Share via

決定權限等級與群組 (SharePoint Foundation)

  • 發行項

 

適用版本: SharePoint Foundation 2010

上次修改主題的時間: 2016-11-30

本文檢閱預設群組與權限等級,協助您決定是否使用、自訂或新增新的群組與權限等級以提高安全性。

本文內容:

  • 檢閱可用的預設群組

  • 檢閱可用的權限等級

  • 決定您是否需要其他權限等級或群組

在 Microsoft SharePoint Foundation 2010 中,關乎網站及內容安全性的最重要決定,就是如何分類您的使用者,以及所要指派的權限等級。

此處提供數個預設 SharePoint 群組,可以讓您依據使用者所要執行的動作類型分類使用者,但您對於使用者分類或有特殊的需求或其他的看法。同樣地,此處亦提供預設的權限等級,但其未必完全符合您群組所要執行之工作的需要。

在本文中,請檢閱預設群組和權限等級,並決定是否要使用原預設、加以自訂,或是要建立不同的群組和權限等級。

檢閱可用的預設群組

使用 SharePoint 群組時,是針對一群使用者進行管理,而不是針對個別的使用者進行管理。SharePoint 群組可由許多個別的使用者組成,也可以只包含一個 Windows 安全性群組,或為這兩種的組合。SharePoint 群組並不授予網站任何特定的權限,而只用於涵括一群使用者。您可以依據貴組織或網站的大小及複雜度,將使用者分類成任意數量的群組。

下表是為 SharePoint Foundation 2010 中之網站所建立的預設群組。

群組名稱 預設權限等級

<網站名稱> 訪客

讀取

<網站名稱> 成員

參與

<網站名稱> 擁有人

完全控制

此外,下列特殊使用者和群組可用於較高層級的管理員工作:

  • 網站集合管理員   您可以指定一或數名使用者擔任主要及次要網站集合管理員。這些使用者在資料庫中會記錄成網站集合的連絡人,具有網站集合中所有網站的完全控制權,並可稽核所有網站內容,以及接收所有管理提醒 (例如驗證網站是否仍在使用中)。通常在建立網站時,即會指定網站集合管理員,但您可以視需要使用管理中心網站或 [網站設定] 頁面加以變更。

  • **伺服器陣列管理員   **控制可以管理伺服器及伺服器陣列設定的使用者。藉由伺服器陣列管理員群組,即無需再將使用者新增至伺服器的管理員群組。伺服器陣列管理員預設無權存取網站的內容;其必須先取得網站的擁有權,才可檢視內容。若要取得網站的擁有權,可以將自己新增為網站集合管理員,而此動作則會記錄在稽核記錄檔中。伺服器陣列管理員群組只可用於管理中心,而無法供其他網站使用。

  • 管理員   本機伺服器上之管理員群組的成員,可以執行所有的伺服器陣列管理員動作及其他動作,包括:

    • 安裝新產品或應用程式。

    • 部署網頁組件及新功能至全域組件快取。

    • 建立新 Web 應用程式及新 IIS 網站。

    • 開始服務。

    根據預設,如同伺服器陣列管理員群組,本機伺服器上的管理員群組成員並沒有網站內容的存取權。

決定需要的群組之後,確定要指派給網站上各群組的權限等級。

檢閱可用的權限等級

檢視、變更或管理特定網站的能力,取決於您指派給使用者或群組的權限等級。此權限等級控制了網站及繼承該網站權限之子網站、清單、文件庫、資料夾與項目或文件的所有權限。若無適當的權限等級,使用者可能無法執行工作,或可以執行您無意讓其執行的工作。

根據預設,可用的權限等級如下:

  • 限制存取   包含的權限可讓使用者在獲授與權限後檢視特定的清單、文件庫、清單項目、資料夾或文件。

  • 讀取   包含的權限可讓使用者檢視網站頁面上的項目。

  • 參與   包含的權限可讓使用者新增或變更網站頁面上或清單及文件庫中的項目。

  • 設計   包含的權限可讓使用者使用瀏覽器或 Microsoft Office SharePoint Designer 2007 變更網站頁面上的版面配置。

  • **完全控制   **包含所有權限。

決定您是否需要其他權限等級或群組

預設的群組與權限等級只提供權限的一般架構,以便能夠涵蓋組織中各種不同的組織類型與角色。但其可能無法完全對應到您組織使用者的方式,或無法讓您的使用者可以在網站上執行各種工作。若預設群組與權限等級不適合貴組織,可以建立自訂群組、變更特定權限等級所包含的權限,或建立自訂的權限等級。

您需要自訂群組嗎?

您可以逕行決定是否要建立自訂群組,因為其對於網站安全性的影響不大。通常在下列情況下應建立自訂群組,而不要使用預設群組:

  • 組織中的使用者角色比預設群組中顯示的更多 (或更少)。例如,除了 [設計者] 之外,若還有一組人員負責將內容發行至此網站,您也許需要建立 [發行者] 群組。

  • 組織中有特有的角色且具有眾所熟悉的名稱,他們在網站上執行很不一樣的工作。例如,如果您要建立公用網站來銷售組織的產品,您可能會想要建立客戶群組來取代訪客或檢視者。

  • 您想保留 Windows 安全性群組與 SharePoint 群組間的一對一關係 (例如,貴組織擁有「網站管理員」的安全性群組,而您希望以此名稱為群組名稱,以便於管理網站時的識別之用)。

  • 您偏好其他群組名稱。

您需要自訂權限等級嗎?

與自訂 SharePoint 群組相較,決定自訂權限等級需要比較多的考量。若要自訂指派給權限等級的權限,必須追蹤變更,確認自訂項目適用於所有受到變更所影響的群組及網站,以確保變更對於安全性或伺服器的功能或效能不會造成負面的影響。

例如,就安全性而言,如果您將參與權限等級自訂成包含建立子網站的權限 (通常包含在全部控制權限等級中),則參與者即可建立及擁有網站,並有可能因此而招致惡意使用者進入其網站,或張貼未經同意的內容。而就容量而言,如果您將讀取權限等級變更為包含建立提醒權限 (通常包含在參與權限等級中),則所有「訪客」群組的成員均可建立提醒,並可能因此而造成伺服器超載。

下列任一種狀況均應自訂預設權限等級:

  • 預設權限等級包括所有權限,但是使用者需要用來執行其工作的權限除外,而您想要新增該權限。

  • 預設權限等級包含使用者不需要的權限。

    注意

    若貴組織對於特定權限有安全性或其他方面的考量,並希望讓所有獲指派該權限等級或包含該權限之等級的所有使用者,皆無法使用該權限,即不應自訂預設權限等級。此時,您應針對伺服器陣列內的所有 Web 應用程式關閉此權限,而非變更所有的權限等級。

如果您需要對特定權限等級進行數項變更,最好是建立一個含有您需要之所有權限的自訂權限等級。

下列任一種情況皆可能會讓您想要建立其他權限等級:

  • 您想要將數個權限從特定權限等級中排除。

  • 您想要為新的權限等級定義一組獨特的權限。

若要建立權限等級,您可以複製現有的權限等級,然後加以變更,或者您可以建立權限等級,然後選取您想要包含的權限。

注意

有些權限依存於其他權限。因此,若清除了另一個權限所依存的權限,另一個權限亦會隨之清除。