選擇要使用的安全性群組 (Office SharePoint Server)

  • 發行項

本文內容:

  • 決定用來授與網站存取權的 Windows 安全性群組和帳戶

  • 決定是否使用所有已驗證的使用者

  • 決定是否允許匿名使用者存取

  • 工作表

建議您將網站權限指定給群組,而不要指定給個別使用者,以便於管理使用者。在 Microsoft Active Directory 目錄服務中,常使用下列兩種群組類型組織使用者:

  • 通訊群組   僅用於電子郵件通訊但未啟用安全性的群組。通訊群組無法列在定義資源及物件權限所使用的任意存取控制清單 (DACL) 中。

  • 安全性群組   可以列在定義資源及物件權限所使用之任意存取控制清單 (DACL) 中的群組。安全性群組也可用為電子郵件實體。

您可利用直接新增安全性群組並授與整個群組權限的方式,使用安全性群組以控制網站的權限。雖不能以此方式使用通訊群組;但卻可以展開通訊群組清單,並將個別使用者新增至 SharePoint 群組。如使用此方法,即必須管理保持 SharePoint 群組與通訊群組同步處理的程序。如果使用安全性群組,就不需要管理 SharePoint 應用程式中的個別使用者。因為您已將安全性群組本身包含在內,而不是包含群組的個別成員,所以 Active Directory 會替您管理使用者。

決定用於授與網站存取權的 Windows 安全性群組及帳戶

每個組織設定 Windows 安全性群組的方式都不相同。若要以最簡單的方式管理權限,安全性群組應該:

  • 具有足夠的規模和穩定性,使您不需要經常新增其他群組到 SharePoint 網站。

  • 規模不致於過大,如此您才可以指定適當的權限。

例如,名稱為「2 館所有使用者」(all users in building 2) 的安全性群組,其規模可能太大,而無法指定權限,除非剛好 2 館的所有使用者都擁有相同的工作職責,例如應收帳款催收人員。但是這種狀況非常少見,因此您應該尋找一組人數較少的使用者,例如「應收帳款」(accounts receivable) 或其他較小、相關性較高的群組。

決定是否使用所有已驗證的使用者

如果您希望網域內的所有使用者都能夠檢視網站上的內容,請考慮授與所有已驗證的使用者存取權限 (亦即「網域使用者」Windows 安全性群組)。這個特殊的群組允許網域中所有成員存取網站 (按照您選擇的權限層級),不需要您啟用匿名存取。

決定是否允許匿名使用者存取

您可以啟用匿名存取,允許使用者以匿名方式檢視網頁。大部分的網際網路網站都允許匿名檢視網站,但若有人想要編輯網站或在購物網站購買商品,即可能會要求驗證。匿名存取必須在建立 Web 應用程式時,於 Web 應用程式層級授與。若允許 Web 應用程式匿名存取,則網站管理員可決定是否:

  • 授與網站的匿名存取權限。

  • 僅授與清單和文件庫的匿名存取權限。

  • 完全封鎖網站的匿名存取權限。

匿名存取依存於網頁伺服器上的匿名使用者帳戶。這個帳戶是由 Microsoft Internet Information Services (IIS) 建立及維護,而非 SharePoint 網站。根據 IIS 的預設,匿名使用者帳戶為 IUSR_ 電腦名稱。當您啟用匿名存取時,實際上等於是授與該帳戶存取 SharePoint 網站的權限。允許存取網站或存取清單及文件庫,即是將「檢視項目」權限授與匿名使用者帳戶。縱使具有「檢視項目」權限,但匿名使用者能執行的作業仍有限制。匿名使用者無法:

  • 使用 Microsoft Office SharePoint Designer 遠端程序呼叫 (RPC);換言之,他們不能開啟網站以 Office SharePoint Designer 進行編輯。他們也不能使用 DAV (Windows 的網頁資料夾通訊協定);換言之,他們不能檢視 [網路上的芳鄰] 中的網站。

  • 上載或編輯文件庫的文件,包括 wiki 文件庫。

    重要

    若要建立更安全的網站、清單或文件庫,請勿啟用匿名存取。啟用匿名存取可讓使用者回應清單、討論區和問卷,有可能耗盡伺服器磁碟空間和其他資源。此外,它允許匿名使用者探索網站資訊,包括使用者電子郵件地址和張貼在清單、文件庫和討論區的任何內容。

如果您在不同的區域 (網際網路、外部網路、內部網路、其他) 中擁有相同的 Web 應用程式服務內容,也可以設定匿名使用者在這些區域中的權限原則。以下清單描述這些原則:

  •    無任何原則。此為預設選項。網站匿名使用者不套用任何其他權限限制或新增。

  • 讀取   匿名使用者可閱讀內容,除非網站管理員關閉匿名存取。

  • 拒絕寫入   匿名使用者無法寫入內容,即使網站管理員特別嘗試授與匿名使用者帳戶該權限亦然。

  • 拒絕全部   匿名使用者沒有任何存取權限,即使網站管理員特別嘗試將其網站存取權授與匿名使用者帳戶亦然。

工作表

在網站及內容安全性工作表中 (https://go.microsoft.com/fwlink/?linkid=73135&clcid=0x404),列出要使用的安全性群組,及其在網站階層各層級中所需之權限層級。

下載本書

本主題隨附於下列可下載的叢書中,以便於閱讀與列印:

請參閱 Office SharePoint Server 2007 可下載的內容 (英文) 上提供的完整叢書清單。