在 SharePoint Server 中決定權限層級及群組
適用于:
2013 2019 訂閱版本 
Microsoft 365 中的 SharePoint
SharePoint 群組是一組能夠同時受到管理的使用者。 權限等級是一組能夠針對特定安全物件而指派給特定群組的權限。 SharePoint 群組及權限等級是在網站集合層級定義,且預設從上層物件繼承。 本文說明預設群組及權限等級,並協助您決定是否以現況使用、予以自訂,或建立不同的群組及權限等級。
關於 SharePoint Server 中網站和內容安全性最重要的決策,就是如何將使用者分組,以及要指派的許可權等級。
瞭解 Microsoft 365 中的預設 SharePoint 群組。
檢閱可用的預設群組
SharePoint 群組可讓您以群組的方式,而非個別的方式管理使用者。 這些群組可以包含許多個別使用者,也可以包含任何公司身分識別系統的內容,包括Active Directory 網域服務 (AD DS) 、LDAPv3 型目錄、應用程式特定資料庫,以及以使用者為中心的新身分識別模型,例如 Windows Live ID。 SharePoint 群組不會授與網站特定權限,而是指定一組使用者。 您可以依據貴組織或網站的大小及複雜度,將使用者分類成任意數量的群組。 SharePoint 群組不可以是巢狀的。
下表顯示在 SharePoint Server 中為小組網站建立的預設群組。 每個預設群組都會獲派預設的權限層級。
| 群組名稱 | 預設權限等級 | 描述 |
|---|---|---|
| 訪客 |
讀取 |
使用此群組可將 SharePoint 網站的「讀取」權限授與人員。 |
| 成員 |
編輯 |
使用此群組可將 SharePoint 網站的「編輯」權限授與人員。 |
| 擁有者 |
完全控制 |
使用此群組可將 SharePoint 網站的「完全控制」權限授與人員。 |
| 檢視者 |
僅供檢視 |
使用此群組可將 SharePoint 網站的「僅供檢視」權限授與人員。 |
若使用小組網站範本以外的網站範本,將會看到不同的預設 SharePoint 群組清單。 例如,下表顯示發佈網站範本所提供的其他群組。
| 群組名稱 | 預設權限等級 | 描述 |
|---|---|---|
| 受限制的讀取者 |
對網站之受限制的讀取,加上對特定清單的限制存取 |
此群組的成員可以檢視頁面和文件,但是無法檢閱歷史版本或使用者權限資訊。 |
| 樣式資源讀取者 |
主版頁面圖庫的讀取權以及樣式庫的受限制讀取權。 |
此群組的成員已獲派主版頁面圖庫的「讀取」權限及樣式庫的「受限制讀取」權限。 所有已驗證的使用者預設都是此群組的成員。 |
| 設計者 |
設計,限制存取 |
此群組的成員可以使用瀏覽器或 SharePoint Designer 2013 來檢視、新增、更新、刪除、核准及自訂網站頁面的版面配置。 |
| 核准者 |
核准,加上限制存取 |
此群組的成員可以編輯和核准頁面、清單項目及文件。 |
| 階層管理者 |
管理階層,加上限制存取 |
此群組的成員可以建立網站、清單、清單項目及文件。 |
注意事項
請勿從樣式資源讀取器群組中移除所有已驗證的使用者,因為主版頁面庫和樣式庫會在網站集合中的所有網站之間共用,而且所有網站的所有使用者都必須能夠存取。 如果您從群組中移除所有已驗證的使用者,在子網站上具有此許可權等級的任何人都無法轉譯網站。 SharePoint 不會視需要自動新增或移除此群組中的子網站使用者。
提示
「限制存取」權限等級用於允許群組存取特定的清單、程式庫、資料夾、文件或項目,無需讓群組存取整個網站。 請勿從上述群組移除此權限等級。 如果移除此權限等級,群組可能就無法瀏覽網站以取得必須與之互動的特定項目。
讓大部分的使用者成為訪客或成員群組的成員。 「成員」群組中的使用者預設都可以參與網站 (藉由新增或移除項目或文件),但是無法變更結構、網站設定或網站的外觀。 「訪客」群組具有網站的唯讀權限,這表示他們可以檢視頁面與項目,以及開啟項目與文件,但不可以新增或移除頁面、項目或文件。
如果預設群組無法確切對應到組織中的使用者群組,則可以建立自訂群組。
除了上述 SharePoint 群組之外,還有適用于較高層級管理工作的系統管理員群組。 他們為 Windows 系統管理員、SharePoint 伺服器陣列系統管理員和網站集合管理員。
如需詳細資訊,請參閱Choose administrators and owners for the administration hierarchy in SharePoint 2013。
檢閱可用的權限等級
檢視、變更或管理網站的能力,取決於您指派給使用者或群組的權限等級。 此許可權等級可控制網站的擁有權限,以及繼承網站許可權的子物件。 若無適當的權限等級,使用者可能無法執行工作,或可能執行您無意讓其執行的工作。
根據預設,可用的權限等級如下:
僅檢視 包含可讓使用者檢視頁面、清單專案和檔的許可權。
有限存取 包含可讓使用者檢視特定清單、文件庫、清單專案、資料夾或檔的許可權,而不需要授與網站所有元素的存取權。 您無法直接編輯此許可權等級。
注意事項
若移除此權限等級,即使群組成員具有網站內任何項目的正確權限,也無法瀏覽網站以存取項目。
讀 包含可讓使用者檢視網站頁面上專案的許可權。
編輯 包含可讓使用者新增、編輯和刪除清單的許可權;可以檢視、新增、更新和刪除清單專案和檔。
貢獻 包含可讓使用者在網站頁面或清單和文件庫中新增或變更專案的許可權。
設計 包含可讓使用者使用瀏覽器或 SharePoint Designer 2013 檢視、新增、更新、刪除、核准及自訂網站頁面版面配置的許可權。
完全控制 包含擁有權限。
如需預設權限等級包含之權限的詳細資訊,請參閱User permissions and permission levels in SharePoint 2013。
發佈範本預設會提供下列額外的許可權等級:
批准 包含編輯和核准頁面、清單專案和檔的許可權。
管理階層 包含網站和編輯頁面、清單專案和檔的許可權。
限制讀取 包含檢視頁面和檔的許可權,但不包括歷程記錄版本或許可權資訊。
決定您是否需要自訂權限等級或群組
預設的群組與權限等級只提供權限的一般架構,以便能夠涵蓋組織中的各種組織類型與角色。 但其可能無法完全對應到使用者的組織方式,或無法讓使用者可以在網站上執行各種工作。 若預設群組與權限等級不適合貴組織,可以建立自訂群組、變更特定權限等級所包含的權限,或建立自訂的權限等級。
您需要自訂群組嗎?
您可以逕行決定是否要建立自訂群組,因為其對於網站安全性的影響不大。 如果適用下列其中一種情況,請建立自訂群組,而不是使用預設群組:
您組織中的使用者角色比預設群組中顯示的更多 (或更少)。 例如,若除了核准者、設計師和階層管理者,您還有一組人的工作是要發佈內容至網站,您可能會想要建立發佈者群組。
貴組織內執行不同工作之組織中唯一角色的已知名稱。 例如,若您要建立公用網站來銷售組織的產品,您可能會想要建立客戶群組來取代訪客或檢視者。
您想保留 Windows 安全性群組與 SharePoint 群組間的一對一關係。 例如,若貴組織擁有稱為「網站管理員」的安全性群組,而您希望以此名稱為群組名稱,以便您管理網站時識別之用。
您偏好其他群組名稱。
您需要自訂權限等級嗎?
與自訂 SharePoint 群組相較,決定自訂權限等級需要比較多的考量。 如果您自訂指派給許可權等級的許可權,您必須追蹤該變更、確認它適用于受變更影響的所有群組和網站,並確定變更不會對您的安全性或伺服器容量或效能造成負面影響。
例如,若自訂參與權限等級,使其包含通常隸屬於完全控制權限等級的建立子網站權限,參與者群組的成員可以建立及擁有子網站,而且可能會邀請惡意的使用者來他們的子網站,或是張貼未經核准的內容。 或者若自訂讀取權限等級,使其包含通常隸屬於完全控制權限等級的檢視流量資料權限,則訪客群組的所有成員都可以檢視流量資料,而可能導致效能問題。
如果適用下列其中一種情況,請自訂預設許可權等級:
預設權限等級包括所有權限,但是使用者用來執行其工作時的必要權限除外,而您想要新增該權限。
預設權限等級包含使用者不一定需要的權限。
注意事項
如果您的組織對於屬於許可權等級的特定許可權有安全性或其他疑慮,請勿自訂預設許可權等級。 如果您想要讓指派給包含該許可權之許可權層級或層級的所有使用者都無法使用該許可權,請關閉伺服器陣列中所有 Web 應用程式的許可權,而不是變更擁有權限等級 若要管理 Web 應用程式的許可權,請參閱 管理 SharePoint Server 中 Web 應用程式的許可權。
如果您必須對權限等級進行數項變更,請建立一個含有您所需全部權限的自訂權限等級。
如果下列任一條件成立,您可能會想要建立更多許可權等級:
您想要將數個權限從特定權限等級中排除。
您想要為新的權限等級定義一組獨特的權限。
若要建立權限等級,您可以建立權限等級,然後選取想要包含的權限。
注意事項
有些權限依存於其他權限。 因此,若清除了另一個權限所依存的權限,另一個權限亦會隨之清除。