決定所要使用的權限等級與群組 (SharePoint Server 2010)

適用版本： SharePoint Foundation 2010, SharePoint Server 2010

上次修改主題的時間： 2016-11-30

本文說明預設群組及權限等級，並協助您決定是否要使用原預設、加以自訂，或是要建立不同的群組及權限等級。

本文內容：

• 檢閱可用的預設群組

• 檢閱可用的權限等級

• 決定您是否需要其他權限等級或群組

在 Microsoft SharePoint Server 2010 中，有關網站及內容安全性最重要的決定，就是如何分類您的使用者，以及所要指派的權限等級。

檢閱可用的預設群組

SharePoint 群組可讓您管理一組使用者，而不是管理個別使用者。這些群組可包含許多個別使用者，也可包含任何公司識別系統的內容，包括 Active Directory 網域服務 (AD DS)、LDAPv3 目錄、應用程式特定的資料庫，以及以使用者為中心的新身分識別模型，例如 LiveID。SharePoint 群組不會授與網站特定權限，而是指定一組使用者。您可以依據貴組織或網站的大小及複雜度，將使用者分類成任意數量的群組。SharePoint 群組不可以是巢狀的。

下表顯示為 SharePoint Server 2010 中的小組網站建立的預設群組。

若使用小組網站範本以外的網站範本，將會看到不同的預設 SharePoint 群組清單。例如，下表顯示發佈網站範本所提供的其他群組。

此外，下列特殊使用者和群組可用於較高層級的管理員工作：

• 網站集合管理員   您可以指定一或數名使用者擔任主要及次要網站集合管理員。這些使用者在資料庫中會記錄成網站集合的連絡人，具有網站集合中所有網站的完全控制權，並可稽核所有網站內容，以及接收所有管理提醒 (例如驗證網站是否仍在使用中)。建立網站時，即會指定網站集合管理員，但您可以視需要使用管理中心網站或網站集合的 [網站設定] 頁面加以變更。無法將 AD DS 群組與角色新增為網站集合管理員。

  注意

  網站集合管理員對網站集合內的所有網站具有完整權限。他們可以新增或刪除網站或變更網站集合內任意網站的設定。此外，他們也可檢視、新增、刪除或變更在這些網站內的所有內容。他們可以從網站新增及移除使用者，以及傳送邀請給這些網站。網站集合擁有者是唯一可以接收事件 (如擱置已停用網站的自動刪除) 之電子郵件通知的使用者。網站集合擁有者預設也會接收來自已拒絕存取之使用者的存取要求。

• **伺服器陣列管理員   **此群組控制可以管理伺服器及伺服器陣列設定的使用者。伺服器陣列管理員預設無權存取網站內容；若要檢視任何內容，必須先取得網站的擁有權。伺服器陣列管理員群組只可用於管理中心，而無法供其他網站使用。

• **管理員   **本機伺服器上之管理員群組的成員，可以執行所有的伺服器陣列管理員動作及其他動作，包括：

  • 安裝新產品或應用程式。

  • 部署網頁組件及新功能至全域組件快取。

  • 建立新 Web 應用程式及新 IIS 網站。

  • 啟動服務。

  根據預設，如同伺服器陣列管理員群組，本機伺服器上的管理員群組成員並沒有網站內容的存取權。

決定需要的群組之後，確定要指派給網站上各群組的權限等級。

檢閱可用的權限等級

檢視、變更或管理網站的能力，取決於您指派給使用者或群組的權限等級。此權限等級控制了網站及繼承該網站權限之子網站、清單、文件庫、資料夾與項目或文件的所有權限。若無適當的權限等級，使用者可能無法執行工作，或可以執行您無意讓其執行的工作。

根據預設，可用的權限等級如下：

• **限制存取   **包含的權限可讓使用者檢視特定的清單、文件庫、清單項目、資料夾或文件，而不需授與網站上所有元素的存取權。您無法直接編輯此權限等級。

  注意

  若移除此權限等級，即使群組成員具有網站內任何項目的適當權限，也無法瀏覽網站以存取項目。

• 讀取   包含的權限可讓使用者檢視網站頁面上的項目。

• 參與   包含的權限可讓使用者新增或變更網站頁面上或清單及文件庫中的項目。

• 設計   包含的權限可讓使用者使用瀏覽器或 Microsoft SharePoint Designer 2010 變更網站頁面上的版面配置。

• **完全控制   **包含所有權限。

根據預設，發佈範本會提供下列其他權限等級：

• **僅供檢視   **包含的權限可讓使用者檢視頁面、清單項目及文件。

• **核准   **包含編輯與核准頁面、清單項目和文件的權限。

• **管理階層   **包含對網站和編輯頁面、清單項目和文件的權限。

• **受限制的讀取   **包含檢視頁面和文件的權限，但是無法檢視歷史版本或使用者權限資訊。

決定您是否需要其他權限等級或群組

預設的群組與權限等級只提供權限的一般架構，以便能夠涵蓋組織中各種不同的組織類型與角色。但其可能無法完全對應到您組織使用者的方式，或無法讓您的使用者可以在網站上執行各種工作。若預設群組與權限等級不適合貴組織，可以建立自訂群組、變更特定權限等級所包含的權限，或建立自訂的權限等級。

您需要自訂群組嗎？

您可以逕行決定是否要建立自訂群組，因為其對於網站安全性的影響不大。通常在下列情況下應建立自訂群組，而不要使用預設群組：

• 您組織中的使用者角色比預設群組中顯示的更多 (或更少)。例如，若除了核准者、設計師和階層管理者，您還有一組人的工作是要發佈內容至網站，您可能會想要建立發佈者群組。

• 您組織中有特有的角色且具有眾所熟悉的名稱，他們在網站上執行很不一樣的工作。例如，若您要建立公用網站來銷售組織的產品，您可能會想要建立客戶群組來取代訪客或檢視者。

• 您想保留 Windows 安全性群組與 SharePoint 群組間的一對一關係。例如，若貴組織擁有稱為「網站管理員」的安全性群組，而您希望以此名稱為 SharePoint 群組名稱，以便於管理網站時的識別之用。

• 您偏好其他群組名稱。

您需要自訂權限等級嗎？

與自訂 SharePoint 群組相較，決定自訂權限等級需要比較多的考量。若要自訂指派給權限等級的權限，必須追蹤變更，確認自訂項目適用於所有受到變更所影響的群組及網站，以確保變更對於安全性或伺服器的功能或效能不會造成負面的影響。

例如，若自訂參與權限等級，使其包含通常隸屬於完全控制權限等級的建立子網站權限，參與者群組的成員可以建立及擁有子網站，而且可能會邀請惡意的使用者來他們的子網站，或是張貼未經核准的內容。或者若自訂讀取權限等級，使其包含通常隸屬於完全控制權限等級的檢視流量資料權限，則訪客群組的所有成員都可以檢視流量資料，而可能導致效能問題。

下列任一種狀況均應自訂預設權限等級：

• 預設權限等級包括所有權限，但是使用者需要用來執行其工作的權限除外，而您想要新增該權限。

• 預設權限等級包含使用者不需要的權限。

  重要

  若貴組織對於屬於其他權限等級的特定權限有安全性或其他方面的考量，即不應自訂預設權限等級。若要讓所有獲指派該權限等級或包含該權限之等級的所有使用者，皆無法使用該權限，則應針對伺服器陣列內的所有 Web 應用程式關閉此權限，而非變更所有的權限等級。

如果您需要對權限等級進行數項變更，請建立一個含有您需要之所有權限的自訂權限等級。

下列任一種情況皆可能會讓您想要建立其他權限等級：

• 您想要將數個權限從特定權限等級中排除。

• 您想要為新的權限等級定義一組獨特的權限。

若要建立權限等級，您可以複製現有的權限等級，然後加以變更，或者您可以建立權限等級，然後選取您想要包含的權限。