Выбор групп безопасности (SharePoint Foundation 2010)

  • Статья

 

Применимо к: SharePoint Foundation 2010

Последнее изменение раздела: 2016-11-30

В этой статье описываются группы безопасности и рассылки, из которых состоят доменные службы Active Directory® (ADDS). Здесь также представлены рекомендации по использованию этих групп для организации пользователей сайтов SharePoint.

Содержание:

  • Добавление групп безопасности

  • Определение групп безопасности, которые будут использоваться для предоставления доступа к сайтам

  • Принятие решения о предоставлении доступа всем пользователям, прошедшим проверку подлинности

  • Принятие решения о предоставлении доступа анонимным пользователям

Введение

Чтобы упростить управление пользователями сайтов SharePoint, рекомендуется назначать уровни разрешений группам, а не отдельным пользователям. Группа SharePoint представляет собой набор отдельных пользователей и может также включать группы Active Directory. В службе каталогов Active Directory для организации пользователей обычно используются следующие группы:

  • Группа рассылки   Незащищаемая группа, которая используется только для рассылки электронной почты. Группы рассылки не могут быть указаны в списках управления доступом на уровне пользователей (DACL), используемых для определения разрешений на ресурсы и объекты.

  • Группа безопасности   Группа, которая может быть указана в списках управления доступом на уровне пользователей (DACL). Группа безопасности также может быть использована в качестве сущности электронной почты.

С помощью групп безопасности можно осуществлять управление разрешениями для веб-сайта путем добавления групп безопасности в группы SharePoint и предоставления разрешений группам SharePoint. Добавление групп рассылки в группы SharePoint невозможно, однако можно расширить список рассылки и добавить отдельных участников в группу SharePoint. При использовании этого способа необходимо вручную управлять процессом синхронизации группы SharePoint с группой рассылки. При использовании групп безопасности не требуется управлять отдельными пользователями в приложении SharePoint. Поскольку используется группа безопасности, а не отдельные участники группы, управление пользователями осуществляется службой каталогов Active Directory.

Примечание

Для упрощения управления безопасностью при управлении группами Active Directory не рекомендуется:

  • назначать уровни разрешений непосредственно для групп Active Directory;

  • добавлять группы безопасности, содержащие вложенные группы безопасности, контакты или списки рассылки.

Добавление групп безопасности

Добавление групп безопасности в группы SharePoint обеспечивает централизованное управление группами и безопасностью. Группа безопасности — это единственное место, где осуществляется управление отдельными пользователями. После добавления группы безопасности в группу SharePoint управлять членами группы безопасности в этой группе SharePoint не нужно. Если пользователь удаляется из группы безопасности, он будет автоматически удален из группы SharePoint.

Однако группы безопасности в SharePoint не обеспечивают полной прозрачности происходящего. Например, при добавлении группы безопасности в группу SharePoint для определенного сайта, этот сайт не появляется в личных сайтах пользователя. Отдельные пользователи не отображаются в списке сведений о пользователях, пока они не совершат какое-либо действие на сайте. Кроме того, группы безопасности с многими уровнями вложения могут нарушить работу сайтов SharePoint.

Учитывая данные преимущества и недостатки, предлагаются следующие рекомендации.

  • Для сайтов в интрасети, которые часто посещаются пользователями компании, можно использовать группы безопасности, поскольку вести учет отдельных пользователей, посетивших домашнюю страницу сайта в интрасети не нужно.

  • Для сайтов совместной работы с небольшой аудиторией, пользователей следует добавлять непосредственно в группы SharePoint, поскольку важнее знать, кто является членом, чтобы члены группы знали электронную почту и контактные данные друг друга.

Определение групп безопасности, которые будут использоваться для предоставления доступа к сайтам

В каждой организации группы безопасности настраиваются по-своему. Чтобы упростить процесс управления разрешениями, группы безопасности должны быть:

  • Достаточно большими и с относительно постоянными составом, чтобы администратору не приходилось постоянно добавлять дополнительные группы безопасности для сайтов SharePoint.

  • Достаточно маленькими, чтобы можно было назначать соответствующие разрешения

Например, группа безопасности под названием "все пользователи в здании 2", по всей видимости, не является достаточно маленькой для назначения разрешений, если только все пользователи в здании 2 не имеют одинаковые должности (например, должность "бухгалтер"). В реальных ситуациях такие совпадения случаются редко, поэтому следует ориентироваться на небольшие, более конкретные наборы пользователей, например "Бухгалтеры".

Принятие решения о предоставлении доступа всем пользователям, прошедшим проверку подлинности

Если все пользователи домена должны иметь возможность просматривать контент сайта, рекомендуется предоставить доступ всем пользователям, прошедшим проверку подлинности (группа безопасности Windows "Пользователи домена"). Эта особая группа предоставляет всем членам домена доступ к веб-сайту (на выбранном уровне разрешений), избавляя от необходимости разрешать анонимный доступ.

Принятие решения о предоставлении доступа анонимным пользователям

Администратор может разрешить анонимный доступ, который позволяет пользователям просматривать страницы анонимно. Большинство веб-сайтов Интернета разрешают анонимный просмотр, но при необходимости изменить веб-сайт или совершить покупку в интернет-магазине может потребоваться прохождение проверки подлинности. Анонимный доступ по умолчанию запрещен и должен предоставляться на уровне веб-приложения во время его создания.

Если анонимный доступ разрешен для веб-приложения, то администраторы сайта могут сами решать, предоставлять ли анонимный доступ к сайту или какому-либо контенту сайта.

Анонимный доступ осуществляется на основе учетной записи анонимного пользователя на веб-сервере. Эта учетная запись создается и поддерживается службами Microsoft IIS, а не сайтом SharePoint. По умолчанию в службах IIS учетной записью анонимного пользователя является IUSR. При разрешении анонимного доступа этой учетной записи предоставляется доступ к сайту SharePoint. При разрешении доступа к сайту, спискам или библиотекам разрешение на просмотр элементов предоставляется учетной записи анонимного пользователя. Однако даже при наличии разрешения на просмотр элементов действия анонимных пользователей ограничены. Анонимные пользователи не могут выполнять следующие действия:

  • Открытие сайтов для внесения изменений в Microsoft Office SharePoint Designer.

  • Просмотр сайтов в области "Мое сетевое окружение".

  • Передача или изменение документов в библиотеках документов, в том числе в вики-библиотеках.

    Важно!

    Для обеспечения безопасности сайтов, списков или библиотек анонимный доступ необходимо запретить. Разрешение анонимного доступа позволяет пользователям добавлять или изменять контент в списках, обсуждениях и опросах, что может повлечь за собой использование дискового пространства сервера и других ресурсов. Анонимный доступ также позволяет анонимным пользователям получать сведения на сайте, включая адреса электронной почты пользователей, а также любой контент в списках, библиотеках и обсуждениях.

Политики разрешений предоставляют централизованный способ настройки и управления набором разрешений, которые применяются только к подмножеству пользователей или групп в веб-приложении. Управлять политикой разрешений для анонимных пользователей можно путем включения и отключения анонимного доступа для веб-приложения. Если анонимный доступ к веб-приложению разрешен, администраторы сайта могут предоставлять или отклонять анонимный доступ на уровне семейства сайтов, сайта или элемента. Если аномнимный доступ к веб-приложению запрещен, анонимные пользователи не смогут зайти ни на один сайт в веб-приложении.

  • Отсутствует   Ни одна из политик не используется. Этот параметр установлен по умолчанию. Никакие дополнительные ограничения или добавления в отношении разрешений не применяются к анонимным пользователям сайта.

  • Запретить запись   Анонимные пользователи не могут выполнять запись контента, даже если администратор сайта намеренно предпримет попытку предоставить такое разрешение учетной записи анонимного пользователя.

  • Запретить все   Анонимные пользователи не могут иметь никакого доступа, даже если администратор сайта намеренно предпримет попытку предоставить учетной записи анонимного пользователя доступ к сайтам.

Дополнительные сведения о политиках разрешений см. в статье Manage permission policies for a Web application (SharePoint Foundation 2010).