本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

在 SharePoint 2013 中決定權限層級及群組

 

適用版本:SharePoint Foundation 2013, SharePoint Server 2013

上次修改主題的時間:2015-03-09

摘要:了解如何在網站集合層級定義正確的 SharePoint 2013 權限等級。

SharePoint 群組是一組能夠同時受到管理的使用者。權限等級是一組能夠針對特定安全物件而指派給特定群組的權限。SharePoint 群組及權限等級是在網站集合層級定義,且預設從上層物件繼承。本文說明預設群組及權限等級,並協助您決定是否以現況使用、予以自訂,或建立不同的群組及權限等級。

本文內容:

在 SharePoint 2013 中,有關網站及內容安全性最重要的決定,就是如何分類您的使用者,以及所要指派的權限等級。

SharePoint 群組可讓您管理一組使用者,而不是管理個別使用者。這些群組可包含許多個別使用者,也可包含任何公司識別系統的內容,包括 Active Directory 網域服務 (AD DS)、LDAPv3 目錄、應用程式特定的資料庫,以及以使用者為中心的新身分識別模型,例如 Windows Live ID。SharePoint 群組不會授與網站特定權限,而是指定一組使用者。您可以依據貴組織或網站的大小及複雜度,將使用者分類成任意數量的群組。SharePoint 群組不可以是巢狀的。

下表顯示在 SharePoint 2013 中針對小組網站所建立的預設群組。每個預設群組都會獲派預設的權限層級。

 

群組名稱 預設權限等級 說明

訪客

讀取

使用此群組可將 SharePoint 網站的「讀取」權限授與人員。

成員

編輯

使用此群組可將 SharePoint 網站的「編輯」權限授與人員。

擁有者

完全控制

使用此群組可將 SharePoint 網站的「完全控制」權限授與人員。

檢視者

僅供檢視

使用此群組可將 SharePoint 網站的「僅供檢視」權限授與人員。

若使用小組網站範本以外的網站範本,將會看到不同的預設 SharePoint 群組清單。例如,下表顯示發佈網站範本所提供的其他群組。

 

群組名稱 預設權限等級 說明

受限制的讀取者

對網站之受限制的讀取,加上對特定清單的限制存取

此群組的成員可以檢視頁面和文件,但是無法檢閱歷史版本或使用者權限資訊。

樣式資源讀取者

主版頁面圖庫的讀取權以及樣式庫的受限制讀取權。

此群組的成員已獲派主版頁面圖庫的「讀取」權限及樣式庫的「受限制讀取」權限。所有已驗證的使用者預設都是此群組的成員。

注意事項 附註:
請勿從這個群組移除任何驗證使用者,因為網站集合中的所有網站都會共用主版頁面圖庫及樣式庫,且所有網站的所有使用者都必須能夠存取主版頁面圖庫及樣式庫。如果您移除此群組中的所有驗證使用者,則在子網站上擁有此權限等級的人員都將無法呈現網站。SharePoint 並不會自動在這個群組中,視需要新增或移除子網站的使用者。

設計師

設計,限制存取

此群組的成員可以使用瀏覽器或 SharePoint Designer 2013,以針對網站頁面的版面配置進行檢視、新增、更新、刪除、核准及自訂作業。

核准者

核准,加上限制存取

此群組的成員可以編輯和核准頁面、清單項目及文件。

階層管理者

管理階層,加上限制存取

此群組的成員可以建立網站、清單、清單項目及文件。

提示 提示:
「限制存取」權限等級用於允許群組存取特定的清單、程式庫、資料夾、文件或項目,無需讓群組存取整個網站。請勿從上述群組移除此權限等級。如果移除此權限等級,群組可能就無法瀏覽網站以取得必須與之互動的特定項目。

請將大部分使用者成員指派為「訪客」或「成員」群組。「成員」群組中的使用者預設都可以參與網站 (藉由新增或移除項目或文件),但是無法變更結構、網站設定或網站的外觀。「訪客」群組具有網站的唯讀權限,這表示他們可以檢視頁面與項目,以及開啟項目與文件,但不可以新增或移除頁面、項目或文件。

如果預設群組無法確切對應到組織中的使用者群組,則可以建立自訂群組。

除了上述的 SharePoint 群組之外,還有適合較高階管理工作的管理員群組,包括 Windows 管理員、SharePoint 伺服器陣列管理員及網站集合管理員。

如需詳細資訊,請參閱在 SharePoint 2013 中選擇管理階層的管理員與擁有者

檢視、變更或管理網站的能力,取決於您指派給使用者或群組的權限等級。此權限等級控制了網站及繼承該網站權限之子物件的所有權限。若無適當的權限等級,使用者可能無法執行工作,或可能執行您無意讓其執行的工作。

根據預設,可用的權限等級如下:

  • 僅供檢視   包含的權限可讓使用者檢視頁面、清單項目及文件。

  • 限制存取   包含的權限可讓使用者檢視特定的清單、文件庫、清單項目、資料夾或文件,而不需授與網站上所有元素的存取權。您無法直接編輯此權限等級。

    注意事項 附註:
    若移除此權限等級,即使群組成員具有網站內任何項目的正確權限,也無法瀏覽網站以存取項目。
  • 讀取   包含的權限可讓使用者檢視網站頁面上的項目。

  • 編輯   包含的權限可讓使用者新增、編輯和刪除清單;能夠檢視、新增、更新和刪除清單項目及文件。

  • 參與   包含的權限可讓使用者新增或變更網站頁面上或清單及文件庫中的項目。

  • 設計   包含的權限可讓使用者使用瀏覽器或 SharePoint Designer 2013,檢視、新增、更新、刪除、核轉和自訂網站頁面。

  • 完全控制   包含所有權限。

如需預設權限等級包含之權限的詳細資訊,請參閱SharePoint 2013 的使用者權限與權限等級

根據預設,發佈範本會提供下列其他權限等級:

  • 核准   包含編輯與核准頁面、清單項目和文件的權限。

  • 管理階層   包含對網站和編輯頁面、清單項目和文件的權限。

  • 受限制的讀取   包含檢視頁面和文件的權限,但是無法檢視歷史版本或權限資訊。

預設的群組與權限等級只提供權限的一般架構,以便能夠涵蓋組織中的各種組織類型與角色。但其可能無法完全對應到使用者的組織方式,或無法讓使用者可以在網站上執行各種工作。若預設群組與權限等級不適合貴組織,可以建立自訂群組、變更特定權限等級所包含的權限,或建立自訂的權限等級。

您可以逕行決定是否要建立自訂群組,因為其對於網站安全性的影響不大。通常在下列情況下應建立自訂群組,而不要使用預設群組:

  • 您組織中的使用者角色比預設群組中顯示的更多 (或更少)。例如,若除了核准者、設計師和階層管理者,您還有一組人的工作是要發佈內容至網站,您可能會想要建立發佈者群組。

  • 貴組織中有特有的角色且具有眾所熟悉的名稱,他們在網站上執行很不一樣的工作。例如,若您要建立公用網站來銷售組織的產品,您可能會想要建立客戶群組來取代訪客或檢視者。

  • 您想保留 Windows 安全性群組與 SharePoint 群組間的一對一關係。例如,若貴組織擁有稱為「網站管理員」的安全性群組,而您希望以此名稱為群組名稱,以便您管理網站時識別之用。

  • 您偏好其他群組名稱。

與自訂 SharePoint 群組相較,決定自訂權限等級需要比較多的考量。若要自訂指派給權限等級的權限,必須追蹤變更,確認自訂項目適用於所有受到變更所影響的群組及網站,以確保變更對於安全性或伺服器的功能或效能不會造成負面的影響。

例如,若自訂參與權限等級,使其包含通常隸屬於完全控制權限等級的建立子網站權限,參與者群組的成員可以建立及擁有子網站,而且可能會邀請惡意的使用者來他們的子網站,或是張貼未經核准的內容。或者若自訂讀取權限等級,使其包含通常隸屬於完全控制權限等級的檢視流量資料權限,則訪客群組的所有成員都可以檢視流量資料,而可能導致效能問題。

下列任一種狀況均應自訂預設權限等級:

  • 預設權限等級包括所有權限,但是使用者用來執行其工作時的必要權限除外,而您想要新增該權限。

  • 預設權限等級包含使用者不一定需要的權限。

    注意事項 附註:
    若您的組織對於權限等級中的特定權限有安全性或其他方面的考量,請勿自訂預設權限等級。若要讓所有獲指派包含該權限之權限等級的使用者,皆無法使用該權限,則應針對伺服器陣列內的所有 Web 應用程式關閉該權限,而非變更所有的權限等級。若要管理 Web 應用程式的權限,請參閱在 SharePoint 2013 中管理 Web 應用程式的權限

如果您必須對權限等級進行數項變更,請建立一個含有您所需全部權限的自訂權限等級。

下列任一個狀況都可能會讓您想要建立其他權限等級:

  • 您想要將數個權限從特定權限等級中排除。

  • 您想要為新的權限等級定義一組獨特的權限。

若要建立權限等級,您可以建立權限等級,然後選取想要包含的權限。

注意事項 附註:
有些權限依存於其他權限。因此,若清除了另一個權限所依存的權限,另一個權限亦會隨之清除。

https://technet.microsoft.com/zh-tw/library/ff607719.aspx
顯示: