Determinare i livelli di autorizzazione e i gruppi in SharePoint Server
SI APPLICA A:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
Un gruppo di SharePoint è un set di utenti che è possibile gestire come singolo insieme. Un livello di autorizzazione è un set di autorizzazioni che è possibile assegnare a un gruppo specifico per un oggetto a protezione diretta specifico. I gruppi e i livelli di autorizzazione di SharePoint vengono definiti a livello della raccolta siti ed ereditati dall'oggetto padre per impostazione predefinita. In questo articolo vengono illustrati i gruppi e i livelli di autorizzazione predefiniti e sulla base delle informazioni fornite sarà possibile decidere se utilizzarli così come sono, se personalizzarli o se creare gruppi e livelli di autorizzazione diversi.
La decisione più importante sulla sicurezza del sito e del contenuto in SharePoint Server è come raggruppare gli utenti e quali livelli di autorizzazione assegnare.
Informazioni sui gruppi di SharePoint predefiniti in Microsoft 365.
Esaminare i gruppi predefiniti disponibili
I gruppi di SharePoint consentono di gestire set di utenti anziché utenti singoli. Questi gruppi possono contenere molti singoli utenti oppure possono includere il contenuto di qualsiasi sistema di identità aziendale, tra cui Active Directory Domain Services (AD DS), directory basate su LDAPv3, database specifici dell'applicazione e nuovi modelli di identità incentrati sull'utente, ad esempio Windows Live ID. I gruppi di SharePoint non concedono diritti specifici per il sito, consentono semplicemente di designare un set di utenti. A seconda delle dimensioni e della complessità dell'organizzazione o del sito Web, è possibile organizzare gli utenti in numerosi o pochi gruppi. I gruppi di SharePoint non possono essere annidati.
Nella tabella seguente vengono visualizzati i gruppi predefiniti creati per i siti del team in SharePoint Server. A ogni gruppo predefinito viene assegnato un livello di autorizzazione predefinito.
Nome del gruppo | Livello di autorizzazione predefinito | Descrizione |
---|---|---|
Visitatori |
Lettura |
Utilizzare questo gruppo per concedere agli utenti autorizzazioni di lettura per il sito di SharePoint. |
Membri |
Modifica |
Utilizzare questo gruppo per concedere agli utenti autorizzazioni di modifica per il sito di SharePoint. |
Proprietari |
Controllo completo |
Utilizzare questo gruppo per concedere agli utenti autorizzazioni di controllo completo per il sito di SharePoint. |
Visualizzatori |
Solo visualizzazione |
Utilizzare questo gruppo per concedere agli utenti autorizzazioni di sola visualizzazione per il sito di SharePoint. |
Se si utilizza un modello di sito diverso da quello del sito del team, sarà disponibile un elenco diverso di gruppi di SharePoint predefiniti. La tabella seguente, ad esempio, mostra gli altri gruppi forniti da un modello di sito di pubblicazione.
Nome del gruppo | Livello di autorizzazione predefinito | Descrizione |
---|---|---|
Lettori con restrizioni |
Lettura con restrizioni per il sito e Accesso limitato per elenchi specifici |
I membri di questo gruppo possono visualizzare pagine e documenti, ma non le versioni nella cronologia o le informazioni sui diritti utente. |
Lettori risorse stili |
Lettura per la raccolta pagine master e Lettura con restrizioni per la raccolta stili. |
Ai membri di questo gruppo viene concessa l'autorizzazione Lettura per la raccolta pagine master e Lettura con restrizioni per la raccolta stili. Per impostazione predefinita, tutti gli utenti autenticati sono membri di questo gruppo. |
Designer |
Progettazione e Accesso limitato |
I membri di questo gruppo possono visualizzare, aggiungere, aggiornare, eliminare, approvare e personalizzare il layout delle pagine del sito usando il browser o SharePoint Designer 2013. |
Revisori |
Approvazione e Accesso limitato |
I membri di questo gruppo possono modificare e approvare pagine, elementi di elenchi e documenti. |
Responsabili gerarchia |
Gestione gerarchia e Accesso limitato |
I membri di questo gruppo possono creare siti, elenchi, elementi di elenchi e documenti. |
Nota
Non rimuovere tutti gli utenti autenticati dal gruppo Lettura risorse stile come Raccolta pagine master e Raccolta stili vengono condivisi tra tutti i siti della raccolta siti e devono essere accessibili a tutti gli utenti di tutti i siti. Se si rimuoveranno tutti gli utenti autenticati dal gruppo, chiunque disponga di questo livello di autorizzazione in un sito secondario non sarà in grado di eseguire il rendering del sito. SharePoint non aggiunge o rimuove automaticamente gli utenti dei siti secondari da o verso questo gruppo in base alle esigenze.
Consiglio
Il livello di autorizzazione Accesso limitato viene utilizzato per offrire ai gruppi l'accesso a specifici elenchi, librerie, cartelle, documenti o elementi senza concedere a tali gruppi l'accesso all'intero sito. Non rimuovere questo livello di autorizzazione dai gruppi sopra elencati. Se si rimuove questo livello di autorizzazione, i gruppi potrebbero non essere in grado di spostarsi all'interno del sito per ottenere gli elementi specifici con cui devono interagire.
Creare la maggior parte degli utenti come membri dei gruppi Visitatori o Membri. Per impostazione predefinita, gli utenti inclusi nel gruppo Membri possono collaborare al sito aggiungendo o rimuovendo elementi o documenti, ma non possono modificare la struttura, le impostazioni o l'aspetto del sito. Il gruppo Visitatori dispone dell'accesso in sola lettura al sito, pertanto gli utenti inclusi in tale gruppo possono visualizzare le pagine e gli elementi o aprire elementi e documenti, ma non aggiungere o rimuovere pagine, elementi o documenti.
Se i gruppi predefiniti non corrispondono a gruppi di utenti esatti nell'organizzazione, è possibile creare gruppi personalizzati.
Oltre ai gruppi di SharePoint precedenti, sono presenti anche gruppi di amministratori per le attività di amministrazione di livello superiore. Sono amministratori di Windows, amministratori della farm di SharePoint e amministratori della raccolta siti.
Per ulteriori informazioni, vedere Choose administrators and owners for the administration hierarchy in SharePoint 2013.
Esaminare i livelli di autorizzazione disponibili
La possibilità di visualizzare, modificare o gestire un sito è determinata dal livello di autorizzazione assegnato a un utente o a un gruppo. Questo livello di autorizzazione controlla tutte le autorizzazioni per il sito e gli oggetti figlio che ereditano le autorizzazioni del sito. Senza i livelli di autorizzazione appropriati, gli utenti potrebbero non essere in grado di eseguire le proprie attività o essere in grado di eseguire attività che non si desidera possano eseguire.
Per impostazione predefinita sono disponibili i livelli di autorizzazione seguenti:
Solo visualizzazione Include autorizzazioni che consentono agli utenti di visualizzare pagine, voci di elenco e documenti.
Accesso limitato Include autorizzazioni che consentono agli utenti di visualizzare elenchi, raccolte documenti, voci di elenco, cartelle o documenti specifici, senza concedere l'accesso a tutti gli elementi di un sito. Questo livello di autorizzazione non può essere modificato direttamente.
Nota
Se questo livello di autorizzazione viene rimosso, i membri del gruppo potrebbero non essere in grado di esplorare il sito per accedere agli elementi, anche se dispongono delle autorizzazioni appropriate per l'elemento desiderato all'interno del sito.
Leggere Include autorizzazioni che consentono agli utenti di visualizzare gli elementi nelle pagine del sito.
Redigere Include autorizzazioni che consentono agli utenti di aggiungere, modificare ed eliminare elenchi; può visualizzare, aggiungere, aggiornare ed eliminare elementi di elenco e documenti.
Contribuire Include autorizzazioni che consentono agli utenti di aggiungere o modificare elementi nelle pagine del sito o negli elenchi e nelle raccolte documenti.
Disegno Include autorizzazioni che consentono agli utenti di visualizzare, aggiungere, aggiornare, eliminare, approvare e personalizzare il layout delle pagine del sito usando il browser o SharePoint Designer 2013.
Controllo completo Include tutte le autorizzazioni.
Per ulteriori informazioni sulle autorizzazioni incluse nei livelli di autorizzazione predefiniti, vedere User permissions and permission levels in SharePoint 2013.
I livelli di autorizzazione aggiuntivi seguenti vengono forniti con il modello di pubblicazione per impostazione predefinita:
Approvare Include le autorizzazioni per modificare e approvare pagine, voci di elenco e documenti.
Gestire la gerarchia Include le autorizzazioni per i siti e la modifica di pagine, elementi elenco e documenti.
Lettura con restrizioni Include le autorizzazioni per visualizzare pagine e documenti, ma non le versioni cronologica o le informazioni sulle autorizzazioni.
Determinare la necessità di gruppi o livelli di autorizzazione personalizzati
I gruppi e i livelli di autorizzazione predefiniti offrono una struttura generale per le autorizzazioni in quanto coprono un'ampia gamma di tipi di organizzazioni e di ruoli all'interno di tali organizzazioni. Potrebbero tuttavia non corrispondere esattamente al modo in cui i propri utenti sono organizzati o alle numerose attività eseguite dagli utenti nei siti. Se i gruppi e i livelli di autorizzazione predefiniti non sono adatti alla propria organizzazione, è possibile creare gruppi personalizzati, cambiare le autorizzazioni incluse in livelli di autorizzazione specifici o creare livelli di autorizzazione personalizzati.
Necessità di gruppi personalizzati
La decisione di creare gruppi personalizzati è abbastanza semplice e incide in modo poco significativo sulla sicurezza del sito. Creare gruppi personalizzati anziché usare i gruppi predefiniti se si applica una delle situazioni seguenti:
Nell'organizzazione ci sono più (o meno) ruoli utente di quelli prevedibili nei gruppi predefiniti. Ad esempio, se oltre ai gruppi Responsabili approvazione, Designer e Responsabili gerarchia c'è un set di utenti responsabile della pubblicazione di contenuto nel sito, è possibile creare un gruppo Editori.
Esistono nomi noti per i ruoli univoci all'interno dell'organizzazione che eseguono attività diverse nei siti. Se si sta ad esempio creando un sito pubblico per vendere i prodotti dell'organizzazione, è possibile creare un gruppo Clienti in sostituzione del gruppo Visitatori o Visualizzatori.
Si desidera mantenere una relazione uno-a-uno tra i gruppi di sicurezza di Windows e i gruppi di SharePoint. Se ad esempio l'organizzazione dispone di un gruppo di sicurezza denominato Gestori sito Web, sarà possibile decidere di utilizzare tale nome come nome di un gruppo di SharePoint per semplificare l'identificazione durante la gestione del sito.
Si preferiscono nomi di gruppi diversi.
Necessità di livelli di autorizzazione personalizzati
La decisione di personalizzare i livelli di autorizzazione è meno semplice di quella di personalizzare i gruppi di SharePoint. Se si personalizzano le autorizzazioni assegnate a un livello di autorizzazione, è necessario tenere traccia di tale modifica, verificare che funzioni per tutti i gruppi e i siti interessati dalla modifica e assicurarsi che la modifica non influisca negativamente sulla sicurezza o sulla capacità o sulle prestazioni del server.
Ad esempio, se si personalizza il livello di autorizzazione Collaborazione per includere l'autorizzazione Crea siti secondari che in genere fa parte del livello di autorizzazione Controllo completo, i membri del gruppo Collaboratori possono creare e creare siti secondari e possono potenzialmente invitare utenti malintenzionati nei propri siti secondari o pubblicare contenuti non approvati. Se si personalizza il livello di autorizzazione Lettura per includere l'autorizzazione Visualizza dati di utilizzo che in genere fa parte del livello di autorizzazione Controllo completo, tutti i membri del gruppo Visitatori possono visualizzare i dati di utilizzo, che potrebbero causare problemi di prestazioni.
Personalizzare i livelli di autorizzazione predefiniti se si applica una delle situazioni seguenti:
Un livello di autorizzazione predefinito include tutte le autorizzazioni ad eccezione di una che è necessaria affinché gli utenti possano eseguire le proprie mansioni e si desidera aggiungere tale autorizzazione.
Un livello di autorizzazione predefinito include un'autorizzazione che gli utenti non devono avere.
Nota
Non personalizzare i livelli di autorizzazione predefiniti se l'organizzazione ha problemi di sicurezza o altri problemi relativi a un'autorizzazione specifica che fa parte del livello di autorizzazione. Se si vuole rendere l'autorizzazione non disponibile per tutti gli utenti assegnati al livello di autorizzazione o ai livelli che includono tale autorizzazione, disattivare l'autorizzazione per tutte le applicazioni Web nella server farm, anziché modificare tutti i livelli di autorizzazione Per gestire le autorizzazioni per un'applicazione Web, vedere Gestire le autorizzazioni per un'applicazione Web in SharePoint Server.
Se si devono apportare diverse modifiche a un livello di autorizzazione, creare un livello di autorizzazione personalizzato che includa tutte le autorizzazioni necessarie.
È possibile creare più livelli di autorizzazione se una delle condizioni seguenti è vera:
Si desidera escludere diverse autorizzazioni da uno specifico livello di autorizzazione.
Si desidera definire un set di autorizzazioni univoco per un nuovo livello di autorizzazione.
Per creare un livello di autorizzazione, è possibile creare un livello di autorizzazione e quindi selezionare le autorizzazioni da includervi.
Nota
Alcune autorizzazioni dipendono da altre autorizzazioni. Se si cancella un'autorizzazione da cui ne dipende un'altra, verrà cancellata anche l'altra autorizzazione.