确定要使用的权限级别和组 (Office SharePoint Server)
本文内容:
查看可用默认组
查看可用权限级别
确定是否需要其他权限级别或组
工作表
对于 Microsoft Office SharePoint Server 2007 中的网站和内容安全性而言,最重要的决策就是确定如何对用户进行分类以及分配什么样的权限级别。
可以利用几个默认提供的 SharePoint 组,帮助您根据用户需要执行的操作的类型对用户进行分类,但是,您可能有自己独特的需求,或者对于用户组有其他方式的考虑。同样,也存在一些默认的权限级别,但是,它们可能并非始终与您的组需要执行的任务完全一致。
在本文中,您将查看默认组和权限级别,并确定是按原样使用它们,还是对其进行自定义,或者是创建其他组和权限级别。
查看可用默认组
使用 SharePoint 组,您可以以组的形式管理用户而不是管理单个用户。SharePoint 组可以由许多单个用户组成,可以包含一个 Windows 安全组,也可以是单个用户和 Windows 安全组的某种组合。SharePoint 组不会授予对网站的任何特定权限;这些组只不过是包含一组用户的一种方式。您可以将用户组织成若干个组,或者只分为几个组,具体取决于您的组织的大小和网站的复杂程度。
下表列出了为 Office SharePoint Server 2007 中的网站创建的默认 SharePoint 组。
| 组名 | 默认权限级别 |
|---|---|
受限制读者 |
受限的网站读取权限(以及特定列表的受限访问权限) |
样式资源读者 |
母版页样式库读取权限以及有限的样式库读取权限。 |
查看者 |
仅查看 |
家庭访问者 |
读取 |
主成员 |
参与讨论 |
快速部署用户 |
参与快速部署项目库(以及网站其余部分的受限访问权限) |
审批者 |
审批(以及受限访问) |
设计者 |
设计 |
层次结构管理者 |
管理层次结构(以及受限访问) |
房主 |
完全控制 |
备注
受限访问权限级别用于授予组对特定列表、文档库、项目或文档的访问权限,而不授予他们对整个网站的访问权限。不要从上面列出的组中移除此权限级别。如果移除了此权限级别,组可能无法在网站中导航,因此无法获取他们需要与其交互的特定项目。
此外,还针对较高级别的管理任务提供了下列特殊用户和组:
网站集管理员 您可以将一个或多个用户指定为网站集主管理员或第二管理员。这些用户会作为网站集的联系人记录在数据库中,他们对网站集中的所有网站都具有完全控制权限,可以审核所有网站内容以及接收任何管理警报(例如验证网站是否仍在使用)。通常情况下,网站集管理员是在您创建网站时指定的,但是,可以根据需要使用“管理中心”网站或“网站设置”页更改网站集管理员。
服务器场管理员 控制哪些用户可以管理服务器和服务器场设置。Farm Administrators 组免去了这样一种需要:将用户添加到服务器的 Administrators 组,或添加到 Windows SharePoint Services 2.0 版中使用的 SharePoint Administrators 组。服务器场管理员默认情况下无权访问网站内容;他们必须获得网站的所有权才能查看任何内容。服务器场管理员可以通过将自己添加为网站集管理员来实现这一点,这种操作会记录在审核日志中。Farm Administrators 组仅在“管理中心”中使用,它对于任何网站均不可用。
管理员 本地服务器上 Administrators 组的成员可以执行所有服务器场管理员操作以及其他一些操作,包括:
安装新产品或应用程序。
将 Web 部件和新功能部署到全局程序集缓存。
创建新 Web 应用程序和新 IIS 网站。
启动服务。
与 Farm Administrators 组一样,本地服务器上 Administrators 组的成员默认情况下无权访问网站内容。
在确定所需的组后,您便可以确定要为网站上的每个组分配的权限级别。
| 工作表操作 |
|---|
使用自定义权限级别和组工作表(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=73134&clcid=0x804)(该链接可能指向英文页面)可以记录需要创建的任何组。 |
查看可用权限级别
能否查看、更改或管理特定网站是由您分配给用户或组的权限级别决定的。此权限级别控制对网站以及继承该网站权限的任何子网站、列表、文档库、文件夹、项目或文档的所有权限。如果没有适当的权限级别,您的用户可能无法执行他们的任务,或者,对于您不希望他们执行的任务,他们可能会获得相应的执行权限。
默认情况下,可以使用下列权限级别:
受限访问 包括允许用户查看特定列表、文档库、列表项、文件夹或文档的权限(如果授予)。
读取 包括允许用户查看网站页面上的项目的权限。
参与讨论 包括允许用户在网站页面上或列表和文档中添加项目或者更改项目的权限。
设计 包括允许用户使用浏览器或 Microsoft Office SharePoint Designer 2007 更改网站页面布局的权限。
审批 包括编辑和审批网页、列表项和文档的权限。
管理层次结构 包括对网站的权限以及编辑页面、列表项和文档的权限。
受限读取 包括查看页面和文档(但无法查看历史版本或用户权限信息)的权限。
完全控制 包括所有权限。
有关默认权限级别中包含的权限的详细信息,请参阅User permissions and permission levels。
确定是否需要其他权限级别或组
设计默认组和权限级别的目的是提供一个一般性的权限框架结构,以期涵盖大部分组织类型及其内部的角色。不过,这些默认组和权限级别可能不会准确映射到您的用户组织方式或您的用户可在网站上执行的各种任务。如果默认组和权限级别不适合您的组织,您可以创建自定义组、更改特定权限级别中包括的权限,也可以创建自定义权限级别。
是否需要自定义组?
确定创建自定义组的过程相当简单,并且这种决策对网站的安全性影响很小。实际上,如果符合下列任一情况,您应该创建自定义组而不是使用默认组:
您的组织内部的用户角色比默认组中的用户角色多(或少)。例如,如果除审批者、设计人员以及层次结构管理者外,还有一组人员的任务是向网站发布内容,则您可能需要创建一个“发布者”组。
组织内部在网站中执行不同任务的特定角色具有为人熟知的称呼。例如,如果您要创建一个公共网站来出售组织的产品,则可能需要创建一个“客户”组来代替“访问者”组或“查看者”组。
您希望保留 Windows 安全组和 SharePoint 组之间的一对一关系。(例如,您的组织有一个网站管理员安全组,并且您想要使用该名称作为一个组名以便轻松地在管理该网站时进行识别)。
您希望使用其他组名。
是否需要自定义权限级别?
确定是否自定义权限级别不如确定是否自定义 SharePoint 组那样简单。如果您自定义分配给特定权限级别的权限,则必须跟踪所做的自定义更改,验证该更改对受其影响的所有组和网站是否都起作用,并确保更改不会对安全性或者服务器容量或性能产生负面影响。
例如,对于安全性,如果您自定义了“参与讨论”权限级别,使其包括通常属于“完全控制”权限级别的“创建子网站”权限,则“参与者”组的成员可以创建和拥有子网站,他们可能会邀请恶意用户访问他们的子网站或发布未批准的内容。或者,对于容量,如果您自定义了“读取”权限级别,使其包括通常属于“参与讨论”权限级别的“创建警报”权限,则 Home Visitors 组的所有成员都可以创建警报,这可能会使服务器负载过大。
如果符合以下任一情况,您应该自定义默认权限级别:
默认权限级别包括除用户执行工作所需的权限以外的所有权限,而您希望添加该权限。
默认权限级别包括用户不需要的权限。
备注
如果组织对某个特定权限有安全性或其他方面的担心,并且希望分配有包含该特定权限的权限级别的所有用户都不能使用该权限,则不应该自定义默认权限级别。在这种情况下,您应对服务器场中的所有 Web 应用程序都禁用此权限,而不是更改所有权限级别。若要管理 Web 应用程序的权限,请在管理中心的“应用程序管理”页上的“应用程序安全性”部分,单击“Web 应用程序的用户权限”。
如果需要对特殊权限级别进行多处更改,最好创建一个包含所需全部权限的自定义权限级别。
如果符合下列任一情况,则您可能需要创建其他权限级别:
您希望从特定权限级别中排除几个权限。
您希望为新权限级别定义一组独特的权限。
若要创建权限级别,您可以复制现有权限级别然后进行更改,也可以创建权限级别然后选择要包括的权限。
备注
某些权限依赖于其他权限。如果清除了另一个权限所依赖的权限,则也将清除另一个权限。
| 工作表操作 |
|---|
使用自定义权限级别和组工作表(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=73134&clcid=0x804)(该链接可能指向英文页面)可以记录要自定义或创建的任何权限级别。 |
工作表
使用下面的工作表确定要使用的权限级别和组:
下载此书籍
本主题包含在以下可下载书籍内,以方便您阅读和打印:
有关可下载书籍的完整列表,请参阅 Office SharePoint Server 2007 的可下载书籍。