规划安全角色 (Windows SharePoint Services)
本文内容:
服务器场级管理
网站级别的管理
工作表
两级管理模型是 Windows SharePoint Services 3.0 中的一项新功能,它将配置和管理任务集中到一处,使各管理角色能相互区分,并允许将管理任务委派和分配给组织中的合适人员。此管理模型中的增强功能可以帮助 IT 组织更高效地执行管理任务。可以使用此管理模型和 SharePoint 组,根据组织中的特定角色来只授予执行特定任务所需的权限。为了更有效地使用此两级管理模型,许多组织都在每一级中指定了特定的管理角色。本文讨论了每一级中的管理角色,您可以使用它们来帮助管理您的解决方案。
以下列表说明了每个管理级别。
级别 1:服务器场级管理员 此级别中的管理员是顶级管理员,并且对服务器场中的所有服务器都具有权限和责任。成员可以在“SharePoint 管理中心”网站中为服务器或服务器场执行所有管理任务。
级别 2:网站集管理员 网站集管理员具有其网站集的“完全控制”权限级别。
Windows SharePoint Services 3.0 为如何分配管理角色提供了灵活性。在集中式管理模型中,可以将许多个角色分配给组织中的一个或两个人。或者,在分布式管理模型中,可以将特定的角色委派给组织中的不同人员。
服务器场级管理
服务器场级管理通常由以下角色执行:
服务器场管理员
服务器级别的管理员
服务器场管理员
服务器场管理员对服务器场中的所有服务器都具有权限和责任。SharePoint 组“Farm Administrators”取代了在 Windows SharePoint Services 2.0 版本中使用的 SharePoint Administrators 组。无需将 Farm Administrators 组的成员添加到每台服务器的 Administrators 组中。服务器场管理员是承载“管理中心”的计算机上的 WSS_WPG 和 WSS_RESTRICTED_WPG 组的成员,并且具有该环境中所有服务器的“完全控制”权限级别。默认情况下,Administrators 组的成员是 SharePoint 组“Farm Administrators”的成员。
Farm Administrators 组的成员具有广泛的管理“管理中心”网站的能力,但是在执行某些操作(即创建 Internet Information Services (IIS) 网站、创建或删除 SharePoint Web 应用程序、更新帐户密码或 Windows 服务)时会受到限制,原因是 IIS 和 Microsoft .NET Framework 中存在某些约束。默认情况下,Farm Administrators 组的成员没有各个网站或其内容的管理权限。但是,他们可以控制特定的网站集以查看任何内容。例如,如果某网站集管理员离开组织,并且必须添加一个新管理员,则服务器场管理员可以将自己添加为网站集管理员,此操作会记录在审核日志中。作为一种最佳方案,我们建议您在完成必需的网站级别的活动之后删除服务器场管理员对网站集的权限。Farm Administrators 组仅在管理中心中使用,它对于任何网站均不可用。
备注
尽管具有“管理中心”网站的“完全控制”权限级别的任何人都可以从“管理中心”网站中删除 SSP Web 应用程序,但我们强烈反对这样做,因为它会导致 SSP 不能工作。如果删除此 Web 应用程序,唯一的解决办法是从最新的备份中还原 SSP。有关如何从备份中还原的详细信息,请参阅管理 Windows SharePoint Services 3.0 技术的备份和恢复。
备注
请仔细选择向谁授予本地数据库服务器计算机上 Administrators 组中的成员资格以及向谁授予 Microsoft SQL Server 中固定数据库角色和固定服务器角色中的成员资格。这是因为上述组和角色对 SharePoint 产品和技术配置数据库具有“完全控制”权限级别。
下表列出 Farm Administrators 组的成员可以执行的任务。
| SharePoint 组 | 角色默认情况下是否存在? | 可以执行此任务 | 不能执行此任务 |
|---|---|---|---|
服务器场管理员 |
是 |
在“管理中心”中执行管理任务 获取任何内容网站的所有权。 |
管理各个网站或网站内容,除非他们获取网站的所有权。 |
有关 Farm Administrators 组的详细信息,请参阅选择管理层次结构的管理员和所有者 (Windows SharePoint Services)。
服务器级别的管理员
本地服务器计算机上的 Administrators 组的成员会自动添加到 Farm Administrators 组,并且可以执行所有服务器场管理员的操作。Administrators 组是一个 Windows 组,不是 SharePoint 组,但本地计算机上的 Administrators 组在 Windows SharePoint Services 3.0 中执行某些管理任务。像服务器场管理员一样,本地计算机上的 Administrators 组的成员默认情况下没有网站内容的管理权限。但是,如有必要,他们可以控制特定的网站集。为了取得控制权,他们可以通过使用“管理中心”中的“网站集管理员”页将自己添加为网站集管理员。
下表说明服务器级别的管理员角色。
| 组 | 角色默认情况下是否存在? | 可以执行此任务 | 不能执行此任务 |
|---|---|---|---|
管理员 |
是。默认情况下存在的 Windows 组;不是 SharePoint 组。 |
安装产品。 创建新的 Web 应用程序和新的 Internet Information Services (IIS) 网站。 启动服务。 将 Web 部件和新功能部署到全局程序集缓存。 在“管理中心”中执行所有服务器场级的任务(假设“管理中心”网站位于本地计算机上)。 运行 Stsadm 命令行工具。 备注 成为服务器级别的管理员是运行 Stsadm 命令行工具的一个先决条件。取决于您实际运行的命令,您可能需要额外的权限。例如,如果您运行 stsadm.exe –o deleteweb,该命令需要帐户具有对包含 Web 应用程序的内容数据库的写入权限。 |
管理各个网站或网站内容。 管理数据库。 |
网站级别的管理
网站级别的管理包括以下角色:
网站集管理员
网站所有者
网站集管理员
网站集管理员具有网站集中所有网站和内容的“完全控制”权限级别。在网站集级别中,网站集管理员通过首要网站的“网站设置”页管理各种设置(例如网站集功能、网站集审核设置和网站集策略)。当您创建网站集时,可以指定网站集的主管理员和第二管理员。网站集管理员是在内容数据库中具有一个标志的用户,此标志指出他们可以在网站集中执行所有任务,包括网站集的特定网站的所有任务。可以通过几种方法来更改此标志:使用“管理中心”中的“网站集管理员”页,在首要网站上使用“网站设置”页,或者通过 Stsadm 命令行工具使用网站所有者操作。通常情况下,您在创建网站时指定网站集管理员,但可以根据需要在“管理中心”中或通过使用“网站设置”页来更改这些管理员。
下表说明网站集管理员角色。
| SharePoint 组 | 角色默认情况下是否存在? | 可以执行此任务 | 不能执行此任务 |
|---|---|---|---|
网站集管理员 |
是 |
|
访问“管理中心”网站。 |
网站所有者
网站所有者是那些已明确获授予网站的“完全控制”权限级别的用户 — 直接获授予,或者通过成为具有网站的“完全控制”权限级别的 SharePoint 组(例如 Owners 组)的成员而获授予。网站所有者仅可以执行与网站相关而不是与整个网站集相关的任务。
备注
创建网站的用户自动添加到网站的 Owners 组中。
下表说明网站所有者可以执行的任务。
| SharePoint 组 | 角色默认情况下是否存在? | 可以执行此任务 | 不能执行此任务 |
|---|---|---|---|
网站名称 所有者 |
是 |
仅为网站而不是为整个网站集执行管理。 为文档、列表和库执行管理任务。 |
访问“管理中心”网站。 执行网站集管理任务,例如从第二阶段回收站还原项目和管理网站层次结构。 |
有关网站级别的管理的详细信息,请参阅选择管理层次结构的管理员和所有者 (Windows SharePoint Services)。
工作表
下载此书籍
本主题包含在以下可下载书籍内,以方便您阅读和打印:
有关可下载书籍的完整列表,请参阅 Windows SharePoint Services 的可下载书籍(该链接可能指向英文页面)。