Планирование разрешений сайта (SharePoint Foundation 2010)
Применимо к: SharePoint Foundation 2010
Последнее изменение раздела: 2016-11-30
Сведения, приведенные в этой статье, облегчают планирование управления доступом на уровнях семейства сайтов, сайтов, дочерних сайтов и контента сайтов (списка или библиотеки, папки, элемента или документа). В статье также описываются концепции наследования разрешений и детальных разрешений.
В этой статье не затрагивается планирование безопасности всего сервера или фермы серверов. Дополнительные сведения о планировании других аспектов безопасности, таких как методы и режимы проверки подлинности, см. в разделе Планирование способов проверки подлинности (SharePoint Foundation 2010).
Содержание:
Разрешения сайта
Наследование разрешений
Планирование разрешений сайта
Планирование наследования разрешений
Введение
Доступом к сайту и контенту сайта можно управлять, назначая пользователям или группам разрешения для доступа к определенному сайту или контенту сайта на следующих уровнях в семействе сайтов:
Сайт
на уровне библиотеки или списка;
Папка
на уровне документа или элемента.
Перед планированием доступа к сайту и контенту следует обратить внимание на следующие особенности:
Насколько детальным должен быть контроль разрешений для сайта или контента сайта? Например, управление доступом может осуществляться на уровне всего сайта, а для определенного списка, папки или элемента могут использоваться ограниченные параметры безопасности.
Как будут использоваться группы SharePoint для категоризации пользователей и управления ими? Группы не имеют разрешений, если им не назначен определенный уровень разрешений для конкретного сайта или контента. Уровни разрешений, назначаемые группам SharePoint на уровне семейства сайтов, по умолчанию наследуются всеми сайтами и контентом сайтов.
Дополнительные сведения об использовании групп при управлении разрешениями см. в статье Выбор групп безопасности (SharePoint Foundation 2010)).
Разрешения сайтов
Перед планированием разрешений следует ознакомиться со следующими понятиями:
Разрешения. Разрешения дают пользователю возможность выполнять определенные действия. Например, разрешение на просмотр элементов позволяет пользователю просматривать элементы в списке или папке, но не позволяет добавлять или удалять элементы. Разрешения могут предоставляться отдельным пользователям на уровне сайта или контента сайта.
Дополнительные сведения о доступных разрешениях см. в статье User permissions and permission levels (SharePoint Foundation 2010).
Детальные разрешения Это уникальные разрешения для объектов в нижней части иерархии сайтов, такие как разрешения для списка или библиотеки, папки, элемента или документа. Детальные разрешения предоставляют более точный уровень детальности разрешений пользователя в семействе сайтов.
Уровень разрешений. Это набор разрешений, позволяющих пользователям выполнять набор связанных действий. Например, уровень разрешений "Чтение" включает в числе прочих разрешения на просмотр элементов, открытие элементов, просмотр страниц и просмотр версий, которые необходимы для просмотра страниц, документов и элементов на сайте SharePoint. Разрешения могут быть включены в несколько уровней разрешений одновременно.
Уровни разрешений определяются на уровне семейства сайтов и могут настраиваться любым пользователем или группой, уровень разрешения которых включает разрешение на управление разрешениями. Дополнительные сведения о настройке уровней разрешений см. в статье Configure custom permissions (SharePoint Foundation 2010).
Уровни разрешений по умолчанию: "Ограниченный доступ", "Чтение", "Участие", "Разработка" и "Полный доступ". Сведения об уровнях разрешений по умолчанию и о включенных в них разрешениях см. в разделе User permissions and permission levels (SharePoint Foundation 2010).
Группа SharePoint. Это группа пользователей, которая определяется на уровне семейства сайтов для более удобного управления разрешениями. Для каждой группы SharePoint назначается уровень разрешений по умолчанию. Например, по умолчанию в SharePoint имеются группы "Владельцы", "Посетители" и "Участники" с уровнями разрешений "Полный доступ", "Чтение" и "Участие" соответственно. С разрешением "Полный доступ" можно создавать пользовательские группы.
Пользователь. Это может быть лицо с учетной записью пользователя от любого поставщика проверки подлинности, поддерживаемого веб-приложением. Рекомендуется назначать разрешения группам, а не пользователям, хотя возможно также прямое предоставление отдельным пользователям разрешений на сайт или определенный контент. Управление учетными записями отдельных пользователей неэффективно, поэтому следует назначать разрешения отдельным пользователям только в исключительных случаях.
Объект, который можно защитить. Это может быть сайт, список, библиотека, папка, документ или элемент, уровни разрешений для которого можно назначить пользователям или группам. По умолчанию все списки и библиотеки сайта наследуют разрешения сайта. Разрешения уровня списка, папки и элемента могут использоваться для последующего управления списком пользователей, имеющих возможность просмотра или взаимодействия с контентом сайта. Чтобы изменить или назначить разрешения для объекта, который можно защитить, необходимо сначала отменить наследование разрешений. Можно в любое время возобновить наследование разрешений из родительского списка.
Пользователям или группам можно назначать разрешения для конкретных объектов, которые можно защитить. Отдельные пользователи или группы могут иметь различные разрешения для разных объектов. На следующей диаграмме показаны взаимосвязи между разрешениями, пользователями, группами и объектами, которые можно защитить.
Наследование разрешений
Разрешения на объекты, которые можно защитить, внутри сайта по умолчанию наследуются от родительского объекта. Можно отменить наследование и использовать детальные разрешения (уникальные разрешения на уровне списка, библиотеки, папки, элемента или документа) для более точного управления действиями, которые пользователи могут выполнять на сайте. Дополнительные сведения об использовании детальных разрешений см. в рекомендациях по использованию детально настроенных разрешений
При отмене наследования разрешений выполняется копирование групп, пользователей и уровней разрешений из родительского объекта в дочерний объект, а затем наследование прекращается. Когда наследование отменено, все разрешения назначаются явным образом, а любые изменения в родительском объекте не влияют на дочерний объект. При восстановлении унаследованных разрешений дочерний объект снова унаследует группы, пользователей и уровни разрешений от родительского объекта, а все уникальные для дочернего объекта группы, пользователи и уровни разрешений будут утеряны.
Для упрощения управления используйте наследование разрешений, где это возможно.
Совет
В случае отмены наследования и использования детальных разрешений применение групп позволит избежать необходимости отслеживания разрешений для отдельных пользователей. Поскольку пользователи могут переходить из группы в группу и часто менять обязанности, отслеживание этих изменений и обновление разрешений для уникальных объектов, которые можно защитить, будет занимать много времени и повысит вероятность возникновения ошибок.
Планирование разрешений сайта
При создании разрешений необходимо найти баланс между простотой управления, производительностью и необходимостью управления отдельными элементами. При частом использовании детальных разрешений управление ими будет отнимать слишком много времени, и производительность пользователей при доступе к контенту сайта может снизиться.
При планировании разрешений сайта следует руководствоваться следующими правилами:
Следуйте принципу предоставления минимальных прав: пользователи должны иметь только те уровни разрешений или индивидуальные разрешения, которые необходимы для выполнения назначенных им задач.
Используйте стандартные группы (например, "Участники", "Посетители" и "Владельцы") и управляйте разрешениями на уровне сайта.
Включите большинство пользователей в группы "Участники" или "Посетители". Пользователи, состоящие в группе "Участники", по умолчанию имеют право добавлять на сайт элементы или документы, а также удалять их, но не могут изменять структуру, параметры или внешний вид сайта. Группа "Посетители" имеет доступ к сайту только для чтения, что позволяет участникам этой группы просматривать страницы и элементы, а также открывать элементы и документы, но не позволяет добавлять или удалять страницы, элементы или документы.
Ограничьте количество участников группы "Владельцы". В эту группу должны входить только те пользователи, которым вы разрешаете изменять структуру, параметры или внешний вид сайта.
Используйте уровни разрешений вместо назначения отдельных разрешений.
Примечание
-
Чтобы увеличить степень контроля над действиями, которые могут предпринять пользователи, можно создать дополнительные группы SharePoint и уровни разрешений. Например, если уровень разрешений "Чтение" для определенного дочернего сайта должен включать разрешение "Создание оповещений", остановите наследование и измените разрешение "Чтение" для этого дочернего сайта.
-
В Microsoft SharePoint Foundation 2010 и SharePoint Server 2010 с помощью функции Проверка разрешений можно определить разрешения пользователя или группы на всех ресурсах внутри семейства сайтов. Проверка разрешений для конкретного сайта или контента сайта позволяет найти разрешения, присвоенные пользователю напрямую, и разрешения, присвоенные группам, в которые входит этот пользователь.
Планирование наследования разрешений
Управлять разрешениями намного легче при наличии четкой иерархии разрешений и наследуемых разрешений. В то же время эта задача становится труднее, если для некоторых списков сайта используются детальные разрешения, а также в том случае, когда у одних сайтов дочерние сайты обладают уникальными разрешениями, а у других сайтов — наследуемыми.
Например, значительно проще управлять сайтом с наследованием разрешений, описанным в следующей таблице.
Защищаемый объект | Описание | Уникальные или наследуемые разрешения |
---|---|---|
Сайт A |
Домашняя страница группы |
Уникальные |
Сайт A/дочерний сайт A |
Конфиденциальная группа |
Уникальные |
Сайт A/дочерний сайт A/список A |
Конфиденциальные данные |
Уникальные |
Сайт A/дочерний сайт A/библиотека A |
Конфиденциальные документы |
Уникальные |
Сайт A/сайт B |
Общие сведения проекта группы |
Унаследованные |
Сайт A/сайт B/список B |
Не конфиденциальные данные |
Унаследованные |
Сайт A/сайт B/библиотека B |
Не конфиденциальные документы |
Унаследованные |
Гораздо сложнее управлять сайтом с наследованием разрешений, показанным в следующей таблице.
Защищаемый объект | Описание | Уникальные или наследуемые разрешения |
---|---|---|
Сайт A |
Домашняя страница группы |
Уникальные |
Сайт A/дочерний сайт A |
Конфиденциальная группа |
Уникальные |
Сайт A/дочерний сайт A/список A |
Не конфиденциальные данные |
Уникальные, но с такими же разрешениями, как для сайта А |
Сайт A/дочерний сайт A/библиотека A |
Не конфиденциальные документы, но с одним или двумя конфиденциальными документами |
Унаследованные, с уникальными разрешениями на уровне документа |
Сайт A/сайт B |
Общие сведения проекта группы |
Унаследованные |
Сайт A/сайт B/список B |
Не конфиденциальные данные, но с одним или двумя конфиденциальными элементами |
Унаследованные, с уникальными разрешениями на уровне элемента |
Сайт A/сайт B/библиотека B |
Неконфиденциальные документы при наличии отдельной папки, содержащей конфиденциальные документы |
Унаследованные, с уникальными разрешениями на уровне папки и документа |