管理共享服务管理网站的权限
共享服务管理网站是一个网站集,其中包含共享服务提供程序 (SSP) 的共享服务设置的管理页。若要管理 Microsoft Office SharePoint Server 2007 的任何共享服务,则需要针对网站的“仅查看”权限,并且在默认情况下会创建一个具有此权限的查看者组。网站集管理员和其他具有网站的“完全控制”权限的用户可以向网站添加其他用户并管理其网站权限。网站集管理员还可以为自定义管理页和网站集上的其他内容的用户添加“设计”和“参与讨论”权限。
通常,一个用户或少数几个用户将成为网站集管理员或具有“完全控制”权限。网站集管理员从查看者组中选择一个或多个具有“仅查看”权限的其他用户作为一个或多个共享服务的管理员。
本文内容:
共享服务管理网站的默认权限
安装完成后管理权限
使用管理中心帐户向共享服务管理网站添加用户
任务要求
共享服务管理网站的默认权限
在 Microsoft Office SharePoint Server 2007 的安装过程中会创建共享服务管理网站。对于基本安装,安装过程中会将一个帐户用作默认的服务器场管理员帐户和共享服务管理网站的管理员。基本安装会自动使用默认的服务器场管理员帐户创建 SSP 和共享服务管理网站。
备注
在基本安装中,服务器场管理员帐户将成为共享服务管理网站的网站集管理员。
在服务器场安装中,可以将这些管理员帐户分配给两个单独的帐户,如下所示:
默认的服务器场管理员帐户用于在安装过程中创建 Web 应用程序,包括共享服务管理网站的 Web 应用程序和应用程序池。服务器场管理员帐户必须是承载共享服务管理网站的服务器上的本地 Administrators 组的成员。如果服务器场管理员帐户不是本地 Administrators 组的成员,则无法创建 Web 应用程序。
服务器场管理员可以添加另一个服务器场管理员帐户,此独立帐户可用于创建 SSP(包括共享服务管理网站的 SSP 数据库和网站集)。随后此帐户会成为共享服务管理网站的网站集管理员。此帐户具有对共享服务管理网站的“完全控制”权限,并获得了针对个性化服务和业务数据目录的所有服务权限。
备注
建议创建这两个单独帐户。在大多数服务器场安装中,将由不同的用户负责服务器场管理和共享服务管理,而使用两个独立的帐户时可通过限制任一帐户的授权权限来帮助提高安全性。
共享服务管理网站的网站管理员帐户无法访问 SharePoint 管理中心网站,并无法写入配置数据库,这有助于保证安全性。
服务器场管理员帐户具有对配置数据库、管理中心和 SSP 数据库的完全读/写访问权,但不具有对共享服务管理网站的任何权限。用于创建 SSP 的服务器场管理员帐户具有对共享服务管理网站的“完全控制”权限。添加到 Farm Administrators 组的其他帐户不具有对共享服务管理网站的任何权限。下表中概括了这些权限。
帐户 | 配置数据库 | SharePoint 管理中心网站 | SSP 数据库 | 共享服务管理网站 |
---|---|---|---|---|
服务器场管理员 |
完全控制 |
完全控制 |
完全控制 |
无权限(用于创建 SSP 的帐户以及创建了 Web 应用程序的策略的情况除外) |
SSP 管理员 |
无权限 |
无权限 |
完全控制 |
完全控制 |
备注
尽管对 SharePoint 管理中心网站具有“完全控制”权限的任何人(包括服务器场管理员)都可以从管理中心网站中删除 SSP Web 应用程序,但我们强烈建议不这样做,因为这会导致 SSP 不能工作。如果删除此 Web 应用程序,唯一的解决办法是从最新的备份中还原 SSP。有关如何从备份中还原的详细信息,请参阅备份和还原整个服务器场 (Office SharePoint Server 2007)。
完成安装之后,共享服务管理网站的默认网站集管理员可以向一个或多个共享服务的管理员授予网站的“仅查看”权限。任何具有网站的“仅查看”权限的用户可以管理个性化服务中的目标链接并管理搜索和 Excel Services。具有其他服务权限的用户可以管理权限、用户配置文件、“我的网站”、访问群体和使用率报告。请注意,这些管理任务都不需要网站管理员权限。此外,在安装后网站集管理员还会向其他用户授予服务权限。有关服务权限的详细信息,请参阅管理个性化服务的权限和管理业务数据目录的授权。
安装完成后管理的权限
网站集管理员和其他具有“完全控制”权限的用户可以随时添加其他网站集管理员。与任何其他网站的网站集管理员一样,他们还可以创建和管理 SharePoint 组、在组中添加或删除用户以及直接添加或删除权限。可用的权限为:“完全控制”、“设计”、“参与讨论”、“读取”和“仅查看”。
建议采用以下做法:
应只将“完全控制”权限授予网站集管理员。具有对网站的完全控制权的人员应越少越好。
备注
在具有“管理权限”权限的用户向新的网站集管理员授予服务权限之前,该管理员不具有任何服务权限。对于上述情况,用于创建 SSP 和共享服务管理网站的网站集的服务器场管理员帐户和任何具有共享服务管理网站的 Web 应用程序策略中的“完全控制”权限的帐户不适用。这些帐户被授予了所有服务权限。
应对大多数其他用户授予“仅查看”权限。如果用户还具有所需的服务权限,则对于该用户而言,此权限足以用来访问管理页。
如果用于自定义管理页或批准网站上的内容的帐户与网站集管理员帐户不同,则仅应对这些帐户授予“设计”和“参与讨论”权限。如果不需要自定义或内容审批,请不要使用这些组。
通常情况下不需要额外组,应仅当具有以下特定业务需求时创建额外组:共享服务管理网站需要其他权限集,而非默认组中提供的权限集。
请注意,至少具有对共享服务管理网站的“仅查看”权限的任何用户都可以管理针对搜索、Excel Calculation Services 和目标链接的配置的共享服务设置。用户必须具有额外的服务权限,才能管理导入连接、用户配置文件、访问群体或使用率报告。有关服务权限的详细信息,请参阅管理个性化服务的权限和管理业务数据目录的授权。
使用服务器场管理员帐户向共享服务管理网站添加用户
共享服务管理网站的网站集管理员可以在任何组中添加或删除任何帐户,包括其个人帐户。这会导致任何用户都不是网站集管理员且再不能管理网站的权限,甚至会导致任何用户都不具有对网站的任何权限。网站集管理员应避免执行此操作。但如果发生此情况,可使用服务器场管理员帐户为网站添加网站集管理员。如果删除所有用户的“管理权限”权限,则服务器场管理员也可以向网站添加服务权限。
任务要求
以下各项是执行此任务的过程中所必需的:
- 管理员必须是共享服务管理网站上的网站管理员。
若要管理 SSP 管理网站的权限,可以执行以下过程: