本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

SharePoint Server 2013 的微調權限參考 (英文)

 

適用版本:SharePoint Foundation 2013, SharePoint Server 2013

上次修改主題的時間:2013-12-18

摘要:了解微調權限對效能的潛在影響和維護 SharePoint 2013 環境的複雜性。

根據預設,站台內的權限繼承的網站。不過,微調權限時中斷的任何安全的物件階層中較低層級是由編輯權限 (建立唯一的權限指派) 此繼承該安全物件上。

注意事項 附註:
我們建議您的業務案例將會調整它時才使用微調權限。微調權限可以增加管理部署的成本。維護個別的使用者權限效率低,因為我們建議您使用儘可能的群組權限。特別是如果您使用微調權限,您應該使用群組以避免必須追蹤個別的使用者帳戶的權限。因為人員可以移回及取出小組及頻率變更責任,可能不想要追蹤所有這些變更並持續更新唯一安全物件的權限。

針對本文中字詞web伺服器和網站等同於SPWeb物件與網站集合等同於SPSite物件。此外,字詞微調權限清單、 文件庫、 資料夾、 項目或限制使用者可以完成動作的文件參照。微調權限可讓您自訂網站集合中的使用者權限。如需詳細資訊,請參閱SPWebSPSite

本章節說明 SharePoint 權限範圍系統。如需如何規劃網站安全性的詳細資訊,請參閱在 SharePoint 2013 中規劃網站權限

權限等級包含一組個別權限,例如 [檢視項目] 或 [建立警示。權限層級可以使用預先定義的權限等級指派給個別使用者、 使用者、 群組或安全性群組或在 [使用者可以建立自訂的權限等級。權限集可以即使內的預先定義權限層級變更。

SharePoint 群組是可以保留其他安全性主體,例如 Windows 使用者帳戶、 非 Windows 使用者 (例如表單型帳戶),與 Active Directory 群組的網站集合整個物件。

範圍是安全的物件及任何沒有定義個別安全性界限子系的安全性界限。範圍中包含存取控制清單(ACL),但與 NTFS Acl 不同範圍可以包含 SharePoint 特定安全性主體。Windows 使用者、 非 Windows 使用者如 (在 SharePoint 產品及技術的表單型帳戶) 或宣告式帳戶中SharePoint 2013、 Active Directory 群組、 SharePoint 群組或其他範圍可以包含範圍 ACL 的成員。

上層範圍中可以建立的範圍沒有最大數目。但需要其他 Microsoft® SQL Server的程式碼路徑建立 1000 範圍之後,來回行程之前轉譯檢視用於分析的範圍。1000 封以下範圍時,只有一個來回是必要的。在SharePoint 2013,再切換到不同的演算法傳回的範圍數目的限制根據具有預設值為 5000 個查詢節流限制。此值,甚至是預設值,可以足以大幅降低效能。

在SharePoint 2013,您可以使用SPRoleAssignmentCollection.AddToCurrentScopeOnly方法來指派角色。如需有關角色指派的詳細資訊,請參閱 SPRoleAssignmentCollection.AddToCurrentScopeOnly (http://msdn.microsoft.com/en-us/library/microsoft.sharepoint.sproleassignmentcollection.addtocurrentscopeonly.aspx)。

安全的物件是可以有指派給它 ACL 的物件。在SharePoint 2013,您可以使用SPSecurableObject類別。其他安全物件的詳細資訊,請參閱 SPSecurableObject 類別 (http://msdn.microsoft.com/en-us/library/microsoft.sharepoint.spsecurableobject.aspx)。

如果安全的物件不具有唯一範圍,物件會繼承其父項的範圍。當物件會繼承其父項時、 範圍無法建立的物件。建立安全性] 核取時,它確認僅針對父物件。在最簡單的環境中,此範圍是在網站集合所包含之項目的根網站。當某個項目或容器會變更為具有唯一的成員資格時,其繼承已中斷,這表示新的範圍該項目的和預設會建立子項繼承其權限範圍的內容類型的任何。

下圖顯示文件庫,在其中的所有物件但有一個繼承範圍其父項的物件階層。每個編號 gold 六邊形代表的權限範圍。容器中的所有子物件會都繼承該父項範圍除非他們自己的獨特的權限範圍。

說明文件庫的物件階層,其中的所有物件 (但有一個除外) 都會繼承其父項的範圍。

當安全性主體加入至具有唯一權限項目的範圍時,安全性主體是立即使用新增的限制存取權限層級項目上方階層中每個唯一的權限範圍直到具有唯一的上層 web權限所在。

若要使用有限存取權的使用者新增至範圍的原因是允許足夠物件的存取權的一項目上方按階層使物件模型 (OM)、 主版頁面及導覽可顯示當使用者嘗試瀏覽至 [項目.不在父項範圍的限制存取權限、 使用者有用能夠成功瀏覽至或開啟項目具有獨特的權限。

下圖顯示範圍的階層式深度如何影響將有限存取權的使用者新增至父項範圍所需的工作。較大的唯一號碼範圍,且包含一 web 項目上方較大新增必須發生的數目。此圖顯示已定義的唯一範圍從到個別項目網頁每個層級的實體結構以簡化方式呈現。如同上圖中,每個不同編號 gold 六邊形代表唯一權限範圍,而該容器內的所有子物件都繼承該範圍除非他們自己的獨特的權限範圍。限制存取升級鏈結會顯示使用紅色的箭號。

說明範圍的階層式深度如何影響將「有限存取權」的使用者新增到父項範圍時所需的工作量。

圖表也會包含一組的唯一範圍和限制存取成員資格新增的項目必須在每個父項範圍、 範圍內的個別方塊所代表發生。沒有其他程式設計 (英文) 是必要的安全性主體新增至具有唯一權限是下方具有唯一權限的 web 物件範圍時新增唯一的範圍。

當以限制存取權限層級的安全性主體加入至父項範圍時,會不進行任何檢查是否安全性主體已為父項範圍中。限制存取權限,不論其現有的權限的父項範圍重新新增安全性主體至父項範圍已經有存取權。

當安全性主體已從在父項範圍,每個執行個體的限制存取權限層級安全性主體每一個子範圍內已從限制存取權限層級,不論是否有安全性主體限制的存取或一組更廣泛在子範圍上的權限。

二進位 ACL執行快速比較的使用者 token 來決定使用者是否可以存取範圍所涵蓋的物件。二進位 ACL 的計算的範圍成員資格變更時。這包括當新增新的限制的存取成員。二進位 ACL 採用更多時間來計算成員資格變成較大,並將會封鎖直到重新計算 ACL 的物件的存取權。

雖然沒有以外的大小上限二進位 ACL 上沒有明確大小限制的圖像] 欄中SQL Server,某些服務無法接受大於 64 KB ACL。在此例中二進位 ACL 中的安全性主體可能會變得非常大,但是由於效能與互通性考量應該限制。SQL Server中的圖像資料欄大小限制的相關資訊,請參閱 ntext、 文字和圖像 (TRANSACT-SQL) (http://msdn.microsoft.com/en-us/library/ms187993.aspx)。

https://technet.microsoft.com/zh-tw/library/dn169566.aspx
顯示: