Планирование разрешений веб-сайта (SharePoint Server 2010)

  • Статья

 

Применимо к: SharePoint Foundation 2010, SharePoint Server 2010

Последнее изменение раздела: 2016-11-30

В данной статье рассматривается планирование внедрения управления доступом в семействе веб-сайтов и на последующих уровнях (сайта, дочернего сайта и контента сайта (списка или библиотеки, папки, элемента или документа)). В статье также описываются понятия наследования разрешений и детальных разрешений.

В этой статье не затрагивается планирование безопасности всего сервера или фермы серверов. Дополнительные сведения о планировании других аспектов безопасности, таких как методы и режимы проверки подлинности, см. в разделе Планирование способов проверки подлинности (SharePoint Server 2010).

Содержание:

  • Разрешения сайта

  • Наследование разрешений

  • Планирование разрешений сайта

  • Планирование наследования разрешений

Введение

Доступом к сайту и контенту сайта можно управлять, назначая пользователям или группам разрешения для доступа к определенному сайту или контенту сайта на следующих уровнях в семействе сайтов:

  • Сайт

  • на уровне библиотеки или списка;

  • Папка

  • на уровне документа или элемента.

При разработке плана доступа к сайту и контенту следует ответить на следующие вопросы:

  • Какая степень контроля за разрешениями для сайта и его контента требуется? Например, можно управлять доступом на уровне сайта или использовать более строгие параметры безопасности для определенного списка, папки или элемента.

  • Как использовать группы SharePoint для определения категорий пользователей и управления ими? У групп нет никаких разрешений, пока им не будет назначен уровень разрешений для определенного сайта или контента сайта. При назначении уровней разрешений группам SharePoint на уровне семейства веб-сайтов по умолчанию все сайты и весь контент наследуют эти уровни разрешений.

Дополнительные сведения об использовании групп для управления разрешениями см. в статье Выбор групп безопасности (SharePoint Server 2010).

Разрешения сайта

Перед составлением плана предоставления разрешений следует усвоить следующие понятия:

  • Разрешения.   Разрешения дают пользователю возможность выполнять конкретные действия. Например, разрешение на просмотр элементов позволяет просматривать элементы в списке или папке, но не добавлять или удалять их. Разрешения можно предоставлять как отдельным пользователям сайта, так и на уровнях контента сайта.

    Дополнительные сведения о доступных разрешениях см. в разделе User permissions and permission levels (SharePoint Server 2010).

  • Детальные разрешения   Это уникальные разрешения для объектов в нижней части иерархии сайтов, такие как разрешения для списка или библиотеки, папки, элемента или документа. Детальные разрешения предоставляют более точный уровень детальности разрешений пользователя в семействе сайтов.

  • Уровень разрешений.   Уровни разрешений — это наборы разрешений, которые позволяют пользователям выполнять набор задач, связанных друг с другом. Например, уровень разрешений "Чтение" включает в себя разрешения "Просмотр элементов", "Открытие элементов", "Просмотр страниц" и "Просмотр версий" (а также и другие). Все они требуются для просмотра документов, элементов и страниц на сайте SharePoint. Отдельные разрешения могут быть включены в несколько уровней разрешений.

    Уровни разрешений задаются на уровне семейства веб-сайтов; настраивать их может любой пользователь или группа, чей уровень разрешений включает в себя разрешение "Управление разрешениями". Дополнительные сведения об изменении уровней разрешений см. в разделе Configure custom permissions (SharePoint Server 2010).

    Уровни разрешений по умолчанию: "Ограниченный доступ", "Чтение", "Участие", "Разработка" и "Полный доступ". Сведения об уровнях разрешений по умолчанию и о включенных в них разрешениях см. в разделе User permissions and permission levels (SharePoint Server 2010).

  • Группа SharePoint.   Представляет собой группу пользователей, заданную на уровне семейства веб-сайтов, и служит для упрощения управления разрешениями. Каждой группе SharePoint назначается уровень разрешений по умолчанию. Например, группам SharePoint по умолчанию "Владельцы", "Посетители" и "Участники" назначены уровни разрешений по умолчанию "Полный доступ", "Чтение" и "Участие" соответственно. Создавать настраиваемые группы могут пользователи с разрешением "Полный доступ".

  • Пользователь.  Пользователь — это лицо, имеющее учетную запись, предоставленную любым поставщиком проверки подлинности, поддерживаемым конкретным веб-приложением. Рекомендуется назначать разрешения не отдельным пользователям, а группам, хотя можно и напрямую назначать отдельным пользователям разрешения на определенные сайты или контент. Следует учитывать, что управление учетными записями отдельных пользователей неэффективно, поэтому рекомендуется назначать разрешения отдельным пользователям только в исключительных случаях.

  • Защищаемый объект.   Защищаемый объект — это сайт, список, библиотека, папка, документ или элемент, для которого можно назначать уровни разрешений пользователям или группам. По умолчанию все списки и библиотеки на сайте наследуют разрешения от сайта. Для более детального контроля пользователей, которым разрешено просматривать контент сайта и взаимодействовать с ним, используются разрешения на уровне списков, папок и элементов. Чтобы назначить разрешения защищаемому объекту или изменить их, необходимо отменить наследование разрешений. При этом всегда можно вернуться к наследованию разрешений от родительского списка или сайта.

Можно назначать разрешения пользователям или группам для конкретных защищаемых объектов. Отдельные пользователи или группы могут иметь различные разрешения для разных защищаемых объектов. На следующей схеме демонстрируются взаимосвязи между разрешениями, пользователями, группами и защищаемыми объектами.

Особые уровни разрешений

Наследование разрешений

Разрешения для защищаемых объектов на сайте по умолчанию наследуются от родительского объекта. Наследование можно отменить и использовать детальные разрешения (уникальные разрешения на уровне списков, библиотек, папок, элементов или документов) для более точного управления действиями, которые пользователи имеют право выполнять на сайте. Дополнительные сведения о рекомендациях по использованию детальных разрешений см. в статье, посвященной рекомендациям по использованию детально настроенных разрешений.

При остановке наследования происходит копирование групп, пользователей и уровней разрешений из родительского объекта в дочерний, а затем наследование отменяется. После отмены наследования все разрешения становятся явными и изменения, вносимые в родительский объект, не отражаются в дочернем. При восстановлении унаследованных разрешений дочерний объект наследует группы, пользователей и уровни разрешений от родительского, а уникальные для дочернего объекта пользователи, группы или уровни разрешения будут утеряны.

Для упрощения управления используйте наследование разрешений, где это возможно.

Совет

В случае отмены наследования и использования детальных разрешений рекомендуется применять группы, что позволит избежать необходимости отслеживать разрешения для отдельных пользователей. Например, пользователи могут переходить из группы в группу, их служебные обязанности могут часто изменяться, а это влечет за собой необходимость отслеживать эти изменения и постоянно обновлять разрешения для уникальных защищенных объектов; на подобные действия обычно уходит много времени (и повышается риск совершить ошибку).

Планирование разрешений сайта

При создании разрешений следует найти баланс между удобством администрирования, быстродействием и потребностью в управлении доступом к отдельным элементам. При частом использовании детальных разрешений управление ими будет отнимать все больше и больше времени, а скорость предоставления контента сайтом пользователям может начать падать.

При планировании разрешений сайта следует учитывать следующие рекомендации:

  1. Следуйте принципу предоставления минимальных прав: пользователи должны иметь только те уровни разрешений или отдельные разрешения, которые необходимы им для выполнения своих задач.

  2. Используйте стандартные группы (такие как "Владельцы", "Участники" и "Посетители") и управляйте разрешениями на уровне сайта.

    • Большинство пользователей следует отнести к группам "Посетители" или "Участники". По умолчанию пользователи, входящие в группу "Участники", могут управлять контентом сайта, добавляя или удаляя элементы и документы, однако им запрещено изменять структуру сайта, его параметры и внешний вид. Группа "Посетители" обладает доступом только для чтения сайта, то есть они могут просматривать страницы и элементы, открывать элементы и документы, но не могут добавлять или удалять страницы, элементы и документы.

    • Ограничьте число людей в группе "Владельцы". В эту группу должны входить только те пользователи, которым можно доверять изменять структуру, параметры и внешний вид сайта.

  3. Используйте уровни разрешений вместо назначения отдельных разрешений.

Примечание

  1. Чтобы увеличить степень контроля над действиями, которые могут предпринять пользователи, можно создать дополнительные группы SharePoint и уровни разрешений. Например, если уровень разрешений "Чтение" не должен включать разрешение "Создание оповещений" на определенном дочернем сайте, нарушьте наследование и настройте уровень разрешений "Чтение" для этого сайта.

  2. Microsoft SharePoint Foundation 2010 и SharePoint Server 2010 используют функцию Проверка разрешений для определения разрешений пользователя или группы на всех ресурсах семейства веб-сайтов. Проверив разрешения для конкретного сайта или контента сайта, можно узнать как разрешения, назначенные непосредственно пользователю, так и назначенные группам, членом которых пользователь является.

Планирование наследования разрешений

Управлять разрешениями намного легче, когда существует четкая иерархия разрешений и наследуемых разрешений. Однако эта задача становится труднее, если для некоторых списков сайта используются детальные разрешения, а также в том случае, когда у одних сайтов дочерние сайты обладают уникальными разрешениями, а у других сайтов — наследуемыми. Рекомендуется организовать структуру сайтов, дочерних сайтов и списков и библиотек таким образом, чтобы для максимально возможного числа объектов использовались одинаковые разрешения. Конфиденциальные данные следует хранить в отдельных списках, библиотеках или дочерних сайтах.

К примеру, сайтом с наследованием разрешений, указанным в следующей таблице, управлять довольно легко.

Защищаемый объект Описание Уникальные или наследуемые разрешения

Сайт A

Домашняя страница группы

Уникальные

Сайт A/дочерний сайт A

Конфиденциальная группа

Уникальные

Сайт A/дочерний сайт A/список A

Конфиденциальные данные

Уникальные

Сайт A/дочерний сайт A/библиотека A

Конфиденциальные документы

Уникальные

Сайт A/сайт B

Общие сведения проекта группы

Унаследованные

Сайт A/сайт B/список B

Не конфиденциальные данные

Унаследованные

Сайт A/сайт B/библиотека B

Не конфиденциальные документы

Унаследованные

Управлять же сайтом с наследованием разрешений, указанным в этой таблице, уже сложнее.

Защищаемый объект Описание Уникальные или наследуемые разрешения

Сайт A

Домашняя страница группы

Уникальные

Сайт A/дочерний сайт A

Конфиденциальная группа

Уникальные

Сайт A/дочерний сайт A/список A

Не конфиденциальные данные

Уникальные, но с такими же разрешениями, как для сайта А

Сайт A/дочерний сайт A/библиотека A

Не конфиденциальные документы, но с одним или двумя конфиденциальными документами

Унаследованные, с уникальными разрешениями на уровне документа

Сайт A/сайт B

Общие сведения проекта группы

Унаследованные

Сайт A/сайт B/список B

Не конфиденциальные данные, но с одним или двумя конфиденциальными элементами

Унаследованные, с уникальными разрешениями на уровне элемента

Сайт A/сайт B/библиотека B

Неконфиденциальные данные, но с особой папкой, содержащей конфиденциальные документы

Унаследованные, с уникальными разрешениями на уровне папки и документа