決定要使用的權限層級和群組 (Windows SharePoint Services)
本文內容:
檢閱可用的預設群組
檢閱可用的權限層級
決定您是否需要其他權限層級或群組
工作表
在 Windows SharePoint Services 3.0 中,有關網站和內容安全性最重要的決定,就是如何分類您的使用者,以及所要指派的權限層級。
有幾個預設 SharePoint 群組,可依據使用者必須執行的動作類型來協助您分類使用者,但是您可能會有特殊的需求,或是對使用者的組合有其他看法。同樣地,也有預設的權限層級,但是不一定完全符合您的群組需要執行的工作。
在本文中,請檢閱預設群組和權限層級,並決定是否要使用原預設、加以自訂,或是要建立不同的群組和權限層級。
檢閱可用的預設群組
您可以利用 SharePoint 群組來管理使用者組,而不是管理個別的使用者。SharePoint 群組可由許多個別的使用者組成、可以包含單一 Windows 安全性群組,或是這二種的組合。SharePoint 群組不會授與特定權限給網站;它只是用來包含使用者組的一種方法。您可以依據組織或網站的大小和複雜性,將您的使用者組織成數個群組,或少量的群組。
下表是 Windows SharePoint Services 3.0 中,針對網站所建立之預設 SharePoint 群組的清單。
| 群組名稱 | 預設權限層級 |
|---|---|
<網站名稱> 訪客 |
讀取 |
<網站名稱> 成員 |
參與 |
<網站名稱> 擁有者 |
完全控制 |
此外,下列特殊使用者和群組可用於較高層級的管理員工作:
網站集合管理員 您可以指定一或數個使用者來擔任主要及次要網站集合管理員。這些使用者會被記錄在資料庫中,作為網站集合的連絡人,他們具有網站集合中所有網站的完全控制權、可以稽核所有網站內容,以及接收任何管理提醒 (例如驗證網站是否仍在使用中)。一般而言,當您建立網站時,就會指定網站集合管理員,但是您可以使用管理中心網站或 [網站設定] 頁面,依需要加以變更。
**伺服器陣列管理員 **控制哪些使用者可以管理伺服器及伺服器陣列設定。有了「伺服器陣列管理員」群組,就不需要將使用者新增至伺服器的管理員群組,或是新增至 Windows SharePoint Services 2.0 版中所使用的「SharePoint 管理員」群組。根據預設,伺服器陣列管理員並沒有網站內容的存取權;他們必須取得網站的擁有權,才能檢視任何內容。若要取得網站的擁有權,他們可以將自己新增為網站集合管理員,這個動作會記錄在稽核記錄檔中。「伺服器陣列管理員」群組限用於管理中心,並非所有網站皆可使用。
**管理員 **本機伺服器上的管理員群組成員可以執行所有伺服器陣列管理員動作及其他動作,包括:
安裝新產品或應用程式。
部署網頁組件及新功能至全域組件快取。
建立新 Web 應用程式及新 IIS 網站。
開始服務。
根據預設,如同伺服器陣列管理員群組,本機伺服器上的管理員群組成員並沒有網站內容的存取權。
在識別您需要的群組之後,請決定要指派給網站上各群組的權限層級。
| 工作表動作 |
|---|
您可以使用 自訂權限層級與群組工作表 (英文) (https://go.microsoft.com/fwlink/?linkid=73133&clcid=0x404) 記錄您需要建立的任何群組。 |
檢閱可用的權限層級
檢視、變更或管理特定網站的能力,是依據您指派給使用者或群組的權限層級來決定的。這個權限層級可以控制網站以及繼承該網站權限之子網站、清單、文件庫、資料夾和項目或文件的所有權限。若沒有適當的權限層級,使用者可能無法執行工作,或者他們可以執行您本來沒有要他們執行的工作。
根據預設,可用的權限層級如下:
**限制存取 **給予權限後,包含的權限可讓使用者檢視特定清單、文件庫、清單項目、資料夾或文件。
**讀取 **包含的權限可讓使用者檢視網站頁面上的項目。
**參與 **包含的權限可讓使用者新增或變更網站頁面上或清單和文件庫中的項目。
**設計 **包含允許使用者透過瀏覽器或 Microsoft Office SharePoint Designer 2007 變更網頁之版面配置的權限。
**完全控制 **包含所有權限。
如需預設權限層級的內含權限的詳細資訊,請參閱<使用者權限與權限層級>。
決定您是否需要其他權限層級或群組
預設群組和權限層級的設計,是為了提供權限的一般架構,涵蓋組織中廣泛的組織類型和角色。然而,可能不會完全對應到您使用者的組織方式,或是使用者在網站上執行的各種工作。如果預設群組和權限層級不適合貴組織,您可以建立自訂群組、變更特定權限層級所包含的權限,或是建立自訂權限層級。
您需要自訂群組嗎?
建立自訂群組的決定相當簡單明瞭,而且不太會影響到網站的安全性。基本上,如果符合下列任何狀況,您就應該要建立自訂群組,而不要使用預設群組:
組織中的使用者角色比預設群組中顯示的更多 (或更少)。例如,除了 [設計者] 之外,若還有一組人員負責將內容發行至此網站,您也許需要建立 [發行者] 群組。
組織中有特有的角色且具有眾所熟悉的名稱,他們在網站上執行很不一樣的工作。例如,如果您要建立公用網站來銷售組織的產品,您可能會想要建立客戶群組來取代訪客或檢視者。
您想保留 Windows 安全性群組與 SharePoint 群組間的一對一關係 (例如,貴組織擁有「網站管理員」的安全性群組,而您希望以此名稱為群組名稱,以便於管理網站時的識別之用)。
您偏好其他群組名稱。
您需要自訂權限層級嗎?
自訂權限層級的決定不像自訂 SharePoint 群組那麼簡單明瞭。如果您要自訂已指派給特定權限層級的權限,您必須持續追蹤該變更、驗證此自訂對於受變更影響的所有群組和網站有效,並確定該變更對於安全性或是伺服器的容量或效能沒有負面影響。
例如,就安全性而言,如果您將參與權限層級自訂成包含建立子網站的權限 (通常包含在全部控制權限層級中),則參與者即可建立及擁有網站,並有可能因此而招致惡意使用者進入其網站,或張貼未經同意的內容。而就容量而言,如果您將讀取權限層級變更為包含建立提醒權限 (通常包含在參與權限層級中),則所有「訪客」群組的成員均可建立提醒,並可能因此而造成伺服器超載。
如果符合下列任一情況,您就應該要自訂預設權限層級:
預設權限層級包括所有權限,但是使用者需要用來執行其工作的權限除外,而您想要新增該權限。
預設權限層級包含使用者不需要的權限。
注意
如果貴組織對於特定權限有安全性或其他方面的考量,而且想要讓擁有該權限層級或包含該權限之層級的所有使用者都無法使用該權限,則不應自訂預設權限層級。在此情況下,您應針對伺服器陣列中的所有 Web 應用程式關閉此權限,而不是變更所有的權限層級。若要管理 Web 應用程式的權限,請在管理中心的 [應用程式管理] 頁面上,按一下 [應用程式安全性] 區段的 [Web 應用程式的使用者權限]。
如果您需要對特定權限層級進行數項變更,最好是建立一個含有您需要之所有權限的自訂權限層級。
如果符合下列任何狀況,您可能會想要建立其他權限層級:
您想要將數個權限從特定權限層級中排除。
您想要為新的權限層級定義一組獨特的權限。
若要建立權限層級,您可以複製現有的權限層級,然後加以變更,或者您可以建立權限層級,然後選取您想要包含的權限。
注意
有些權限依附於其他權限。如果您清除了另一個權限所依附的權限,另一個權限也會被清除。
| 工作表動作 |
|---|
您可以使用 自訂權限層級與群組工作表 (英文) (https://go.microsoft.com/fwlink/?linkid=73133&clcid=0x404) 記錄您需要自訂或建立的任何權限層級。 |
工作表
使用下列工作表來決定所要使用的權限層級和群組:
下載本書
本主題隨附於下列可下載的叢書中,以便於閱讀與列印:
請參閱 Windows SharePoint Services 可下載的叢書 (英文) 上提供的完整叢書清單。