アクセス許可レベルおよびグループを決定する (SharePoint Foundation)

  • [アーティクル]

 

適用先: SharePoint Foundation 2010

ここでは、既定のグループとアクセス許可レベルについて、およびこれらを使用するか、カスタマイズするか、または新しいグループとアクセス許可レベルを追加してセキュリティを強化するかを決定するのに役立つ情報について説明します。

この記事の内容

  • 使用可能な既定のグループを確認する

  • 使用可能なアクセス許可レベルを確認する

  • 追加のアクセス許可レベルやグループが必要かどうかを判断する

Microsoft SharePoint Foundation 2010 で、サイトおよびコンテンツのセキュリティに関して行う最も重要な決定は、ユーザーをどのように分類し、どのようなアクセス許可レベルを割り当てるかについてです。

さまざまな既定の SharePoint グループがあり、それらは実行する必要がある操作の種類に基づいてユーザーを分類するのに役立ちますが、独自の要件やユーザー グループの異なる見方が存在する場合があります。同様に、既定のアクセス許可レベルがありますが、それらが必ずしもグループで実行する必要のあるタスクに適しているとは限りません。

ここでは、既定のグループおよびアクセス許可レベルを確認し、それらをそのまま使用するか、カスタマイズするか、別のグループおよびアクセス許可レベルを作成するかを決定します。

使用可能な既定のグループを確認する

SharePoint グループでは、個別のユーザーではなく、ユーザーの集合を管理します。SharePoint グループは、多数の個人ユーザーで構成される場合、単一の Windows セキュリティ グループの場合、またはこれら 2 つの組み合わせの場合があります。SharePoint グループは、サイトに対して特定の権限を付与するものではなく、単にユーザーのグループを含める手段です。組織や Web サイトの規模と複雑さに応じて、複数のユーザーをいくつかのグループに整理できます。

SharePoint Foundation 2010 でサイトに対して作成される既定のグループを、次の表に示します。

グループ名 既定のアクセス許可レベル

<サイト名> の閲覧者

読み取り

<サイト名> のメンバー

投稿

<サイト名> の所有者

フル コントロール

また、高度な管理タスクには、以下の特殊なユーザーとグループを利用できます。

  • サイト コレクションの管理者   サイト コレクションの管理者および代理の管理者として、1 人または複数のユーザーを指定できます。これらのユーザーは、サイト コレクションの問い合わせ先としてデータベースに記録され、サイト コレクション内のすべてのサイトに対するフル コントロールを持ち、すべてのサイト コンテンツを監査でき、管理上の通知 (サイトが使用中かどうかの確認など) を受信します。通常は、サイトを作成するときにサイト コレクションの管理者を指定しますが、サーバーの全体管理サイトまたは [サイトの設定] ページを使用して必要に応じて変更することもできます。

  • **ファーム管理者   **サーバーおよびサーバー ファームの設定を管理できるユーザーを制御します。ファームの管理者グループは、サーバーの管理者グループにユーザーを追加することが必要となる場合に使用します。ファームの管理者は、既定ではサイト コンテンツへのアクセス権を持っていないため、コンテンツを表示するにはサイトの所有権を取得する必要があります。その場合、ファームの管理者はサイト コレクションの管理者として自分を追加しますが、この操作は監査ログに記録されます。ファームの管理者グループは、サーバーの全体管理でのみ使用され、任意のサイトについては利用できません。

  • **管理者   **ローカル サーバー上の管理者グループのメンバーは、ファームの管理者が行うすべての操作に加えて以下を実行できます。

    • 新しい製品またはアプリケーションをインストールする。

    • Web パーツおよび新機能をグローバル アセンブリ キャッシュに展開する。

    • 新しい Web アプリケーションと新しい IIS Web サイトを作成する。

    • サービスを開始する。

    ファーム管理者グループと同様に、ローカル サーバーの管理者グループのメンバーには、既定ではサイト コンテンツへのアクセス権がありません。

必要なグループを決定した後、サイト上の各グループに割り当てるアクセス許可レベルを決定します。

使用可能なアクセス許可レベルを確認する

特定のサイトを表示、変更、または管理できるかどうかは、ユーザーまたはグループに割り当てるアクセス許可レベルによって決まります。このアクセス許可レベルにより、サイト、サブサイト、リスト、ドキュメント ライブラリ、フォルダー、およびサイトの権限を継承するアイテムまたはドキュメントに対するすべての権限が制御されます。適切なアクセス許可レベルが設定されていないと、ユーザーは自身の作業を実行できなかったり、管理者が意図していない作業を実行したりする可能性があります。

既定では、以下のアクセス許可レベルを使用できます。

  • **制限付きアクセス   **権限が付与されたときに、ユーザーが特定のリスト、ドキュメント ライブラリ、リスト アイテム、フォルダー、またはドキュメントを表示できる権限が含まれています。

  • **読み取り   **ユーザーがサイト ページのアイテムを表示できる権限が含まれています。

  • **投稿   **ユーザーがサイト ページ、リスト、ドキュメント ライブラリのアイテムを追加または変更できる権限が含まれています。

  • **デザイン   **ユーザーがブラウザーまたは Microsoft Office SharePoint Designer 2007 を使用してサイト ページのレイアウトを変更できる権限が含まれています。

  • **フル コントロール   **すべての権限が含まれています。

追加のアクセス許可レベルやグループが必要かどうかを判断する

既定のグループおよびアクセス許可レベルは、権限の一般的なフレームワークを提供するように設計されており、幅広い組織の種類およびそれらの組織内のさまざまな役割に対応しています。ただし、ユーザーを組織化する方法や、ユーザーがサイトで実行するさまざまなタスクに、これらが完全に適合するとは限りません。既定のグループおよびアクセス許可レベルが組織に適していない場合は、カスタム グループを作成したり、特定のアクセス許可レベルに含まれている権限を変更したり、ユーザー設定のアクセス許可レベルを作成したりできます。

カスタム グループが必要かどうかの判断

カスタム グループの作成を決定することは、非常に単純で、サイトのセキュリティにほとんど影響を与えません。基本的に、以下のいずれかに該当する場合は、既定のグループを使用する代わりにカスタム グループを作成する必要があります。

  • 組織内のユーザー ロールが、既定のグループにあるユーザー ロールより多い (または少ない)。たとえば、編集者以外にもサイトへのコンテンツ発行を担当する一連の社員がいる場合は、発行者グループを作成するとよいでしょう。

  • 組織内に、サイトでまったく異なるタスクを実行する、よく使われる名前の一意な役割がある場合。たとえば、組織の製品を販売するためのパブリック サイトを作成する場合は、訪問者や閲覧者の代わりに顧客グループを作成すると便利です。

  • Windows セキュリティ グループと SharePoint グループの間で一対一の関係を維持する場合 (たとえば、Web サイト管理者用にセキュリティ グループが設定されている組織で、サイトを管理するときに識別しやすいようにその名前をグループ名として使用する場合)。

  • 他のグループ名を使用する場合。

カスタム アクセス許可レベルが必要かどうかの判断

アクセス許可レベルのカスタマイズを決定することは、SharePoint グループのカスタマイズを決定することに比べると複雑です。アクセス許可レベルに割り当てられている権限をカスタマイズする場合は、その変更内容を記録し、その変更の影響を受けるすべてのグループおよびサイトでそれが動作することを確認し、その変更によってセキュリティ、サーバーの容量、またはパフォーマンスに悪影響が及ばないことを確認する必要があります。

たとえば、セキュリティについては、投稿のアクセス許可レベルを通常はフル コントロールのアクセス許可レベルの一部であるサブサイトの作成権限が含まれるようにカスタマイズすると、投稿者はサブサイトを作成および所有できますが、場合によっては、それらのサブサイトに悪意のあるユーザーを招いたり、未承認のコンテンツを投稿することもできます。また、容量に関しては、読み取りのアクセス許可レベルを変更して、通常は投稿アクセス許可レベルの一部である通知の作成権限を含めると、訪問者グループのすべてのメンバーが通知を作成できるため、サーバーに負荷がかかります。

以下のどちらかの状況に該当する場合は、既定のアクセス許可レベルをカスタマイズする必要があります。

  • 既定のアクセス許可レベルに、ユーザーが業務を遂行するために必要な権限以外のすべての権限が含まれていて、必要な権限を追加する場合。

  • 既定のアクセス許可レベルに、ユーザーには不要な権限が含まれている場合。

    注意

    組織に特定の権限に関するセキュリティまたはその他の考慮事項があり、その権限を含む単一または複数のアクセス許可レベルに割り当てられているすべてのユーザーに対してその権限を無効にする場合は、既定のアクセス許可レベルをカスタマイズしないでください。この場合は、すべてのアクセス許可レベルを変更する代わりに、サーバー ファーム内のすべての Web アプリケーションに対してこの権限を無効にします。

特定のアクセス許可レベルに対して複数の変更を加える必要のある場合は、必要な権限すべてを含むカスタム アクセス許可レベルを作成することをお勧めします。

以下のどちらかの状況に該当する場合は、アクセス許可レベルを追加して作成します。

  • 特定のアクセス許可レベルから複数の権限を除外する場合。

  • 新しいアクセス許可レベルに対して、一意な一連の権限を定義する場合。

アクセス許可レベルを作成するには、既存のアクセス許可レベルをコピーして変更を加えるか、アクセス許可レベルを作成して必要な権限を選択します。

注意

一部の権限は、他の権限に依存します。他の権限が依存している権限を無効にすると、もう一方の権限も無効になります。