементы на страницах сайта или в списках и библиотеках документов.

  • **Проектирование   **Включает разрешения, позволяющие пользователям изменять макет веб-страниц с помощью браузера или Microsoft Office SharePoint Designer 2007.

  • **Утверждение   **Включает разрешения на изменение и утверждение страниц, элементов списка и документов.

  • **Управление иерархией   **Включает разрешение на сайты и изменение страниц, элементов списка и документов.

  • **Ограниченное чтение   **Включает разрешения на просмотр страниц и документов, но не предыдущие версии или сведения о правах пользователей.

  • **Полный доступ   **Включает все разрешения.

Дополнительные сведения о разрешениях, включенных в уровни разрешений по умолчанию, см. в разделе User permissions and permission levels.

Определение необходимости дополнительных уровней разрешений или групп

Группы и уровни разрешений предназначены для того, чтобы предоставить общую структуру для разрешений, охватывающую широкий спектр типов организаций и ролей в этих организациях. Однако эта структура может не отражать во всех подробностях конкретные особенности вашей организации или все разнообразие задач, которые решают пользователи на ваших сайтах. Если группы и уровни разрешений по умолчанию не соответствуют потребностям организации, можно создать пользовательские группы, изменить разрешения, включенные в конкретные уровни разрешений или создать пользовательские уровни разрешений.

Потребность в пользовательских группах

Решение создать пользовательские группы является вполне очевидным и мало повлияет на безопасность сайта. По существу, создание пользовательских групп вместо использования групп по умолчанию целесообразно в следующих ситуациях:

  • В организации существует больше (или меньше) ролей пользователей, чем предусмотрено в группах по умолчанию. Например, если кроме утверждающих, разработчиков и управляющих иерархиями в организации существует ряд сотрудников, в задачу которых входит публикация содержимого на сайте, может возникнуть необходимость в создании группы "Издатели".

  • В организации имеются широко известные названия уникальных ролей, решающих совершенно различные задачи. Например, если создается общедоступный сайт для продажи продукции организации, может оказаться полезной группа "Клиенты", создаваемая вместо групп "Посетители" или "Наблюдатели".

  • Есть необходимость сохранить однозначное соответствие между группами безопасности Windows и группами SharePoint. (Например, в организации имеется группа безопасности для управляющих веб-сайтов, и требуется использовать это имя как имя группы для простоты идентификации при управлении сайтом).

  • Вы предпочитаете другие имена групп.

Потребность в пользовательских уровнях разрешений

Решение создать пользовательские уровни разрешений менее очевидно, чем решение о создании пользовательских групп SharePoint. Если изменяются разрешения, присвоенные конкретному уровню разрешений, необходимо понимать последствия такого изменения, проверить, как оно повлияет на все группы и сайты, имеющие отношение к этому изменению, и убедиться, что данное изменение не окажет отрицательного влияния на безопасность или на работоспособность и производительность сервера.

Например, с точки зрения безопасности, если настроить уровень разрешений "Участие", включив разрешение на создание дочерних сайтов, которое обычно относится к уровню разрешений "Полный доступ", то члены группы "Участники" смогут создавать свои дочерние веб-сайты, что возможно может привести к приглашению ими в эти дочерние сайты злоумышленников или размещению нежелательного содержимого. Что касается мощностей, то если уровень разрешений "Чтение" настроить, включив разрешение "Создание оповещений", которое обычно относится к уровню разрешений "Участие", все члены группы "Посетители домашней страницы" смогут создавать оповещения, что может привести к перегрузке серверов.

Изменение настройки уровней разрешений по умолчанию целесообразно в следующих ситуациях:

  • Уровень разрешений по умолчанию включает все разрешения, кроме одного, которое необходимо пользователям для выполнения их работы, и вы хотите добавить это разрешение.

  • Уровень разрешений по умолчанию включает разрешение, в котором пользователи не нуждаются.

    Примечание

    Не следует изменять настройку уровней разрешений по умолчанию, если организация озабочена конкретным разрешением по соображениям безопасности или каким-либо другим причинам и хочет сделать это разрешение недоступным для всех пользователей, которым присвоен этот уровень разрешений или другие уровни, включающие данное разрешение. В этом случае следует просто отключить это разрешение для всех веб-приложений в ферме серверов, а не изменять все уровни разрешений. Чтобы изменить разрешения для веб-приложений, в центре администрирования на странице "Управление решениями" щелкните Разрешения пользователя для веб-приложения в разделе Безопасность приложений.

Если требуется внести несколько изменений в конкретный уровень разрешений, лучше создать пользовательский уровень разрешений, включающий все необходимые разрешения.

Создание дополнительных уровней разрешений может оказаться целесообразным в следующих ситуациях:

  • Необходимо исключить несколько разрешений из конкретного уровня разрешений.

  • Необходимо определить уникальный набор разрешений для нового уровня разрешений.

Чтобы создать уровень разрешений, можно скопировать существующий уровень разрешений и внести в него изменения или создать уровень разрешений и выбрать необходимые разрешения.

Примечание

Некоторые разрешения зависят от других разрешений. Если удаляется разрешение, от которого зависит другое разрешение, это другое разрешение тоже удаляется.

Действие листа

Для записи всех уровней разрешений, которые предстоит настроить или создать, воспользуйтесь таблицей "Специальные уровни разрешений и группы" (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73134&clcid=0x419) (на английском языке).

Форма

Для определения требуемых уровней разрешений и групп используйте следующий лист:

Загрузите эту книгу

Этот раздел включен в следующую загружаемую книгу для удобства чтения и печати:

Полный список доступных книг приведен в разделе Загружаемые материалы для Office SharePoint Server 2007.