规划网站权限 (SharePoint Server 2010)
适用于: SharePoint Foundation 2010, SharePoint Server 2010
上一次修改主题: 2016-11-30
本文将帮助您制定网站集、网站、子网站和网站内容(列表或库、文件夹、项目或文档)级别的访问控制计划。此外,本文还介绍有关权限继承和细化权限的概念。
本文不介绍如何制定整个服务器或服务器场的安全计划。有关规划安全性的其他方面的详细信息,请参阅规划身份验证方法 (SharePoint Server 2010)。
本文内容:
关于网站权限
关于权限继承
规划网站权限
制定权限继承计划
简介
通过在网站集内的以下级别,针对特定网站或网站内容向用户或组分配权限,您可以控制对网站和网站内容的访问:
网站
库或列表
文件夹
文档或项目
在制定网站和内容访问计划之前,应考虑下列问题:
对于网站或网站内容,您希望以什么样的粒度来控制权限?例如,您是希望控制网站级别的访问,还是需要对特定列表、文件夹或项目使用限制性更强的安全设置。
如何使用 SharePoint 组对用户分类以及管理用户?在针对特定网站或特定网站内容为组分配权限级别之前,组没有任何权限。当您在网站集级别向 SharePoint 组分配权限级别后,默认情况下,所有网站和网站内容都将继承那些权限级别。
有关使用组来帮助管理权限的详细信息,请参阅选择安全组 (SharePoint Server 2010)。
关于网站权限
在设计权限计划之前,应先了解下列概念。
权限 权限允许用户执行特定操作。例如,利用“查看项目”权限,用户可以查看列表或文件夹中的项目,但不能添加或移除项目。可在网站或网站内容级别向单个用户授予权限。
有关可用权限的信息,请参阅用户权限和权限级别 (SharePoint Server 2010)。
细化权限 细化权限是位于网站层次结构中较低级别的安全对象的唯一权限,例如列表或库、文件夹、项目或文档的权限。使用细化权限,可以更加精确地控制和自定义网站集中的用户权限。
权限级别 权限级别是允许用户执行一组相关任务的权限集合。例如,“读取”权限级别包括“查看项目”、“打开项目”、“查看网页”和“查看版本”等权限,它们都是查看 SharePoint 网站中的网页、文档和项目所必需的。单个权限可以包含在多个权限级别中。
权限级别在网站集级别定义,并且可由其权限级别包含“管理权限”权限的任何用户或组进行自定义。有关自定义权限级别的详细信息,请参阅配置自定义权限 (SharePoint Server 2010)。
默认权限级别为“受限访问”、“读取”、“参与讨论”、“设计”和“完全控制”。有关默认权限级别和每个级别中包含的权限的信息,请参阅用户权限和权限级别 (SharePoint Server 2010)。
SharePoint 组 SharePoint 组是为了简化权限管理而在网站集级别定义的用户组。每个 SharePoint 组均分配有默认权限级别。例如,默认 SharePoint 组为“所有者”、“访问者”和“成员”,其默认权限级别分别为“完全控制”、“读取”和“参与讨论”。具有“完全控制”权限的任何人均可创建自定义组。
用户 用户是拥有用户帐户的人员,此用户帐户可来自 Web 应用程序支持的任何身份验证提供程序。虽然您可以直接向单个用户授予对网站或特定内容的权限,但我们建议您向组而不是用户分配权限。因为维护单个用户帐户缺乏效率,您应该只在例外情况下对每个用户分配权限。
安全对象 安全对象是针对其向用户或组分配权限级别的网站、列表、库、文件夹、文档或项目。默认情况下,网站内的所有列表和库均继承该网站的权限。您可以使用列表级、文件夹级和项目级权限进一步控制哪些用户能够查看网站内容或与之交互。在针对该安全对象更改或分配权限之前,必须先断开权限继承关系。您可以随时恢复为从父列表或父网站继承权限。
可以针对特定安全对象向用户或组分配权限。各个用户或组对不同的安全对象可以拥有不同的权限。下图演示权限、用户和组以及安全对象之间的关系。
.gif "特定的权限级别")
关于权限继承
网站内安全对象的权限默认情况下从父对象继承。您可以断开继承关系并使用细化权限(列表或库、文件夹、项目或文档级别的唯一权限)更加精确地控制用户能够在网站上执行的操作。有关使用细化权限的最佳实践的详细信息,请参阅使用细化权限的最佳实践
停止继承权限可将组、用户和权限级别从父对象复制到子对象,然后断开继承关系。当断开继承关系时,所有权限都是显式的,对父对象所做的任何更改均不会影响子对象。如果恢复继承权限,子对象将再次从父对象那里继承其用户、组和权限级别,这样您将会丢失子对象特有的任何用户、组或权限级别。
为了简化管理,请尽可能使用权限继承。
提示
如果选择断开继承关系并使用细化权限,则应使用组,以避免必须跟踪各个用户的麻烦。由于团队中的成员及其责任会经常变动,因此跟踪那些变动并更新唯一安全对象的权限相当耗时,且容易出错。
规划网站权限
在创建权限后,必须在兼顾易管理性和性能的同时实现单个项目的访问权限控制。如果大量使用细化权限,则需要花费更多的时间来管理权限,并且用户在尝试访问网站内容时会感到运行速度下降。
使用下列指导原则规划网站权限:
遵循使用最小特权原则:用户只应拥有执行其分配的任务所需的权限级别或单个权限。
使用标准组(例如 Members、Visitors 和 Owners)并在网站级别控制权限。
让大多数用户成为 Members 或 Visitors 组的成员。默认情况下,Members 组中的用户可以通过添加或移除项目或文档参与网站的创作,但他们不能更改网站的结构、网站设置或外观。Visitors 组对网站拥有只读访问权限,这意味着他们可查看页面和项目,打开项目和文档,但不能添加或移除页面、项目或文档。
限制 Owners 组中的人数。只将您希望其更改网站结构、设置或外观的那些用户添加到 Owners 组中。
使用权限级别而不是分配单个权限。
备注
-
如果需要更好地控制用户可执行的操作,您可以创建更多的 SharePoint 组和权限级别。例如,如果您不希望特定子网站的读取权限级别包括“创建通知”权限,请断开继承关系并自定义该子网站的读取权限级别。
-
Microsoft SharePoint Foundation 2010 和 SharePoint Server 2010 使用“检查权限”来确定网站集内所有资源的用户或组权限。现在您可以通过检查特定网站或网站内容的权限,来查找直接分配的用户权限以及分配给用户所在的任何组的权限。
制定权限继承计划
如果权限以及继承的权限的层次结构非常清晰,则权限的管理会更加容易。如果网站内的某些列表应用了细化权限,一些网站的子网站具有唯一权限,而另一些网站的子网站具有继承的权限,这时管理起来就困难得多。应尽可能安排好网站和子网站以及列表和库,使它们能够共享大多数权限。请将敏感数据置于单独的列表、库或子网站中。
例如,管理下表所示的具有权限继承关系的网站会容易得多。
| 安全对象 | 说明 | 独特的权限或继承的权限 |
|---|---|---|
SiteA |
组主页 |
独特 |
SiteA/SubsiteA |
敏感组 |
独特 |
SiteA/SubsiteA/ListA |
敏感数据 |
独特 |
SiteA/SubsiteA/LibraryA |
敏感文档 |
独特 |
SiteA/SubsiteB |
组共享的项目信息 |
继承 |
SiteA/SubsiteB/ListB |
非敏感数据 |
继承 |
SiteA/SubsiteB/LibraryB |
非敏感文档 |
继承 |
但是,管理下表中所示的具有权限继承关系的网站就不那么容易了。
| 安全对象 | 说明 | 独特的权限或继承的权限 |
|---|---|---|
SiteA |
组主页 |
独特 |
SiteA/SubsiteA |
敏感组 |
独特 |
SiteA/SubsiteA/ListA |
非敏感数据 |
与 SiteA 相同的独特权限 |
SiteA/SubsiteA/LibraryA |
非敏感文档,但是有一两个敏感文档 |
继承权限,在文档级别有独特权限 |
SiteA/SubsiteB |
组共享的项目信息 |
继承 |
SiteA/SubsiteB/ListB |
非敏感数据,但是有一两个敏感项目 |
继承权限,在项目级别有独特权限 |
SiteA/SubsiteB/LibraryB |
非敏感文档,但是有一个包含敏感文档的特殊文件夹 |
继承权限,在文件夹和文档级别有独特权限 |