セキュリティ ロールを計画する (Office SharePoint Server)
この記事の内容 :
ファーム レベルの管理
共有サービス レベルの管理
サイト レベルの管理
ワークシート
Microsoft Office SharePoint Server 2007 の新機能の 1 つは、構成タスクと管理タスクを集中管理する 3 層の管理モデルです。これにより、管理ロールを差別化したり、管理を組織内の適切なユーザーに委任および割り当てることができます。管理モデルでの強化により、IT 組織は管理タスクをより効率的かつ効果的に実行できます。管理モデルと SharePoint グループを使用して、組織内の特定のロールを基準に特定のタスクを実行するために必要な権限のみを付与することができます。3 層管理モデル内でより効果的に作業するために、多くの組織は特定の管理者ロールを各層内で指定します。この記事では、ソリューションの管理に使用できる、各層内の管理者ロールについて説明します。
次の一覧では、各管理層について説明します。
層 1 : ファーム レベル管理者 トップ レベル管理者であり、サーバー ファーム内のすべてのサーバーとファーム レベル サービスに対する権限と職責を持ちます。メンバは、サーバーの全体管理 Web サイトでサーバーまたはサーバー ファームのすべての管理タスクを実行できます。
層 2 : 共有サービス レベル管理者 この層の管理者は、共有サービス管理の管理または割り当ての責任を負います。次の一覧と表は、このカテゴリにおけるロールを示します。
共有サービス管理サイトのサイト コレクションの管理者 共有サービス管理サイトのフル コントロールのアクセス許可レベルと、すべての共有サービス (人材およびビジネス データ カタログを除く) を管理する権限を持ちます。
注意
共有サービス管理サイトを作成すると、サイト コレクションの管理者として指定されたアカウントにのみ、人材とビジネス データ カタログ共有サービスへの権限が自動的に付与されます。
共有サービス管理者 共有サービス サイトのサイト コレクションの管理者によりユーザーとして追加されるユーザーであり、1 つ以上の共有サービスを管理する権限が付与されています。
次の表は、共有サービスを管理するために必要な層 2 のセキュリティ ロールと権限を示します。各ロールの詳細については、この記事で後述する「共有サービス レベルの管理」を参照してください。
ロール名 必要な最小限の権限 説明 共有サービス管理サイトのサイト コレクションの管理者
共有サービス管理サイトのサイト コレクションの管理者グループ メンバシップ
Office SharePoint Server 2007 をインストールしたユーザー アカウントは、共有サービス管理サイトのすべての設定を管理できます。インストール後にメンバシップが許可されたユーザー アカウントは、これらのページへのアクセスが明示的に許可されていない場合、次のページにアクセスできません。
ユーザー プロファイルとプロパティ
プロファイル サービスのポリシー
個人用サイトの設定
検索サービス管理者
共有サービス管理サイトの読み取りまたはそれ以上のアクセス許可レベル
SSP でのすべての検索設定を管理できる
ユーザー プロファイル管理者
プロファイル サービスのユーザー プロファイルの権限を管理する
インポート接続の追加、ユーザー プロファイルの管理、および個人用サイトの設定の構成が可能
対象ユーザー管理者
プロファイル サービスの対象ユーザーの権限を管理する
SSP での対象ユーザー設定の管理が可能
ビジネス データ カタログ管理者
ビジネス データ カタログの権限の編集または編集および実行
ビジネス データ カタログへのアプリケーション定義のインポート、SharePoint サイトおよびリストで使用するエンティティとプロパティの選択、およびオプションでエンティティ インスタンスに対するメソッドの実行が可能
ビジネス データ カタログの権限管理者
ビジネス データ カタログの権限の設定権限
ビジネス データ カタログの権限の管理が可能
プロファイル サービスの権限管理者
プロファイル サービスの権限の管理権限
プロファイル サービスの権限の管理が可能
Excel Services 管理者
共有サービス管理サイトの読み取りまたはそれ以上のアクセス許可レベル
SSP でのすべての Excel Services 設定の管理が可能
利用状況レポート管理者
プロファイル サービスの利用状況分析権限の管理
SSP での利用状況レポート設定の管理が可能
層 3: サイト コレクションの管理者 サイト コレクションに対するフル コントロールのアクセス許可レベルを持ちます。
3 層管理モデルの詳細については、「Office SharePoint Server 2007 の IT 担当者向け新機能」を参照してください。
Office SharePoint Server 2007 は管理ロールの割り当て方法に柔軟性をもたらします。一元管理モデルでは、多くのロールを組織内の数人に割り当てることができます。または、分散管理モデルでは、特定のロールを組織内の異なる人々に委任することができます。
ファーム レベルの管理
ファーム レベルの管理は、一般に次のロールにより実行されます。
ファーム管理者
シングル サインオン管理者 (企業アプリケーション定義管理者を含む)
サーバー レベル管理者
ファーム管理者
ファーム管理者は、サーバー ファーム内のすべてのサーバーに対する権限と職責を持ちます。ファームの管理者 SharePoint グループは、Windows SharePoint Services Version 2.0 で使用されていた SharePoint Administrators グループを置き換えるものです。ファームの管理者グループのメンバは、各サーバーの Administrators グループに追加する必要がありません。ファーム管理者は、サーバーの全体管理をホストするコンピュータ上の WSS_WPG および WSS_RESTRICTED_WPG グループのメンバであり、環境内のすべてのサーバーに対してフル コントロールのアクセス許可レベルを持ちます。既定では、Administrators グループのメンバはファームの管理者 SharePoint グループのメンバです。
ファームの管理者グループのメンバはサーバーの全体管理サイトを管理する幅広い機能を実行できますが、IIS および Microsoft .NET Framework の特定の制約により、一部の操作 (インターネット インフォメーション サービス (IIS) Web サイトの作成、SharePoint Web アプリケーションの作成または削除、アカウント パスワードや Windows サービスの更新) が制限されます。既定では、ファームの管理者グループのメンバは個々のサイトやそのコンテンツへの管理アクセスを持ちません。ただし、特定のサイト コレクションを制御してコンテンツを表示できます。たとえば、サイト コレクションの管理者が組織を離れて新しい管理者を追加する必要がある場合、ファーム管理者は新しい管理者をサイト コレクションの管理者として追加できます。この操作は監査ログに記録されます。最適な実施例として、必要なサイト レベル アクティビティを完了した後に、管理者のサイト コレクションに対する権限を削除することをお勧めします。ファームの管理者グループは、サーバーの全体管理でのみ使用され、サイトについては使用できません。
注意
サーバーの全体管理サイトに対してフル コントロールのアクセス許可レベルを持つすべてのユーザーは、サーバーの全体管理サイトから SSP Web アプリケーションを削除できますが、SSP が機能しなくなるので削除しないよう強くお勧めします。Web アプリケーションを削除した場合、最も新しいバックアップから SSP を復元する以外に解決策はありません。バックアップからの復元方法の詳細については、「ファーム全体のバックアップおよび復元 (SharePoint Server 2007)」を参照してください。
注意
ローカル データベース サーバー コンピュータの Administrators グループでメンバシップを許可するユーザー、および Microsoft SQL Server の固定データベース ロールと固定サーバー ロールでメンバシップを許可するユーザーを慎重に選択します。これは、このグループおよびこれらのロールには SharePoint 製品とテクノロジの構成データベースでフル コントロール アクセス許可レベルがあるためです。
次の表は、ファームの管理者グループのメンバが実行できるタスクを示します。
| SharePoint グループ | 既定でロールは存在しますか | 実行できる操作 | 実行できない操作 |
|---|---|---|---|
ファーム管理者 |
はい |
サーバーの全体管理で管理タスクを実行します。 コンテンツ サイトの所有権を持ちます。 |
所有権を持っている場合を除き、個々のサイトまたはサイト コンテンツを管理します。 個人用サイトを管理します。 共有サービス管理サイトにアクセスします。 SharePoint Web アプリケーションを作成または削除します。 既存の Web アプリケーションおよび NT サービスのアカウントまたはパスワードを更新します。 グローバル アセンブリ キャッシュ (GAC) の更新に必要なソリューションを展開します。 バックアップから復元します。 |
ファームの管理者グループの詳細については、「管理階層の管理者と所有者を選択する (Office SharePoint Server)」を参照してください。
シングル サインオン管理者
シングル サインオン (SSO) 管理者は、SSO アカウントの設定、構成、管理、暗号化キーのバックアップ、および暗号化キーの作成と変更を行います。セキュリティ上の理由から、SSO を設定、構成、および管理するには、SSO 管理者は暗号化キー サーバーにローカルにログオンする必要があり、SSO サーバーの設定をリモートで管理することは禁止されています。SSO 管理者アカウントは、暗号化キーのバックアップも行うことができます。
以下の表では、SSO 管理者ロールについて説明します。
| SharePoint グループ | 既定でロールは存在しますか | 実行できる操作 | 実行できない操作 |
|---|---|---|---|
SSO 管理者 |
いいえ。管理するには、SSO サービスを有効にして SharePoint グループを作成する必要があります。 |
Office SharePoint Server 2007 で SSO サービスを構成および管理します (暗号化キーの管理を含む)。 Office SharePoint Server 2007 内で企業アプリケーション定義を作成、変更、または削除します。 SSO チケットを引き換えます。資格情報が中継サービス (Microsoft BizTalk Server など) を経由して企業アプリケーション定義に到達するシナリオでは、SSO チケットを引き換える権限を中継サービスに付与するために、このグループが使用されます。 |
個々のサイトまたはサイト コンテンツを管理します。 個人用サイトを管理します。 共有サービス管理サイトを使用します。 サーバーの全体管理を使用します。 |
シングル サインオンの詳細については、「シングル サインオンを計画する」を参照してください。
企業アプリケーション定義管理者
SSO 環境では、バックエンドの外部データ ソースおよびシステムは企業アプリケーションと呼ばれます。SSO 環境を構成した後で、企業アプリケーション定義を作成することができます。企業アプリケーション定義管理者は、次のタスクを実行します。
企業アプリケーション定義を作成、削除、および管理します。
企業アプリケーションへのアクセスに使用されるアカウントと資格情報を更新します。
企業アプリケーション定義管理者は、企業アプリケーション定義をリモートで管理することができます。企業アプリケーション定義の詳細については、「シングル サインオンを計画する」の「企業アプリケーション定義」を参照してください。
以下の表では、企業アプリケーション定義管理者ロールについて説明します。
| SharePoint グループ | 既定でロールは存在しますか | 実行できる操作 | 実行できない操作 |
|---|---|---|---|
企業アプリケーション定義管理者 |
いいえ。管理するには、SSO サービスを有効にする必要があります。グローバル グループ アカウントまたは個人のユーザー アカウントである必要があります。このアカウントは、ドメイン ローカル グループや配布リストであってはなりません。 |
企業アプリケーション定義を作成、管理、および削除します。 企業アプリケーション アカウントと資格情報を更新します。 |
個々のサイトまたはコンテンツを管理します。 注意 読み取り権限が明示的に付与されている場合のみ、サイトを管理できます。既定では、読み取り権限は付与されていません。 個人用サイトを管理します。 共有サービス管理 Web サイトにアクセスします。 サーバーの全体管理にアクセスします。 |
サーバー レベル管理者
ローカル サーバー コンピュータ上の Administrators グループのメンバはファームの管理者 SharePoint グループに自動的に追加され、ファーム管理者のすべての操作を実行できます。Administrators グループは Windows グループであり、SharePoint グループではありませんが、ローカル コンピュータ上の Administrators グループは、Office SharePoint Server 2007 で特定の管理タスクを実行します。ローカル コンピュータ上の Administrators グループのメンバは、ファーム管理者と同様に既定ではサイト コンテンツへの管理アクセスを持ちません。ただし、管理グループのメンバは必要に応じて特定のサイト コレクションを制御できます。制御するには、管理グループのメンバはサーバーの全体管理の [サイト コレクションの管理者] ページを使用して、サイト コレクションの管理者として自分を追加します。
以下の表では、サーバー レベル管理者ロールについて説明します。
| グループ | 既定でロールは存在しますか | 実行できる操作 | 実行できない操作 |
|---|---|---|---|
管理者 |
はい。SharePoint グループではなく、既定で存在する Windows グループ。 |
製品をインストールします。 新しい Web アプリケーションと新しいインターネット インフォメーション サービス (IIS) Web サイトを作成します。 サービスを開始します。 Web パーツおよび新機能をグローバル アセンブリ キャッシュに展開します。 サーバーの全体管理ですべてのファーム レベル タスクを実行します (サーバーの全体管理サイトがローカル コンピュータにあることを条件とします)。 Stsadm コマンド ライン ツールを実行します。 注意 Stsadm コマンド ライン ツールを実行するには、サーバー レベル管理者であることが前提条件です。実際に実行するコマンドによっては、追加の権限が必要になる場合があります。たとえば、stsadm.exe –o deleteweb を実行する場合、このコマンドでは、Web アプリケーションに含まれるコンテンツ データベースへの書き込みアクセスを持つアカウントが必要です。 |
個々のサイトまたはサイト コンテンツを管理します。 個人用サイトを管理します。 データベースを管理します。 |
共有サービス レベルの管理
Office SharePoint Server 2007 の管理モデルの新機能の 1 つは、組織が 1 つ以上の共有サービスの管理の割り当てをできることです。大規模な組織では、共有サービスの割り当ては役に立つ場合があります。このような場合、共有サービス管理サイトのサイト コレクションの管理者は、自分の判断でこれらのタスクを 1 人または複数の共有サービス管理者に割り当てることができます。小規模な組織では、サービスの委任が有効ではない可能性があるため、1 人の管理者がすべての共有サービスを管理します。
共有サービス レベル管理には、次のロールがあります。
共有サービス管理サイト コレクションの管理者
共有サービスの管理者
以下の表では、共有サービス サイト コレクションの管理者ロールについて説明します。
サイト コレクションの管理者は、共有サービス管理サイトに対するフル コントロールのアクセス許可レベルを持ちます。Office SharePoint Server 2007 をインストールし、SSP を作成するには、ファーム管理者アカウントが必要です。既定では、SSP を作成したファーム管理者アカウントが共有サービス管理サイトのサイト コレクションの管理者であり、人材およびビジネス データ カタログ共有サービスに対する権限を管理できます。
- 以下の表では、共有サービスの管理者ロールについて説明します。
| 管理者ロール | ロールに追加する方法 | 実行できる操作 | 実行できない操作 |
|---|---|---|---|
共有サービス管理サイトのサイト コレクションの管理者 |
SSP を作成したファーム管理者のユーザー アカウントは、自動的にサイト コレクションの管理者として追加され、共有サービス管理サイトのすべての設定を管理できます。 |
フル コントロールのアクセス許可レベルを使用して、共有サービス管理サイトを使用します。 利用状況レポートを構成します。 ユーザーを、個人用サイトとプロファイルを含むサイトの既定の閲覧者グループに追加します。 個人サイトを作成します。 サイトとユーザー プロファイルを管理します。 特定のサービスの権限を構成したり、共有サービスの管理を他のユーザーに割り当てます。 |
個々のサイトまたはサイト コンテンツを管理します。 インストール後にメンバシップが許可された追加のユーザー アカウントは、明示的にアクセスが許可されていない限り、以下のページにアクセスできません。
|
| ワークシートでの作業 |
|---|
管理者および担当者ワークシート (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x411) の SSP またはサービス名の列に、共有サービス サイト コレクションの管理者を入力し、割り当てるユーザーまたはアカウントを一覧で示します。 |
共有サービスの管理者
共有サービスの管理の割り当てができます。このためには、共有サービス管理サイトのサイト コレクションの管理者がユーザーを共有サービス管理サイトに追加します。共有サービス管理サイトの訪問者グループに追加された任意のユーザーは、読み取り権限を持ち、検索、Excel Services、ユーザー プロファイルとプロパティ、プロファイル サービス ポリシー、および個人用サイトの設定を管理できます。さらに、共有サービスの管理者として共有サービス管理サイトに追加されたユーザーは、[ユーザーの権限の設定] リンクを使用して人材共有サービスの管理権限を付与したり、[ビジネス データ カタログの権限] リンクを使用して、ビジネス データ カタログ共有サービスの管理権限を付与したりすることができます。このため、共有サービス管理サイトに追加されるユーザー グループを慎重に選択します。
重要
共有サービスを管理するには、最初に共有サービス サイト コレクションの管理者がユーザーを共有サービス管理サイトに追加する必要があります。ユーザーを共有サービス管理サイトに追加すると、そのユーザーには検索、Excel Services、ユーザー プロファイルとプロパティ、プロファイル サービス ポリシー、および個人用サイトの設定を管理する権限が自動的に付与されます。人材またはビジネス データ サービスを管理する追加の権限は、該当するサービスの [権限の管理] ページで個々のユーザーに付与されます。
次のセクションでは、さまざまな共有サービス管理者および共有サービス管理者のロールについて説明します。
検索サービス管理者
検索管理者は、サイトでの検索の使用を根本的にサポートする検索システムの複数の側面を管理します。これらの側面には、コンテンツのクロールによるインデックスの作成や共有検索範囲の作成があります。これにより、ユーザーはコンテンツのサブセットで検索を実行できます。検索サービスの管理者は、サイトのコンテンツの構造を考慮したり、ユーザーがサイトのコンテンツを検索、投稿、および操作しやすいようにします。
重要
既定では、共有サービス管理サイトへのアクセス許可を付与されたユーザーは検索設定、検索利用状況レポート、および Excel Services を管理する権限を持ちます。
以下の表では、検索管理者ロールで実行できるタスクについて説明します。
| 管理者ロール | ロールに追加する方法 | 実行できる操作 | 実行できない操作 |
|---|---|---|---|
検索サービス管理者 |
共有サービス管理サイトのサイト コレクションの管理者は、ユーザーを共有サービス管理サイトに追加します。 |
コンテンツ ソースとクロール スケジュールを作成および管理します。 ファイルの種類を管理します。 既定のコンテンツ アクセス アカウントを作成および管理します。 サーバー名マッピングを作成します。 検索ベースの通知をアクティブ化または非アクティブ化します。 検索範囲を作成および管理します。 権限のある Web ページを指定します。 メタデータのプロパティを管理します。 |
サーバーの全体管理サイトにアクセスします。 |
| ワークシートでの作業 |
|---|
管理者および担当者ワークシート (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x411) の SSP またはサービス名の列に、共有サービスの管理者を入力し、割り当てるユーザーまたはアカウントを一覧で示します。 |
ユーザー プロファイル管理者
プロファイル サービスは、ユーザー機能と個人用設定機能のための共有サービスです。プロファイル サービスは、さまざまなソースから得られるユーザーに関する情報のデータベースに接続し、その情報を統合して、強力な個人用設定機能の基礎になるユーザー プロファイルを作成します。サービスの管理者は、Active Directory ディレクトリ サービス、LDAP (ライトウェイト ディレクトリ アクセス プロトコル) などのディレクトリ サービスから、およびビジネス データ カタログを使用して SAP などのビジネス アプリケーションからユーザーに関する情報をインポートします。
管理者がプライバシー保護のためのポリシーを設定できる一方で、組織内の個々のユーザーに合わせてコンテンツを調節できます。以下のテーブルでは、ユーザー プロファイルの管理者ロールについて説明します。
| 管理者ロール | ロールに追加する方法 | 実行できる操作 | 実行できない操作 |
|---|---|---|---|
ユーザー プロファイル管理者 |
サイト コレクションの管理者がユーザーの共有サービス管理サイトへのアクセスを許可し、その後ユーザー プロファイル管理者が [権限の管理 : 共有サービスの権限] ページでユーザー プロファイルの管理権限をユーザーに付与します。このページは、[ユーザーの権限の設定] リンクをクリックすると使用できます。 |
ユーザー プロファイルを構成および管理します。 ユーザー プロファイルのプロパティを表示および編集します。 個人用サイトの設定および権限をカスタマイズおよび構成します。 プロファイル サービスの管理者 個人用設定のリンク、信頼できる個人用サイト ホストのリンク、および Office クライアント アプリケーションのリンクを管理します。 検索サービスおよび [Excel Services] ページにアクセスします。ただし、これらのタスクは、このロールに関連付けられていません。 |
サーバーの全体管理サイトにアクセスします。 プロファイル サービスの権限管理者によって対象ユーザーの管理権限が明示的に付与されていない限り、対象ユーザーを管理します。 プロファイル サービスの権限管理者によって権限の管理権限が明示的に付与されていない限り、権限を管理します。 利用状況分析の管理権限が明示的に付与されていない場合、利用状況レポートを管理します。 |
.
対象ユーザー管理者
Office SharePoint Server 2007 では、ルールを使用してユーザー プロファイルからデータを使用する対象ユーザーを構築できます。これらのルールは、部門または職責、レポートの階層などの関連情報、または配布リストおよびセキュリティ グループにおけるユーザー メンバシップなどのユーザー プロファイルのプロパティを使用して定義できます。次の表に、対象ユーザー管理者ロールを示します。
| 管理者ロール | ロールに追加する方法 | 実行できる操作 | 実行できない操作 |
|---|---|---|---|
対象ユーザー管理者 |
プロファイル サービスの権限管理者は [権限の管理 : 共有サービスの権限] ページのユーザーに対象ユーザーの管理権限を付与します。このページは [ユーザーの権限の設定] リンクをクリックすると使用できます。 |
対象ユーザーおよび対象ユーザーのルールを作成、コンパイル、および管理します。 対象ユーザーのメンバシップを表示します。 個人用設定のリンク、信頼できる個人用サイト ホストのリンク、および Office クライアント アプリケーションのリンクを管理します。 検索サービスおよび [Excel Services 管理] ページにアクセスします。 |
ユーザー プロファイルの管理権限が明示的に付与されていない限り、ユーザー プロファイルまたは個人用サイトを管理します。 ビジネス データ カタログに対する 1 つ以上の権限が明示的に付与されていない限り、ビジネス データ カタログを管理します。 権限の管理権限が明示的に付与されない限り、ユーザーの権限の設定を構成します。 利用状況分析の管理権限が明示的に付与されない限り、利用状況レポートを管理します。 [サーバーの全体管理] ページにアクセスします。 |
ユーザーの権限の設定を構成する方法の詳細については、「個人用設定の権限を構成する」を参照してください。
| ワークシートでの作業 |
|---|
管理者および担当者ワークシート (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x411) の、SSP またはサービス名列で、ユーザー プロファイル管理者または対象ユーザー管理者のどちらかを入力し、割り当てるユーザーまたはアカウントを表示します。 |
ビジネス データ カタログ管理者
ビジネス データ カタログの管理者は、基幹業務アプリケーションとそのアプリケーションのビジネス データの種類およびプロパティの登録を担当します。ビジネス データ カタログは、各 SSP の共有サービス管理サイトから管理されます。SSP の Web アプリケーションおよびサイト コレクションで使用される基幹業務アプリケーションごとに、そのアプリケーションのアプリケーション定義をインポートすることによって、まず基幹業務アプリケーションとユーザーに公開するビジネス データの種類およびプロパティを登録する必要があります。
以下の表では、ビジネス データ カタログの管理者が実行できるタスクについて説明します。
| 管理者ロール | ロールに追加する方法 | 実行できる操作 | 実行できない操作 |
|---|---|---|---|
ビジネス データ カタログの管理者 |
ビジネス データ カタログの権限管理者は、ビジネス データ カタログの [権限の管理] ページのユーザーに編集権限または編集および実行権限を付与します。 |
基幹業務アプリケーションのビジネス データ カタログにアプリケーション定義をインポートします。 各アプリケーションのビジネス データの種類 (エンティティ) およびプロパティを構成します。 実行権限を使用して、エンティティ インスタンスのメソッドを実行します。 アプリケーションおよびエンティティを表示し、プロファイル ページ テンプレートを編集し、カスタム ビジネス アクションを作成します。 ビジネス データ コンテンツ ソースの検索を管理します。個人用設定リンク、信頼されている個人用サイト ホストのリンク、Office クライアント アプリケーションからのリンクを管理します。ただし、これらのタスクはこのロールに関連付けられていません。 [Excel Services] ページにアクセスします。ただし、これらのタスクはこのロールに関連付けられていません。 |
ビジネス データ カタログの権限管理者によって権限の設定権限が明示的に付与されていない限り、ビジネス データ カタログに対する権限を管理します。 ユーザーがサイト コレクションの管理者またはサイトの所有者でもあり、ビジネス データ カタログの権限管理者によってクライアントでの選択権限が明示的に付与されていない限り、ビジネス データのリスト、Web パーツ、サイトをカスタマイズします。 利用状況分析の管理権限が明示的に付与されない限り、利用状況レポートを管理します。 Excel Services と検索以外の他の共有サービスにアクセスします。 サーバーの全体管理サイトにアクセスします。 |
ビジネス インテリジェンス機能の詳細については、「ビジネス インテリジェンス機能を構成する」を参照してください。
| ワークシートでの作業 |
|---|
管理者および担当者ワークシート (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x411) の SSP またはサービス名の列に、プロファイル サービスの管理者または対象ユーザー サービスの管理者を入力し、割り当てるユーザーまたはアカウントを一覧で示します。 |
ビジネス データ カタログの権限管理者
ビジネス データ カタログの権限管理者は、すべてのビジネス データ カタログ設定に対する権限を管理する責任を負います。ユーザーがビジネス データ カタログの共有サービスを使用するには、[権限の変更 : ビジネス データ カタログ] ページで [権限の設定] を選択する必要があります。 次の表に、ビジネス データ カタログの権限管理者が実行できるタスクを示します。
| 管理者ロール | ロールに追加する方法 | 実行できる操作 | 実行できない操作 |
|---|---|---|---|
ビジネス データ カタログの権限管理者 |
インストール時に権限の設定権限を付与された共有サービスの管理サイトの既定のサイト コレクション管理者は、[権限の変更 : ビジネス データ カタログ] ページの他のユーザーに権限の設定権限を付与します。 このページは、[ビジネス データ カタログ権限] リンクをクリックすると使用できます。 |
ビジネス データ カタログを設定します。 個人用設定リンク、信頼されている個人用サイト ホストのリンク、Office クライアント アプリケーションからのリンクを管理します。ただし、これらのタスクはこのロールに関連付けられていません。 検索サービスおよび [Excel Services] ページにアクセスします。ただし、これらのタスクは、このロールに関連付けられていません。 |
サーバーの全体管理サイトにアクセスします。 プロファイル サービスの権限を管理します。 ユーザー プロファイルの管理権限が明示的に付与されていない限り、ユーザー プロファイルまたは個人用サイトを管理します。 サイト コレクションの管理者によって対象ユーザーの管理権限が明示的に付与されていない限り、対象ユーザーを管理します。 利用状況分析の管理権限が明示的に付与されない限り、利用状況レポートを管理します。 |
| ワークシートでの作業 |
|---|
管理者および担当者ワークシート (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x411) の SSP またはサービス名の列に、ビジネス データ カタログ サービスの管理者を入力し、割り当てるユーザーまたはアカウントを一覧で示します。 |
プロファイル サービスの権限管理者
プロファイル サービスの権限管理者は、プロファイル サービスの権限を管理する責任を負います。管理者は、共有サービスの管理サイトの [ユーザーの権限の設定] リンクを使用して、権限を設定します。次の表に、プロファイル サービスの権限管理者が実行できるタスクを示します。
| 管理者ロール | ロールに追加する方法 | 実行できる操作 | 実行できない操作 |
|---|---|---|---|
プロファイル サービスの権限管理者 |
インストール時に権限の設定権限を付与された共有サービスの管理サイトの既定のサイト コレクション管理者は、[権限の管理 : 共有サービスの権限] ページの他のユーザーに権限の管理権限を付与します。このページは、[ユーザーの権限の設定] リンクをクリックすると使用できます。 |
個人用設定サービスの権限を構成します。 個人用設定リンク、信頼されている個人用サイト ホストのリンク、Office クライアント アプリケーションからのリンクを管理します。ただし、これらのタスクは共有サービスの管理サイトへのアクセス権を持つすべてのユーザーが使用できます。 検索サービスおよび [Excel Services] ページにアクセスします。ただし、これらのタスクは、このロールに関連付けられていません。 |
ビジネス データ カタログの権限を管理します。 ユーザー プロファイルの管理権限が明示的に付与されていない限り、ユーザー プロファイルまたは個人用サイトを管理します。 共有サービスの管理サイトのサイト コレクション管理者によって対象ユーザーの管理権限が明示的に付与されていない限り、対象ユーザーを管理します。 利用状況分析の管理権限が明示的に付与されない限り、利用状況レポートを管理します。 ビジネス データ カタログに対する 1 つ以上の権限が明示的に付与されていない限り、ビジネス データ カタログを管理します。 サーバーの全体管理サイトにアクセスします。 |
| ワークシートでの作業 |
|---|
管理者および担当者ワークシート (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x411) の SSP またはサービス名の列に、Excel Services サービスの管理者を入力し、割り当てるユーザーまたはアカウントを一覧で示します。 |
Excel Services 管理者
Excel Services を使用すると、ユーザーはサーバー側のワークブック計算を活用できます。また、管理者はワークブックへのアクセスを制御したり、私的データや知的財産をセキュリティ保護することができます。これにより、ブック内のデータが保護される一方で、ユーザーはデータ更新および再計算機能を最大限に活用することができます。
以下の表では、Excel Services 管理者が実行できるタスクについて説明します。
| 管理者ロール | ロールに追加する方法 | 実行できる操作 | 実行できない操作 |
|---|---|---|---|
Excel Services 管理者 |
共有サービス管理サイトのサイト コレクションの管理者は、ユーザーを共有サービス管理サイトに追加する必要があります。 |
信頼できるファイル保存場所を追加します。 信頼できるデータ プロバイダを追加します。 信頼できるデータ接続ライブラリを追加します。 ユーザー定義関数アセンブリを追加します。 Excel Services の設定を変更する。 他の管理ページ (ビジネス データ カタログ アプリケーション ページなど) にアクセスします。 |
サーバーの全体管理サイトにアクセスします。 SSO サービスを開始および管理します。 Excel Calculation Services または他のサービスを開始または停止します。 Stsadm コマンド ライン管理操作を実行します。 |
Excel Services の詳細については、「Excel Services のセキュリティを計画する」を参照してください。
| ワークシートでの作業 |
|---|
管理者および担当者ワークシート (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x411) の SSP またはサービス名列で、Excel Services 管理者を入力し、割り当てるユーザーまたはアカウントを表示します。 |
利用状況レポート管理者
利用状況レポートは、サイト コレクションの管理者、サイト所有者、および共有サービスの管理者がユーザーのサイト利用状況の統計値を確認できるサービスです。また、利用状況レポートには、検索の共有サービスの管理者およびサイト コレクションの管理者が表示できる検索クエリの利用状況レポートも含まれています。次の手順では、3 つの手順による処理を示します。
利用状況レポートを構成する
ファーム管理者は、SSP を含む Web アプリケーションをホストするファームについて、Windows SharePoint Services 利用状況ログを有効にします。
利用状況レポート管理者は利用状況レポート サービスを有効にし、構成します。
利用状況レポート管理者は、レポート機能をアクティブにし、サイト コレクションの利用状況レポートを有効にします。
以下の表では、利用状況レポート管理者が実行できるタスクについて説明します。
| 管理者ロール | ロールに追加する方法 | 実行できる操作 | 実行できない操作 |
|---|---|---|---|
利用状況レポート管理者 |
プロファイル サービスの権限管理者は、利用状況分析の管理権限をユーザーに付与します。 |
共有サービス管理サイトを使用して、利用状況レポート サービスを有効にします。サイトまたはサイト コレクションの利用状況の表示は、サイトの所有者またはサイト コレクション管理者に許可されたタスクです。このタスクは、利用状況レポート管理者が利用状況レポートを有効にしない場合は許可されません。 検索クエリ ログを構成します。 |
共有サービスの管理サイトへの読み取りアクセス権を持つすべてのユーザーが使用できる場合を除き、他の任意の共有サービスにアクセスします。 サーバーの全体管理サイトにアクセスします。 |
利用状況レポート サービスの詳細については、「利用状況レポートを構成する」を参照してください。
| ワークシートでの作業 |
|---|
管理者および担当者ワークシート (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x411) の SSP またはサービス名の列に、利用状況レポート管理者を入力し、割り当てるユーザーまたはアカウントを一覧で示します。 |
サイト レベルの管理
サイト レベル管理には、次のロールがあります。
サイト コレクションの管理者
サイトの所有者
サイト コレクションの管理者
サイト コレクションの管理者は、サイト コレクション内のすべての Web サイトに対するフル コントロールのアクセス許可レベルを持ちます。サイト コレクションの管理者は、サイト コレクション レベルから、トップ レベル サイトの [サイトの設定] ページを使用して設定 (サイト コレクションの機能、サイト コレクション監査の設定、サイト コレクション ポリシーなど) を管理します。サイト コレクションを作成するときは、プライマリおよびセカンダリ サイト コレクションの管理者を指定できます。サイト コレクションの管理者とは、サイト コレクションを含む特定のサイトのすべてのタスクなど、サイト コレクション内のすべてのタスクを実行できることが指定されているフラグをコンテンツ データベース内に持つユーザーです。このフラグは、サーバーの全体管理の [サイト コレクションの管理者] ページ、トップ レベル サイトの [サイトの設定] ページ、または Stsadm コマンド ライン ツールを使用するサイト所有者操作を使用して変更できます。通常は、サイトを作成するときにサイト コレクションの管理者を指定しますが、サーバーの全体管理サイトまたは [サイトの設定] ページを使用して必要に応じて変更することもできます。
以下の表では、サイト コレクションの管理者ロールについて説明します。
| SharePoint グループ | 既定でロールは存在しますか | 実行できる操作 | 実行できない操作 |
|---|---|---|---|
サイト コレクションの管理者 |
はい |
サイト コレクションのすべての管理タスクを実行し、コンテンツを管理します。 |
サーバーの全体管理サイトにアクセスします。 |
サイトの所有者
サイト所有者とは、サイト上のフル コントロールのアクセス許可レベルを特に直接付与された所有者であるか、サイトのフル コントロールのアクセス許可レベルを持つ SharePoint グループ (たとえば、Owners グループ) のメンバであることによりそのアクセス許可レベルを特に付与された所有者です。サイト所有者は、サイト コレクション全体ではなく、サイトのみに関連するタスクを実行できます。
注意
サイトを作成したユーザーは、サイトの所有者グループに自動的に追加されます。
以下の表では、サイトの所有者が実行できるタスクについて説明します。
| SharePoint グループ | 既定でロールは存在しますか | 実行できる操作 | 実行できない操作 |
|---|---|---|---|
<サイト名> の所有者 |
はい |
サイト コレクション全体ではなく、サイトのみに関連するタスクを実行します。 ドキュメント、リスト、およびライブラリの管理タスクを実行します。 |
サーバーの全体管理サイトにアクセスします。 共有サービス管理サイトにアクセスします。 第 2 ステージのごみ箱からのアイテムの復元、サイト階層の管理など、サイト コレクション管理タスクを実行します。 |
サイト レベル管理の詳細については、「管理階層の管理者と所有者を選択する (Office SharePoint Server)」を参照してください。
ワークシート
セキュリティ ロールを計画するには、以下のワークシートを使用します。
このブックをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収められています。
入手できるすべてのブックの一覧については、「 Office SharePoint Server 2007 のダウンロード可能なブック」を参照してください。
関連項目
概念
シングル サインオン サービスを開始する
シングル サインオンを構成する (Office SharePoint Server)
使用するアクセス許可レベルおよびグループを決定する (Office SharePoint Server)
共有サービス プロバイダを計画する
ユーザーとユーザー プロファイルを計画する
個人用に設定されたコンテンツおよびサイトを計画する
ビジネス データ カタログでビジネス データ接続を計画する
ビジネス データへのアクセスを構成する
Excel Services を構成する