选择要使用的安全组 (Office SharePoint Server)

  • 项目

本文内容:

  • 确定用于授予对网站的访问权限的 Windows 安全组和帐户

  • 决定是否使用所有经身份验证的用户

  • 决定是否允许匿名用户访问

  • 工作表

为便于用户管理,建议为组而非单个用户分配网站权限。在 Microsoft Active Directory 目录服务中,以下两类组通常用于管理用户:

  • 通讯组   仅用于电子邮件分发并且未启用安全的组。通讯组不能在用于定义对资源和对象的权限的自由访问控制列表 (DACL) 中列出。

  • 安全组   可在用于定义对资源和对象的权限的自由访问控制列表 (DACL) 中列出的组。安全组也可用作电子邮件实体。

可以通过直接添加安全组并授予整个组权限来使用安全组以控制网站的权限。不能按照这种方式使用通讯组;但是,可以展开通讯组列表并将单个用户添加到 SharePoint 组。如果使用此方法,则必须管理用于保持 SharePoint 组与通讯组同步的过程。如果使用安全组,则无需管理 SharePoint 应用程序中的单个用户。由于包含的是安全组本身而不是组的单个成员,因此 Active Directory 将为您管理用户。

确定用于授予对网站的访问权限的 Windows 安全组和帐户

每个组织将按照不同的方式设置其 Windows 安全组。对于最简单的权限管理,安全组应:

  • 足够大而稳定,这样就无需不断地将其他组添加到 SharePoint 网站。

  • 足够小,这样就可以分配适当的权限。

例如,称作“建筑物 2 中的所有用户”的安全组可能不够小,而无法分配权限,除非建筑物 2 中的所有用户都具有相同的工作职能(例如,应收帐款职员)。由于这种情况很少见,因此应查找较小的用户组(例如,“应收帐款”)或某些其他更小的、高度关联的组。

决定是否使用所有经身份验证的用户

如果希望域中的所有用户都能够查看网站上的内容,请考虑对所有经身份验证的用户(域用户 Windows 安全组)授予访问权限。此特殊的组允许域中的所有成员访问网站(位于所选权限级别),而无需启用匿名访问。

决定是否允许匿名用户访问

可以启用匿名访问来允许用户以匿名方式查看网页。大多数 Internet 网站允许以匿名方式查看网站,但当某个用户要编辑网站或在购物网站上购物时可能要求对其进行身份验证。在创建 Web 应用程序时,必须授予 Web 应用程序级别的匿名访问。如果允许对 Web 应用程序进行匿名访问,则网站管理员可以决定是否:

  • 授予对网站的匿名访问权限。

  • 仅授予对列表和库的匿名访问权限。

  • 完全阻止对网站的匿名访问。

匿名访问依赖于 Web 服务器上的匿名用户帐户。此帐户由 Microsoft Internet Information Services (IIS)(而非 SharePoint 网站)创建和维护。默认情况下,在 IIS 中,匿名用户帐户为 IUSR_ 计算机名。当您启用匿名访问时,您实际上是向该帐户授予针对 SharePoint 网站的访问权限。允许访问网站、列表和库将向匿名用户帐户授予“查看项目”权限。然而,即使具有“查看项目”权限,对于匿名用户可以执行的操作也存在着限制。匿名用户无法执行以下操作:

  • 使用 Microsoft Office SharePoint Designer 远程过程调用 (RPC);换句话说,他们不能在 Office SharePoint Designer 中打开网站进行编辑。也不能使用 DAV(Windows 中的 Web 文件夹协议);换句话说,他们不能查看网上邻居中的网站。

  • 上载或编辑文档库(包括 Wiki 库)中的文档。

    Important重要说明:

    若要创建更安全的网站、列表或库,请不要启用匿名访问。启用匿名访问将允许用户编写列表、讨论和调查表,可能耗尽服务器磁盘空间和其他资源。此外,它允许匿名用户查找网站信息,包括用户电子邮件地址以及张贴到列表、库和讨论的任何内容。

如果在不同的区域中有相同的 Web 应用程序提供内容,则也可以为不同的区域(Internet、Extranet、Intranet 及其他)的匿名用户设置权限策略。下面的列表中描述了这些策略:

  • 无   无策略。这是默认选项。未对网站匿名用户进行附加权限限制或添加权限。

  • 读取   匿名用户可以读取内容,除非网站管理员关闭匿名访问。

  • 拒绝写入   匿名用户不能写入内容,即使网站管理员专门尝试为匿名用户帐户授予此权限。

  • 全部拒绝   匿名用户不具有任何访问权限,即使网站管理员专门尝试为匿名用户帐户授予对其网站的访问权限。

工作表

在“网站和内容安全”工作表(https://go.microsoft.com/fwlink/?linkid=73135&clcid=0x804,该连接可能指向英文页面)上,列出您将使用的安全组和在网站层次结构的每个级别上需要的权限级别。

下载此书籍

本主题包含在以下可下载书籍内,以方便您阅读和打印:

有关可下载书籍的完整列表,请参阅 Office SharePoint Server 2007 的可下载书籍