Определение требуемых уровней разрешений и групп (SharePoint Foundation)

 

Применимо к: SharePoint Foundation 2010

Последнее изменение раздела: 2016-11-30

В данном обзоре рассматриваются группы и уровни разрешений по умолчанию, после ознакомления с которыми можно принять решение, использовать ли их "как есть", настроить их или добавить новые группы и уровни разрешений для повышения уровня безопасности.

Содержание:

  • Обзор доступных групп по умолчанию

  • Обзор доступных уровней разрешений

  • Определение потребности в дополнительных уровнях разрешений или группах

Наиболее важное решение, касающееся безопасности сайта и контента в Microsoft SharePoint Foundation 2010, состоит в распределении пользователей по категориям и присвоении им уровней разрешений.

В SharePoint есть несколько групп по умолчанию, с помощью которых можно распределить пользователей по категориям в зависимости от вида их деятельности, но могут существовать и другие особенные требования или подходы к группированию пользователей. Кроме того, существуют также уровни разрешений по умолчанию, которые не всегда в точности соответствуют задачам, стоящим перед группами.

В данной статье рассматриваются группы и уровни разрешений по умолчанию, после ознакомления с которыми можно принять решение, использовать ли их "как есть", настроить их или создать другие группы и уровни разрешений.

Обзор доступных групп по умолчанию

В случае с группами SharePoint речь идет об управлении группами пользователей, а не отдельными пользователями. Группы SharePoint могут состоять из нескольких индивидуальных пользователей, могут включать в себя одиночную группу безопасности Windows или могут являться комбинацией этих двух вариантов. Группы SharePoint не предоставляют никаких особых прав на сайте; это всего лишь способ объединения нескольких пользователей. В зависимости от размера и сложности организации или веб-сайта можно распределить пользователей по нескольким группам.

В следующей таблице приведены группы, создаваемые для сайтов в SharePoint Foundation 2010.

Имя группы Уровень разрешений по умолчанию

Посетители <имя сайта>

Чтение

Участник <имя сайта>

Участие

Владельцы <имя сайта>

Полный доступ

Кроме того, для решения задач администрирования более высокого уровня доступны следующие особые пользователи и группы:

  • Администраторы семейства сайтов   Одного или нескольких пользователей можно назначить главными и дополнительными администраторами семейства сайтов. Эти пользователи записаны в базе данных как контактные лица для данного семейства сайтов, они имеют полный доступ ко всем сайтам данного семейства, могут проверять контент сайта и получать любые административные предупреждения (например, проверять, используется ли данный сайт). Обычно администраторы семейства сайтов назначаются при создании сайта, но в случае необходимости их можно заменить через веб-сайт центра администрирования или страницы параметров сайта.

  • **Администраторы фермы   **Эти лица определяют, какие пользователи могут управлять сервером и параметрами фермы серверов. Наличие группы администраторов фермы исключает необходимость добавления пользователей в группу администраторов для сервера. По умолчанию администраторы фермы не имеют доступа к контенту сайта. Для просмотра контента они должны стать владельцами сайта, добавив себя в качестве администраторов семейства сайтов (эта операция регистрируется в журналах аудита). Группа администраторов фермы используется только в центре администрирования и недоступна для сайтов.

  • **Администраторы   **Члены группы администраторов на локальном сервере могут выполнять все операции администратора фермы и ряд других, в том числе следующие:

    • Установка новых продуктов или приложений.

    • Развертывание веб-частей и новых функций в глобальном кэше сборок.

    • Создание новых веб-приложений и веб-сайтов IIS.

    • Запуск служб.

    Члены группы администраторов на локальном сервере, как и члены группы администраторов фермы, по умолчанию не имеют доступа к контенту сайта.

После формирования необходимых групп определите уровни разрешений, которые должны быть присвоены каждой группе на сайте.

Обзор доступных уровней разрешений

Возможность просматривать или изменять конкретный сайт, а также управлять им, определяется уровнем разрешений, присвоенным пользователю или группе. Этот уровень разрешений указывает все разрешения для данного сайта и всех дочерних сайтов, списков, библиотек документов, папок, а также элементов или документов, которые наследуют разрешения сайта. Без соответствующих уровней разрешений пользователи могут оказаться неспособными решить поставленные перед ними задачи или смогут выполнять задачи, которые не были предназначены для них.

По умолчанию доступны следующие уровни разрешений:

  • **Ограниченный доступ   **Включает в себя разрешения, позволяющие пользователям просматривать конкретные списки, библиотеки документов, элементы списков, папки или документы при предоставлении разрешений.

  • **Чтение   **Включает в себя разрешения, позволяющие пользователям просматривать элементы на страницах сайта.

  • **Участие   **Включает в себя разрешения, позволяющие пользователям добавлять или изменять элементы на страницах сайта или в списках и библиотеках документов.

  • **Проектирование   **Включает в себя разрешения, позволяющие пользователям изменять макет веб-страниц с помощью браузера или Microsoft Office SharePoint Designer 2007.

  • **Полный доступ   **Включает все разрешения.

Определение необходимости дополнительных уровней разрешений или групп

Группы и уровни разрешений предназначены для того, чтобы сформировать общую структуру разрешений, охватывающую широкий спектр типов организаций и ролей в этих организациях. В то же время эта структура может не отражать во всех подробностях конкретные особенности организации или все разнообразие задач, которые выполняют пользователи сайтов. Если группы и уровни разрешений по умолчанию не соответствуют потребностям организации, можно создать пользовательские группы, изменить разрешения, включенные в конкретные уровни разрешений, либо создать пользовательские уровни разрешений.

Потребность в пользовательских группах

Решение создать пользовательские группы является вполне очевидным и мало повлияет на безопасность сайта. По существу, создание пользовательских групп вместо использования групп по умолчанию целесообразно в следующих ситуациях:

  • В организации имеется больше (или меньше) ролей пользователей, чем предусмотрено в группах по умолчанию. Например, если кроме разработчиков в организации имеется ряд сотрудников, в задачу которых входит публикация контента на сайте, может оказаться полезной группа "Издатели".

  • В организации имеются широко известные названия уникальных ролей, решающих совершенно различные задачи. Например, если создается общедоступный сайт для продажи продукции организации, может оказаться полезной группа "Клиенты", создаваемая вместо групп "Посетители" или "Наблюдатели".

  • Есть необходимость сохранить однозначное соответствие между группами безопасности Windows и группами SharePoint. (Например, в организации имеется группа безопасности для управляющих веб-сайтов, и требуется использовать это имя как имя группы для простоты идентификации при управлении сайтом).

  • Вы предпочитаете другие имена групп.

Потребность в пользовательских уровнях разрешений

Решение о создании пользовательских уровней разрешений менее очевидно, чем решение о создании пользовательских групп SharePoint. При изменении разрешений, присвоенных конкретному уровню разрешений, необходимо понимать последствия такого изменения, проверить, как оно повлияет на все группы и сайты, имеющие отношение к этому изменению, а также убедиться, что данное изменение не окажет отрицательного влияния на безопасность или на работоспособность и производительность сервера.

Например, с точки зрения безопасности, если уровень разрешений "Участие" изменяется таким образом, чтобы включить разрешение "Создание дочерних узлов", которое обычно относится к уровню разрешений "Полный доступ", то "Участники" смогут создавать свои собственные дочерние веб-сайты, приглашать на них злонамеренных пользователей или помещать нежелательный контент. Что касается работоспособности, то если уровень разрешений "Чтение" изменяется таким образом, чтобы включить разрешение "Создание оповещений", которое обычно относится к уровню разрешений "Участие", все члены группы "Посетители" смогут создавать оповещения и это может привести к перегрузке серверов.

Изменение настройки уровней разрешений по умолчанию целесообразно в следующих ситуациях:

  • Уровень разрешений по умолчанию включает все разрешения, кроме одного, которое необходимо пользователям для выполнения их работы, и вы хотите добавить это разрешение.

  • Уровень разрешений по умолчанию включает разрешение, в котором пользователи не нуждаются.

    Примечание

    Не следует изменять настройку уровней разрешений по умолчанию, если конкретное разрешение имеет для организации большое значение по соображениям безопасности или каким-либо другим причинам и это разрешение должно быть недоступно для всех пользователей, которым присвоен этот уровень разрешений или другие уровни, включающие в себя данное разрешение. В этом случае следует просто отключить это разрешение для всех веб-приложений в ферме серверов, а не изменять все уровни разрешений.

Если требуется внести несколько изменений в конкретный уровень разрешений, лучше создать пользовательский уровень разрешений, включающий все необходимые разрешения.

Создание дополнительных уровней разрешений может оказаться целесообразным в следующих ситуациях:

  • Необходимо исключить несколько разрешений из конкретного уровня разрешений.

  • Необходимо определить уникальный набор разрешений для нового уровня разрешений.

Чтобы создать уровень разрешений, можно скопировать существующий уровень разрешений и внести в него изменения или создать уровень разрешений и выбрать необходимые разрешения.

Примечание

Некоторые разрешения зависят от других разрешений. При удалении разрешения, имеющего зависимые разрешения, зависимые элементы также удаляются.