确定要使用的权限级别和组 (SharePoint Server 2010)
适用于: SharePoint Foundation 2010, SharePoint Server 2010
上一次修改主题: 2016-11-30
本文介绍默认组和权限级别,并帮助您确定是按原样使用它们,还是对其进行自定义,或者是创建其他组和权限级别。
本文内容:
查看可用默认组
查看可用权限级别
确定是否需要其他权限级别或组
对于 Microsoft SharePoint Server 2010 中的网站和内容安全性而言,最重要的决策就是如何对用户进行分类以及分配什么样的权限级别。
查看可用默认组
利用 SharePoint 组,您可以按组管理用户而不是管理单个用户。这些组既可以包含许多单个用户,也可以包含任何企业身份识别系统的内容,其中包括 Active Directory 域服务 (AD DS)、基于 LDAPv3 的目录、应用程序特定数据库和新的以用户为中心的身份识别模型(如 LiveID)。SharePoint 组不会授予对网站的特定权限;这些组只不过是指定一组用户的一种方式。您可以将用户组织成任意数量的组,具体取决于您的组织或网站的大小和复杂程度。SharePoint 组不能嵌套。
下表显示了为 SharePoint Server 2010 中的工作组网站创建的默认组。
| 组名 | 默认权限级别 |
|---|---|
Viewers |
仅查看 |
Visitors |
读取 |
Members |
参与讨论 |
Designers |
设计 |
Owners |
完全控制 |
如果您使用的是工作组网站模板以外的网站模板,您将看到不同的默认 SharePoint 组列表。例如,下表显示了发布网站模板所提供的其他组。
| 组名 | 默认权限级别 |
|---|---|
受限制读者 |
受限的网站读取权限以及特定列表的受限访问权限 |
样式资源读者 |
母版页样式库读取权限以及受限的样式库读取权限 |
快速部署用户 |
参与快速部署项目库的权限以及网站其余部分的受限访问权限 |
审批者 |
审批权限以及受限访问权限 |
层次结构管理者 |
管理层次结构的权限以及受限访问权限 |
此外,还针对较高级别的管理任务提供了下列特殊用户和组:
Site collection administrators 您可以将一个或多个用户指定为网站集主管理员和第二管理员。这些用户会作为网站集的联系人记录在数据库中,他们对网站集中的所有网站都具有完全控制权限,可以审核所有网站内容以及接收任何管理警报(例如验证网站是否仍在使用)。网站集管理员是在创建网站时指定的,但是,您可以根据需要使用网站集的管理中心网站或网站设置页更改网站集管理员。AD DS 组和角色不能作为网站集管理员进行添加。
备注
网站集管理员对网站集内的所有网站具有完全权限。他们可以添加或删除网站,或者更改网站集内任何网站的设置。此外,他们还可以查看、添加、删除或更改那些网站的所有内容。他们可以在网站内添加和移除用户,并向那些网站发送邀请。网站集所有者是唯一能够接收事件(例如挂起不活动网站的自动删除操作)的电子邮件通知的用户。默认情况下,网站集所有者还接收来自已被拒绝访问的用户的访问请求。
Farm administrators 该组可控制哪些用户可以管理服务器和服务器场设置。服务器场管理员默认情况下无权访问网站内容;他们必须获得网站的所有权才能查看任何内容。Farm Administrators 组仅在管理中心中使用,而不适用于任何网站。
Administrators 本地服务器上 Administrators 组的成员可以执行所有服务器场管理员操作以及其他操作,其中包括以下操作:
安装新产品或应用程序。
将 Web 部件和新功能部署到全局程序集缓存。
创建新 Web 应用程序和新 IIS 网站。
启动服务。
与 Farm Administrators 组一样,本地服务器上 Administrators 组的成员默认情况下无权访问网站内容。
在确定需要的组后,您便可以确定要为网站上每个组分配的权限级别。
查看可用权限级别
能否查看、更改或管理网站是由您分配给用户或组的权限级别决定的。此权限级别可控制对网站以及继承该网站权限的任何子网站、列表、文档库、文件夹、项目或文档的所有权限。如果没有适当的权限级别,您的用户可能无法执行他们的任务,或者,他们可能会执行您不希望他们执行的任务。
默认情况下,可以使用下列权限级别:
受限访问 包括允许用户查看特定列表、文档库、列表项、文件夹或文档的权限,而不提供访问网站所有元素的权限。您不能直接编辑此权限级别。
备注
如果移除此权限级别,即使组成员对网站内的项目有适当的权限,他们可能也无法导航到该网站以访问这些项目。
读取 包括允许用户查看网站页面上的项目的权限。
参与讨论 包括允许用户在网站页面上或列表和文档库中添加项目或者更改项目的权限。
设计 包括允许用户使用浏览器或 Microsoft SharePoint Designer 2010 更改网页版式的权限。
完全控制 包括所有权限。
默认情况下,下列附加权限级别通过发布模板提供:
仅查看 包括允许用户查看页面、列表项目和文档的权限。
审批 包括编辑和审批网页、列表项和文档的权限。
管理层次结构 包括对网站的权限以及编辑页面、列表项和文档的权限。
受限读取 包括查看页面和文档(但无法查看历史版本或用户权限信息)的权限。
确定是否需要其他权限级别或组
默认组和权限级别可提供一个常规权限框架结构,以此涵盖许多不同组织类型及其内部的角色。不过,这些默认组和权限级别可能不会准确映射到您的用户组织方式或您的用户可在网站上执行的许多不同任务。如果默认组和权限级别不适合您的组织,您可以创建自定义组、更改特定权限级别中包括的权限,也可以创建自定义权限级别。
是否需要自定义组?
确定是否创建自定义组的过程相当简单,并且这种决策对网站的安全性影响很小。如果符合下列任一情况,您应该创建自定义组而不是使用默认组:
您的组织内部的用户角色比默认组中的用户角色多(或少)。例如,如果除审批者、设计人员以及层次结构管理者外,还有一组人员的任务是向网站发布内容,则您可能需要创建一个“发布者”组。
组织内部在网站中执行不同任务的特定角色具有为人熟知的称呼。例如,如果您要创建一个公共网站来出售组织的产品,则可能需要创建一个“客户”组来代替“访问者”组或“查看者”组。
您希望保留 Windows 安全组和 SharePoint 组之间的一对一关系(例如,如果您的组织有一个名为网站管理员的安全组,并且您希望将该名称用作 SharePoint 组名以便在管理该网站时轻松识别)。
您希望使用其他组名。
是否需要自定义权限级别?
确定是否自定义权限级别不如确定是否自定义 SharePoint 组那样简单。如果您要自定义分配给某权限级别的权限,则必须跟踪该更改,验证该更改对受其影响的所有组和网站是否都起作用,并确保更改不会对安全性或者服务器容量或性能产生负面影响。
例如,如果您自定义了参与讨论权限级别,使其包括通常属于完全控制权限级别的创建子网站权限,则 Contributors 组的成员就可以创建和拥有子网站,他们可能会邀请恶意用户访问他们的子网站或发布未批准的内容。如果您自定义了读取权限级别,使其包括通常属于完全控制权限级别的查看使用率数据权限,则 Visitors 组的所有成员都可以查看使用率数据,这可能会引发性能问题。
如果符合下列任一情况,您应该自定义默认权限级别:
默认权限级别包括除用户执行工作所需的权限以外的所有权限,而您希望添加该权限。
默认权限级别包括用户不需要的权限。
重要
如果组织对属于权限级别的某个特定权限有安全性或其他方面的担心,则不应自定义默认权限级别。如果您希望分配了包含该权限的权限级别的所有用户都不能使用该权限,请对服务器场中的所有 Web 应用程序禁用此权限,而不是更改所有权限级别。
如果需要对某权限级别进行多处更改,请创建一个包含所需全部权限的自定义权限级别。
如果符合下列任一情况,您可能需要创建其他权限级别:
您希望从特定权限级别中排除几个权限。
您希望为新权限级别定义一组独特的权限。
若要创建权限级别,您可以复制现有权限级别然后进行更改,也可以创建权限级别然后选择要包括的权限。
备注
某些权限依赖于其他权限。如果清除了另一个权限所依赖的权限,也将清除另一个权限。