Определение уровней разрешений и групп в SharePoint Server
ОБЛАСТЬ ПРИМЕНЕНИЯ:2013 2016 2019 Subscription Edition SharePoint в Microsoft 365
Группа SharePoint — это набор пользователей, которыми можно управлять коллективно. Уровень разрешений — это набор разрешений, которые можно назначить определенной группе для конкретного защищаемого объекта. Группы и уровни разрешений SharePoint определяются на уровне семейства сайтов и по умолчанию наследуются от родительского объекта. В данной статье рассматриваются группы и уровни разрешений по умолчанию, после ознакомления с которыми можно принять решение, использовать ли их "как есть", настроить ли их или создать другие группы и уровни разрешений.
Наиболее важным решением о безопасности сайта и содержимого в SharePoint Server является группирование пользователей и назначенных уровней разрешений.
Сведения о группах SharePoint по умолчанию в Microsoft 365.
Обзор доступных групп по умолчанию
Группы SharePoint позволяют управлять коллективами пользователей, а не отдельными пользователями. Эти группы могут содержать много отдельных пользователей или включать содержимое любой корпоративной системы удостоверений, включая доменные службы Active Directory (AD DS), каталоги на основе LDAPv3, базы данных для конкретных приложений и новые модели идентификации, ориентированные на пользователей, такие как Windows Live ID. Группы SharePoint не предоставляют никаких особых прав на сайте; они являются способом объединения нескольких пользователей. В зависимости от размера и сложности организации или веб-сайта можно распределить пользователей по нескольким группам или ограничиться совсем небольшим числом групп. Группы SharePoint не могут быть вложенными.
В следующей таблице показаны группы по умолчанию, созданные для сайтов групп в SharePoint Server. Каждой стандартной группе назначен уровень разрешений по умолчанию.
Имя группы | Уровень разрешений по умолчанию | Описание |
---|---|---|
"Посетители" |
Чтение |
Эта группа используется для предоставления разрешения на чтение для сайта SharePoint. |
Members |
Изменить |
Эта группа используется для предоставления разрешения на изменение для сайта SharePoint. |
Владельцы |
Полный доступ |
Эта группа используется для предоставления разрешения "Полный доступ" для сайта SharePoint. |
Наблюдатели |
Только просмотр |
Эта группа используется для предоставления разрешения "Только просмотр" для сайта SharePoint. |
Если используется шаблон сайта, отличный от шаблона сайта группы, отобразится другой список групп SharePoint по умолчанию. Например, в следующей таблице показаны другие группы, предоставляемые шаблоном сайта публикации.
Имя группы | Уровень разрешений по умолчанию | Описание |
---|---|---|
Ограниченные читатели |
Ограниченное чтение на сайте, а также ограниченный доступ к определенным спискам |
Участники этой группы могут просматривать страницы и документы, но не могут просматривать предыдущие версии или сведения о правах пользователей. |
Читатели ресурсов стилей |
Чтение коллекции главных страниц и ограниченное чтение библиотеки стилей |
Участникам этой группы предоставляется разрешение на чтение для коллекции главных страниц и разрешение на ограниченное чтение для библиотеки стилей. По умолчанию участниками этой группы являются все проверенные пользователи. |
Разработчики |
Разработка, ограниченный доступ |
Члены этой группы могут просматривать, добавлять, обновлять, удалять, утверждать и настраивать макет страниц сайта с помощью браузера или SharePoint Designer 2013. |
Утверждающих |
Утверждение, а также ограниченный доступ |
Участники этой группы могут изменять и утверждать страницы, элементы списков и документы. |
Управляющие иерархий |
Управление иерархией, а также ограниченный доступ |
Участники этой группы могут создавать сайты, списки, элементы списков и документы. |
Примечание.
Не удаляйте всех прошедших проверку подлинности пользователей из группы "Читатели ресурсов стиля", так как коллекция эталонных страниц и библиотека стилей являются общими для всех сайтов в семействе веб-сайтов и должны быть доступны всем пользователям всех сайтов. Если удалить из группы всех прошедших проверку подлинности пользователей, любой пользователь с этим уровнем разрешений на дочернем сайте не сможет отрисовывать сайт. SharePoint не будет автоматически добавлять или удалять пользователей дочерних сайтов в эту группу или из нее по мере необходимости.
Совет
Уровень разрешений "Ограниченный доступ" предоставляет группам доступ к определенному списку, библиотеке, папке, документу или элементу, не предоставляя доступа ко всему сайту. Не удаляйте этот уровень разрешений из групп, перечисленных выше. Если удалить этот уровень разрешений, группы, возможно, не смогут переходить через сайт для получения конкретных элементов, с которыми они должны взаимодействовать.
Сделайте большинство пользователей членами групп "Посетители" или "Участники". По умолчанию пользователи, входящие в группу "Участники", могут управлять контентом сайта, добавляя или удаляя элементы и документы, однако им запрещено изменять структуру сайта, его параметры и внешний вид. Группа "Посетители" обладает доступом только для чтения сайта, то есть они могут просматривать страницы и элементы, открывать элементы и документы, но не могут добавлять или удалять страницы, элементы и документы.
Если группы по умолчанию не соответствуют группам пользователей в организации, можно создать настраиваемые группы.
Помимо перечисленных выше групп SharePoint, существуют группы администраторов для выполнения задач администрирования более высокого уровня. Это группы администраторов Windows, администраторов фермы SharePoint и администраторов семейства сайтов.
Дополнительные сведения см. в статье Choose administrators and owners for the administration hierarchy in SharePoint 2013.
Обзор доступных уровней разрешений
Возможность просмотра, изменения или управления сайтом определяется уровнем разрешений, назначенным пользователю или группе. Этот уровень разрешений управляет всеми разрешениями для сайта и дочерних объектов, наследующих разрешения сайта. Без необходимых уровней разрешений пользователи не смогут выполнять свои задачи или же смогут выполнять задачи, которые им не назначались.
По умолчанию доступны следующие уровни разрешений.
Только просмотр Включает разрешения, позволяющие пользователям просматривать страницы, элементы списка и документы.
Ограниченный доступ Включает разрешения, позволяющие пользователям просматривать определенные списки, библиотеки документов, элементы списка, папки или документы без предоставления доступа ко всем элементам сайта. Этот уровень разрешений нельзя изменять напрямую.
Примечание.
Если удалить этот уровень разрешений, участники группы не смогут переходить по сайту с целью доступа к элементам, даже если у них есть нужные разрешения на сайте.
Читать Включает разрешения, позволяющие пользователям просматривать элементы на страницах сайта.
Редактировать Включает разрешения, позволяющие пользователям добавлять, изменять и удалять списки; может просматривать, добавлять, обновлять и удалять элементы и документы списка.
Способствовать Включает разрешения, позволяющие пользователям добавлять или изменять элементы на страницах сайта или в списках и библиотеках документов.
Проектировать Включает разрешения, позволяющие пользователям просматривать, добавлять, обновлять, удалять, утверждать и настраивать макет страниц сайта с помощью браузера или SharePoint Designer 2013.
Полный доступ Включает все разрешения.
Дополнительные сведения о разрешениях, которые включены в уровни разрешений по умолчанию, см. в статье User permissions and permission levels in SharePoint 2013.
По умолчанию шаблон публикации предоставляет следующие дополнительные уровни разрешений:
Одобрять Включает разрешения на изменение и утверждение страниц, элементов списка и документов.
Управление иерархией Включает разрешения для сайтов и редактирования страниц, элементов списка и документов.
Ограниченное чтение Включает разрешения на просмотр страниц и документов, но не исторические версии или сведения о разрешениях.
Определение потребности в пользовательских уровнях разрешений или группах
Группы и уровни разрешений по умолчанию предоставляют стандартную инфраструктуру для разрешений, охватывающую множество типов организаций и ролей в этих организациях. Однако эта инфраструктура может не отражать во всех подробностях особенности конкретной организации или все множество различных задач, которые выполняют пользователи на сайтах. Если группы и уровни разрешений по умолчанию не соответствуют потребностям организации, можно создать пользовательские группы, изменить разрешения, включенные в конкретные уровни разрешений, или создать пользовательские уровни разрешений.
Потребность в пользовательских группах
Решение создать пользовательские группы является вполне очевидным и мало повлияет на безопасность сайта. Создайте пользовательские группы вместо групп по умолчанию, если применяется любая из следующих ситуаций:
В организации существует больше (или меньше) ролей пользователей, чем предусмотрено в группах по умолчанию. Например, если, кроме утверждающих, разработчиков и управляющих иерархиями, в организации существует ряд сотрудников, в задачу которых входит публикация контента на сайте, может возникнуть необходимость в создании группы "Издатели".
Существуют известные имена уникальных ролей в организации, которые выполняют различные задачи на сайтах. Например, если создается общедоступный сайт для продажи продукции организации, может оказаться полезной группа "Клиенты", создаваемая вместо групп "Посетители" или "Наблюдатели".
Есть необходимость сохранить однозначное соответствие между группами безопасности Windows и группами SharePoint. Например, если в организации имеется группа безопасности с именем "Управляющие веб-сайтами" и требуется использовать это имя как имя группы для простоты идентификации при управлении сайтом.
Вы предпочитаете другие имена групп.
Потребность в пользовательских уровнях разрешений
Решение создать пользовательские уровни разрешений менее очевидно, чем решение о создании пользовательских групп SharePoint. При настройке разрешений, назначенных уровню разрешений, необходимо отслеживать это изменение, убедиться, что оно работает для всех групп и сайтов, затронутых изменением, и убедиться, что изменение не повлияет на безопасность, емкость или производительность сервера.
Например, если настроить уровень разрешений "Участие", включив разрешение на создание дочерних сайтов, которое обычно относится к уровню разрешений "Полный доступ", то пользователи, входящие в группу "Участники", смогут создавать свои дочерние веб-сайты, что может привести к приглашению ими в эти дочерние сайты злоумышленников или размещению нежелательного контента. Если настроить уровень разрешений "Чтение", включив разрешение "Просмотр данных об использовании", которое обычно относится к уровню разрешений "Полный доступ", все участники группы "Посетители" смогут просматривать данные об использовании, что может привести к снижению быстродействия.
Настройте уровни разрешений по умолчанию, если применяется любая из следующих ситуаций:
Уровень разрешений по умолчанию включает все разрешения, кроме одного, которое необходимо пользователям для выполнения их работы, и вы хотите добавить это разрешение.
Уровень разрешений по умолчанию включает разрешение, в котором пользователи не нуждаются.
Примечание.
Не настраивайте уровни разрешений по умолчанию, если в вашей организации есть проблемы безопасности или другие проблемы с определенным разрешением, которое является частью уровня разрешений. Если вы хотите сделать это разрешение недоступным для всех пользователей, назначенных уровню разрешений или уровням, которые включают это разрешение, отключите разрешение для всех веб-приложений в ферме серверов, а не измените все уровни разрешений Управление разрешениями для веб-приложения, см. статью Управление разрешениями для веб-приложения в SharePoint Server.
Если требуется внести несколько изменений в уровень разрешений, лучше создать пользовательский уровень разрешений, включающий все необходимые разрешения.
Вы можете создать дополнительные уровни разрешений, если выполняется одно из следующих условий:
Необходимо исключить несколько разрешений из конкретного уровня разрешений.
Необходимо определить уникальный набор разрешений для нового уровня разрешений.
Для создания уровня разрешений можно сначала создать сам уровень, а затем выбрать разрешения, которые необходимо в него включить.
Примечание.
Некоторые разрешения зависят от других разрешений. Если удаляется разрешение, от которого зависит другое разрешение, это другое разрешение тоже удаляется.