規劃網站權限 (SharePoint Server 2010)
適用版本: SharePoint Foundation 2010, SharePoint Server 2010
上次修改主題的時間: 2016-11-30
本文可協助您規劃網站集合、網站、子網站和網站內容 (清單或文件庫、資料夾、項目或文件) 層級的存取控制。本文也會說明權限繼承及微調權限的概念。
本文並沒有說明如何規劃整個伺服器或伺服器陣列的安全性。如需規劃安全性其他面向的詳細資訊,例如驗證方法和驗證模式,請參閱<規劃驗證方法 (SharePoint Server 2010)>。
本文內容:
關於網站權限
關於權限繼承
規劃網站權限
規劃權限繼承
簡介
若要控制網站及網站內容的存取權,您可以將網站集合中,下列層級之特定網站或網站內容的權限,指派給使用者或群組。
網站
文件庫或清單
資料夾
文件或項目
在開發網站及內容存取的計劃時,應考量下列問題:
對於網站或網站內容權限的控制,要精細到什麼程度?例如,您可能想要控制網站層級的存取,或是對特定清單、資料夾或項目,需要比較嚴格的安全性設定。
您要如何使用 SharePoint 群組以分類及管理使用者?群組在獲派特定網站或特定網站內容的權限層級之前,並不具任何權限。當您在網站集合層級指派權限層級給 SharePoint 群組時,所有網站及網站內容會依預設繼承那些權限層級。
如需使用群組以協助管理權限的詳細資訊,請參閱<選擇安全性群組 (SharePoint Server 2010)>。
關於網站權限
您必須先了解下列概念,才能設計權限計劃。
權限 權限授與使用者執行特定動作的能力。例如,「檢視項目」權限可讓使用者檢視清單或資料夾中的項目,但無法新增或移除項目。可在網站或網站內容層級授與權限給個別使用者。
如需可用權限的相關資訊,請參閱<使用者權限與權限等級 (SharePoint Server 2010)>。
微調權限 微調權限是對網站階層中較低層級之安全物件的特有權限,例如對清單或文件庫、資料夾、項目或文件的權限。微調權限可針對網站集合中的使用者權限進行更細微的調整及自訂。
權限層級 權限層級是可讓使用者執行一組相關工作的權限集合。例如,「讀取」權限層級包括「檢視項目」、「開啟項目」、「檢視頁面」及「檢視版本」權限 (及其他),全部皆為檢視 SharePoint 網站中的頁面、文件及項目所需。權限可包含在多個權限層級中。
權限層級定義於網站集合層級,而且凡是權限層級中包含「管理權限」權限的任何使用者或群組,皆可自訂權限層級。如需自訂權限層級的詳細資訊,請參閱<設定自訂權限 (SharePoint Server 2010)>。
預設的權限層級包括「限制存取」、「讀取」、「參與」、「設計」及「完全控制」。如需預設權限層級和各層級所含權限的詳細資訊,請參閱<使用者權限與權限等級 (SharePoint Server 2010)>。
SharePoint 群組 SharePoint 群組是為了方便管理權限,而在網站集合層級定義的使用者群組。每個 SharePoint 群組都會獲派預設的權限層級。例如,預設的 SharePoint 群組包括「擁有者」、「訪客」及「成員」,其各別的預設權限層級為「完全控制」、「讀取」及「參與」。具有「完全控制」權限的任何人,都可以建立自訂群組。
使用者 使用者可以是具有 Web 應用程式支援的任何驗證提供者所提供之使用者帳戶的人員。雖然您可以直接授與個別使用者權限給網站或特定內容,但仍建議您將權限指派給群組,而不要指派給使用者。由於維護個別使用者帳戶的效率不佳,因此應只在例外狀況時,才指派權限給個別使用者。
安全物件 安全物件是可將其權限層級指派給使用者或群組的網站、清單、文件庫、資料夾、文件或項目。依預設,網站內的所有清單及文件庫都會繼承該網站的權限。您可以使用清單層級、資料夾層級和項目層級權限,進一步控制哪些使用者可以檢視網站內容或與之互動。您必須先中斷權限繼承,才能為該安全物件變更或指派權限。您可以隨時恢復繼承父項清單或網站的權限。
您可以將特定安全物件的權限指派給使用者或群組。個別使用者或群組可以針對不同的安全物件,擁有不同的權限。下列圖表說明權限、使用者和群組,以及安全物件之間的關係。
.gif "特定授權層級")
關於權限繼承
依預設,對網站內安全物件的權限會繼承父物件。您可以中斷繼承,並使用微調權限 (對清單或文件庫、資料夾、項目或文件層級的唯一權限),更精確地控制使用者可在網站上執行的動作。如需使用微調權限最佳作法的詳細資訊,請參閱使用微調權限的最佳作法。
停止繼承權限會將群組、使用者及權限層級從父物件複製到子物件,然後再中斷繼承。當權限繼承中斷時,所有權限都很明確,而對父物件進行的任何變更,都不會影響子物件。若您還原繼承的權限,子物件會再繼承父物件的使用者、群組及權限層級,而您將會失去子物件特有的任何使用者、群組或權限層級。
為方便管理,請儘可能使用權限繼承。
提示
如果您選擇中斷繼承,並使用微調權限,則應使用群組,以避免必須追蹤個別使用者。因為人員經常出入小組及變更職責,所以針對特別保護的物件追蹤那些變更及更新權限,會很耗時,而且容易出錯。
規劃網站權限
當您建立權限時,必須在管理的方便性與效能,以及控制個別項目存取的需求之間取得平衡。若擴大使用微調的權限,將會花較多的時間管理權限,而且使用者在嘗試存取網站內容時,效能會變慢。
請使用下列準則以規劃網站權限:
請遵循基本權限的原則:使用者應只有執行其指派工作所需的權限等級或個別權限。
請使用標準群組 (如成員、訪客和擁有人) 並控制網站層級的權限。
請將大部分使用者成員指派為「成員」或「訪客」群組。「成員」群組中的使用者預設都可以參與網站 (藉由新增或移除項目或文件),但是無法變更結構、網站設定或網站的外觀。「訪客」群組具有網站的唯讀權限,這表示他們可以檢視頁面與項目,以及開啟項目與文件,但不可以新增或移除頁面、項目或文件。
限制「擁有人」群組中的人數。只有您信任可變更網站之結構、設定或外觀的使用者,才應加入「擁有人」群組。
使用權限層級,而不要指派個別權限。
注意
-
若需要進一步控管使用者能夠採取的動作,則可以建立其他 SharePoint 群組和權限等級。例如,若不想讓特定子網站的「讀取」權限等級包括「建立提醒」權限,請中斷繼承,並為該子網站自訂「讀取」權限等級。
-
Microsoft SharePoint Foundation 2010 及 SharePoint Server 2010 使用 [檢查權限] 以判斷使用者或群組對網站集合內所有資源的權限。您現在可以藉由檢查特定網站或網站內容的權限,以尋找使用者直接指派的權限,以及指派給使用者為其成員之任何群組的權限。
規劃權限繼承
如果權限與繼承的權限有清楚的階層,會比較容易管理權限。當網站內如有某些清單套用微調權限,以及當某些網站的子網站使用唯一權限,而某些其他網站使用繼承的權限時,就會比較困難。請儘可能安排網站和子網站,以及清單和程式庫,讓它們可以共用大部分的權限。將機密資料分隔成它們自己的清單、文件庫或子網站。
例如,管理具有權限繼承的網站會容易很多,如下表說明。
| 安全物件 | 描述 | 唯一或繼承的權限 |
|---|---|---|
SiteA |
群組首頁 |
唯一 |
SiteA/SubsiteA |
機密群組 |
唯一 |
SiteA/SubsiteA/ListA |
機密資料 |
唯一 |
SiteA/SubsiteA/LibraryA |
機密文件 |
唯一 |
SiteA/SubsiteB |
群組共用專案資訊 |
繼承 |
SiteA/SubsiteB/ListB |
非機密資料 |
繼承 |
SiteA/SubsiteB/LibraryB |
非機密文件 |
繼承 |
不過,要管理具有權限繼承的網站並不那麼容易,如下表所示。
| 安全物件 | 描述 | 唯一或繼承的權限 |
|---|---|---|
SiteA |
群組首頁 |
唯一 |
SiteA/SubsiteA |
機密群組 |
唯一 |
SiteA/SubsiteA/ListA |
非機密資料 |
唯一但權限與 SiteA 相同 |
SiteA/SubsiteA/LibraryA |
非機密文件,但具有一或兩份機密文件 |
繼承,具有文件層級的唯一權限 |
SiteA/SubsiteB |
群組共用專案資訊 |
繼承 |
SiteA/SubsiteB/ListB |
非機密資料,但具有一或兩個機密項目 |
繼承,具有項目層級的唯一權限 |
SiteA/SubsiteB/LibraryB |
非機密文件,但具有內含機密文件的特殊資料夾 |
繼承,具有資料夾和文件層級的唯一權限 |