Planejar permissões do site (SharePoint Server 2010)

 

Aplica-se a: SharePoint Foundation 2010, SharePoint Server 2010

Tópico modificado em: 2016-11-30

Este artigo ajuda você a planejar o controle de acesso nos níveis de conjunto de sites, site, subsite e conteúdo de site (lista ou biblioteca, pasta, item ou documento). Ele também descreve os conceitos sobre herança de permissão e permissões refinadas.

Este artigo não aborda o planejamento da segurança de todo o servidor ou do farm de servidores. Para obter mais informações sobre o planejamento de outros aspectos da segurança, como métodos e modos de autenticação, consulte Planejar métodos de autenticação (SharePoint Server 2010).

Neste artigo:

  • Sobre permissões de site

  • Sobre a herança de permissão

  • Planejar permissões de site

  • Planejamento de herança de permissão

Introdução

Você pode controlar o acesso ao site e ao seu conteúdo atribuindo permissões a usuários ou grupos para um site ou conteúdo de site específico nos seguintes níveis em um conjunto de sites:

  • Site

  • Biblioteca ou lista

  • Pasta

  • Documento ou item

Antes de desenvolver seu plano de acesso a conteúdo e sites, você deve considerar as seguintes questões:

  • Que grau de granularidade você deseja ter para controlar as permissões para o site ou seu conteúdo? Por exemplo, talvez você deseje controlar o acesso no nível de site ou precise de configurações de segurança mais restritivas para um item, pasta ou lista específico.

  • Como você deseja categorizar e gerenciar seus usuários usando grupos do SharePoint? Grupos não têm permissões até receberem um nível de permissão para um site específico ou para um conteúdo de site específico. Ao atribuir níveis de permissão a grupos do SharePoint no nível de conjunto de sites, por padrão, todos os sites e conteúdo de site herdam esses níveis de permissão.

Para obter mais informações sobre como usar grupos para ajudar a gerenciar permissões, consulte Escolher grupos de segurança (SharePoint Server 2010).

Sobre permissões de site

Você precisa entender os conceitos a seguir antes de projetar seu plano de permissões.

  • Permissões   Permissões concedem a um usuário a capacidade de executar ações específicas. Por exemplo, a permissão Exibir Itens permite que um usuário exiba itens em uma lista ou pasta, mas não adicione nem remova esses itens. Permissões podem ser concedidas a usuários individuais nos níveis de site ou conteúdo de site.

    Para obter mais informações sobre as permissões disponíveis, consulte User permissions and permission levels (SharePoint Server 2010).

  • Permissões refinadas   Permissões refinadas são permissões exclusivas em objetos protegíveis que estão em um nível inferior de uma hierarquia de site, como permissões em uma lista ou biblioteca, em uma pasta ou em um item ou documento. Permissões refinadas permitem maior granularidade e a personalização de permissões de usuário em um conjunto de sites.

  • Nível de permissão   Níveis de permissão são conjuntos de permissões que permitem aos usuários executar um conjunto de tarefas relacionadas. Por exemplo, o nível de permissão Ler inclui as permissões Exibir Itens, Abrir Itens, Exibir Páginas e Exibir Versões (entre outras), que são necessárias para exibir páginas, documentos e itens em um site do SharePoint. Permissões podem ser incluídas em mais de um nível de permissão.

    Os níveis de permissão são definidos no nível de conjunto de sites e podem ser personalizados por qualquer usuário ou grupo cujo nível de permissão inclua a permissão Gerenciar Permissões. Para obter mais informações sobre como personalizar níveis de permissão, consulte Configure custom permissions (SharePoint Server 2010).

    Os níveis de permissão padrão são Acesso Limitado, Leitura, Colaboração, Design e Controle Total. Para obter mais informações sobre os níveis de permissão padrão e as permissões incluídas em cada nível, consulte User permissions and permission levels (SharePoint Server 2010).

  • Grupo do SharePoint   Um grupo do SharePoint é um grupo de usuários que são definidos no nível de conjunto de sites para facilitar o gerenciamento de permissões. A cada grupo do SharePoint é atribuído um nível de permissão padrão. Por exemplo, os grupos padrão do SharePoint são Proprietários, Visitantes e Membros, com Controle Total, Ler e Contribuir como seus níveis de permissão padrão, respectivamente. Qualquer pessoa com a permissão Controle Total pode criar grupos personalizados.

  • Usuário    Usuário é uma pessoa com uma conta de usuário de qualquer provedor de autenticação com suporte no aplicativo Web. É recomendável atribuir permissões a grupos em vez de usuários, embora você possa conceder permissões a usuários individuais diretamente para um site ou conteúdo específico. Como é ineficiente manter contas de usuário individuais, você deve atribuir permissões a usuários individuais somente como exceção.

  • Objeto protegível   Usuários ou grupos recebem níveis de permissão para um objeto protegível específico: site, lista, biblioteca, pasta, documento ou item. Por padrão, todas as listas e bibliotecas de um site herdam as permissões desse site. Você pode usar as permissões no nível da lista, pasta e item para controlar adicionalmente quais usuários podem exibir ou interagir com o conteúdo do site. É necessário interromper a herança de permissão para alterar ou atribuir permissões a esse objeto protegível. A qualquer momento, você pode voltar a herdar permissões da lista pai ou do site pai.

Você pode atribuir a um usuário ou grupo permissões para um objeto protegível específico. Usuários individuais ou grupos podem ter permissões diferentes para objetos protegíveis diferentes. O diagrama a seguir ilustra as relações entre permissões, usuários e grupos e objetos protegíveis.

Níveis específicos de permissão

Sobre a herança de permissões

As permissões em objetos protegíveis em um site são herdadas do objeto pai por padrão. Você pode interromper a herança e usar permissões refinadas — permissões exclusivas na lista ou biblioteca, pasta ou no nível de item ou documento — para obter maior controle sobre as ações que os usuários podem executar no seu site. Para obter mais informações sobre as práticas recomendadas para usar permissões refinadas, consulte o artigo sobre práticas recomendadas para usar permissões refinadas

Se você interromper a herança de permissões, isso copiará os grupos, usuários e níveis de permissão do objeto pai para o objeto filho e interromperá a herança. Quando a herança de permissão é interrompida, todas as permissões são explícitas, e nenhuma alteração no objeto pai afeta o objeto filho. Se você restaurar as permissões herdadas, o objeto filho herdará seus usuários, grupos e níveis de permissão do pai novamente, e você perderá os usuários, grupos ou níveis de permissão exclusivos do objeto filho.

Para facilitar o gerenciamento, use a herança de permissões sempre que possível.

Dica

Se optar por interromper a herança e usar permissões refinadas, você deverá usar grupos para evitar ter que controlar usuários individuais. Como as pessoas entram e saem de equipes e têm suas responsabilidades modificadas com frequência, controlar essas alterações e atualizar as permissões para objetos protegidos exclusivamente seria um processo muito demorado e propenso a erros.

Planejar permissões de site

Ao criar permissões, você deve equilibrar a facilidade de administração e desempenho com a necessidade de controlar o acesso a itens individuais. Se fizer uso intensivo de permissões refinadas, você gastará mais tempo gerenciando as permissões, e os usuários poderão experimentar maior lentidão quando tentarem acessar o conteúdo do site.

Use estas diretrizes para planejar permissões de site:

  1. Siga o princípio do menor privilégio: os usuários deverão ter somente os níveis de permissão ou as permissões individuais que forem necessárias à execução das tarefas atribuídas a eles.

  2. Use grupos padrão (por exemplo, Membros, Visitantes e Proprietários) e controle as permissões no nível do site.

    • Atribua a maioria dos usuários ao grupo Membros ou Visitantes. Por padrão, os usuários do grupo Membros podem contribuir com o site, adicionando ou removendo itens ou documentos, mas não podem alterar a estrutura, as configurações ou a aparência do site. O grupo Visitantes tem acesso somente leitura ao site, significando que eles podem visualizar páginas e itens e podem abri-los, mas não podem adicionar nem remover páginas, itens ou documentos.

    • Limite o número de pessoas no grupo Proprietários. Somente os usuários de sua confiança para alterar a estrutura, configurações ou aparência do site devem estar no grupo Proprietários.

  3. Use níveis de permissão em vez de atribuir permissões individuais.

Observação

  1. Você poderá criar grupos do SharePoint e níveis de permissão adicionais se precisar de mais controle sobre as ações dos usuários. Por exemplo, se não quiser que o nível de permissão Leitura em um determinado subsite inclua a permissão Criar Alertas, interrompa a herança e personalize o nível de permissão Leitura para esse subsite.

  2. O Microsoft SharePoint Foundation 2010 e o SharePoint Server 2010 usam Verificar Permissões para determinar as permissões de um usuário ou de um grupo em todos os recursos de um conjunto de sites. Agora, você pode localizar as permissões atribuídas diretamente ao usuário e as permissões atribuídas a qualquer grupo do qual o usuário seja membro verificando as permissões de um site ou conteúdo de site específico.

Planejamento de herança de permissão

É mais fácil gerenciar as permissões quando há uma hierarquia bem-definida de permissões e permissões herdadas. A dificuldade aumenta quando algumas listas em um site têm permissões refinadas aplicadas e quando alguns sites têm subsites com permissões exclusivas e outros com permissões herdadas. Tanto quanto possível, organize sites e subsites, listas e bibliotecas para que possam compartilhar a maioria das permissões. Separe dados sigilosos em suas próprias listas, bibliotecas ou subsites.

Por exemplo, é muito mais fácil gerenciar um site que tenha herança de permissões de acordo com a tabela a seguir.

Objeto protegível Descrição Permissões herdadas ou exclusivas

SiteA

Home page do grupo

Exclusiva

SiteA/SubsiteA

Grupo confidencial

Exclusiva

SiteA/SubsiteA/ListaA

Dados confidenciais

Exclusiva

SiteA/SubsiteA/BibliotecaA

Documentos confidenciais

Exclusiva

SiteA/SubsiteB

Informações de projeto compartilhadas pelo grupo

Herdada

SiteA/SubsiteB/ListaB

Dados não confidenciais

Herdada

SiteA/SubsiteB/BibliotecaB

Documentos não confidenciais

Herdada

No entanto, não é tão fácil gerenciar um site que tenha herança de permissões de acordo com a tabela a seguir.

Objeto protegível Descrição Permissões herdadas ou exclusivas

SiteA

Home page do grupo

Exclusiva

SiteA/SubsiteA

Grupo confidencial

Exclusiva

SiteA/SubsiteA/ListaA

Dados não confidenciais

Exclusiva, mas com as mesmas permissões do SiteA

SiteA/SubsiteA/BibliotecaA

Documentos não confidenciais, mas com um ou dois documentos confidenciais

Herdada, com permissões exclusivas no nível do documento

SiteA/SubsiteB

Informações de projeto compartilhadas pelo grupo

Herdada

SiteA/SubsiteB/ListaB

Dados não confidenciais, mas com um ou dois itens confidenciais

Herdada, com permissões exclusivas no nível do item

SiteA/SubsiteB/BibliotecaB

Documentos não confidenciais, mas com uma pasta especial que contém documentos confidenciais

Herdada, com permissões exclusivas no nível do documento e pasta