Определение требуемых уровней разрешения и групп (SharePoint Server 2010)

 

Применимо к: SharePoint Foundation 2010, SharePoint Server 2010

Последнее изменение раздела: 2016-11-30

В данной статье рассматриваются группы и уровни разрешений по умолчанию, после ознакомления с которыми можно принять решение, использовать ли их "как есть", настроить их или создать другие группы и уровни разрешений.

Содержание:

  • Обзор доступных групп по умолчанию

  • Обзор доступных уровней разрешений

  • Определение потребности в дополнительных уровнях разрешений или группах

Наиболее важное решение, касающееся безопасности сайта и контента в Microsoft SharePoint Server 2010, состоит в том, как распределить пользователей по категориям и какие уровни разрешений им присвоить.

Обзор доступных групп по умолчанию

Группы SharePoint позволяют управлять коллективами пользователей, а не отдельными пользователями. Они могут состоять из нескольких индивидуальных пользователей или могут включать контент любой корпоративной системы идентификации, включая службы домена Active Directory (AD DS), каталоги на основе LDAPv3, базы данных, связанные с определенными приложениями и новые модели идентификации, сфокусированные на пользователе, такие как LiveID. Группы SharePoint не предоставляют никаких особых прав на сайте; они являются способом объединения нескольких пользователей. В зависимости от размера и сложности организации или веб-сайта можно распределить пользователей по нескольким группам или ограничиться совсем небольшим числом групп.

В следующей таблице представлены группы по умолчанию, созданные для веб-сайтов группы в SharePoint Server 2010.

Имя группы Уровень разрешений по умолчанию

Браузеры

Только просмотр

Посетители

Чтение

Члены

Участие

Разработчики

Разработка

Владельцы

Полный доступ

Если используется шаблон сайта, отличный от шаблона веб-сайтов группы, отобразится другой список групп SharePoint по умолчанию. Например, в следующей таблице показаны дополнительные группы, полученные при публикации шаблона сайта.

Имя группы Уровень разрешений по умолчанию

Ограниченное чтение.

Ограниченное чтение на сайте, а также ограниченный доступ к определенным спискам

Чтение ресурсов стилей

Чтение коллекции главных страниц и ограниченное чтение библиотеки стилей

Пользователи с правом быстрого развертывания

Добавление в библиотеку элементов для быстрого развертывания, а также ограниченный доступ к остальной части сайта

Утверждающие

Утверждение, а также ограниченный доступ

Управляющие иерархией

Управление иерархией, а также ограниченный доступ

Кроме того, для решения задач администрирования более высокого уровня доступны следующие особые пользователи и группы:

  • Администраторы семейства сайтов   Одного или нескольких пользователей можно назначить главными и дополнительными администраторами семейства сайтов. Эти пользователи записаны в базе данных как контактные лица для данного семейства сайтов, они имеют полный доступ ко всем сайтам данного семейства, могут проверять контент сайта и получать любые административные предупреждения (например, проверить, используется ли данный сайт). Администраторы семейства сайтов назначаются при создании сайта, но в случае необходимости их можно заменить, используя веб-сайт центра администрирования или страницы параметров сайта семейства сайтов. Группы и роли AD DS нельзя добавлять как администраторов семейства сайтов.

    Примечание

    Администраторы семейства веб-сайтов обладают полными правами для всех сайтов семейства. Они могут добавлять и удалять сайты или изменять параметры любого сайта в семействе. Также они могут просматривать, добавлять, удалять и изменять весь контент этих сайтов. Они могут добавлять и удалять пользователей с сайтов и отправлять приглашения на эти сайты. Владельцы семейства веб-сайтов — это единственные пользователи, получающие уведомления по электронной почте о таких событиях, как автоматическое удаление неактивных сайтов. По умолчанию владельцы семейства веб-сайтов также получают запросы о предоставлении прав доступа от пользователей, которым было отказано в доступе.

  • **Администраторы фермы   **Эта группа определяет, какие пользователи могут управлять сервером и параметрами фермы серверов. По умолчанию администраторы фермы не имеют доступа к контенту сайта; для просмотра любого контента они должны стать владельцами сайта. Группа администраторов фермы используется только в центре администрирования и недоступна для любого сайта.

  • **Администраторы   **Члены группы администраторов на локальном сервере могут выполнять все операции администратора фермы и ряд других, включая следующие:

    • Установку новых продуктов или приложений

    • Развертывание веб-частей и новых функций в глобальном кэше сборок

    • Создание новых веб-приложений и веб-сайтов IIS

    • Запуск служб

    Члены группы администраторов на локальном сервере, как и члены группы администраторов фермы, по умолчанию не имеют доступа к контенту сайта.

После определения необходимых групп определите уровни разрешений, которые должны быть присвоены каждой группе на вашем сайте.

Обзор доступных уровней разрешений

Возможность просматривать или изменять сайт, а также управлять им, определяется уровнем разрешений, присвоенным пользователю или группе. Этот уровень разрешений указывает все разрешения для данного сайта и всех дочерних сайтов, списков, библиотек документов, папок, а также элементов или документов, которые наследуют разрешения сайта. Без соответствующих уровней разрешений пользователи могут оказаться неспособными решить поставленные перед ними задачи либо им может быть предоставлена возможность решать те задачи, которые не предполагалось им поручать.

По умолчанию доступны следующие уровни разрешений:

  • **Ограниченный доступ   **Включает разрешения, позволяющие пользователям просматривать конкретные списки, библиотеки документов, элементы списков, папки или документы без предоставления доступа ко всем элементам сайта. Этот уровень разрешений нельзя изменять напрямую.

    Примечание

    Если удалить этот уровень разрешений, члены группы не смогут перемещаться по сайту с целью доступа к элементам, даже если у них есть нужные разрешения на сайте.

  • **Чтение   **Включает разрешения, позволяющие пользователям просматривать элементы на страницах сайта.

  • **Участие   **Включает разрешения, позволяющие пользователям добавлять или изменять элементы на страницах сайта или в списках и библиотеках документов.

  • **Проектирование   **Включает разрешения, позволяющие пользователям изменять макет веб-страниц с помощью браузера или Microsoft SharePoint Designer 2010.

  • **Полный доступ   **Включает все разрешения.

По умолчанию при публикации шаблона даются следующие дополнительные уровни разрешений:

  • **Только просмотр   ** Включает разрешения, позволяющие пользователям просматривать страницы, элементы списков и документы.

  • **Утверждение   **Включает разрешения на изменение и утверждение страниц, элементов списка и документов.

  • **Управление иерархией   **Включает разрешение на сайты и изменение страниц, элементов списка и документов.

  • **Ограниченное чтение   **Включает разрешения на просмотр страниц и документов, но не предыдущие версии или сведения о правах пользователей.

Определение необходимости дополнительных уровней разрешений или групп

Группы и уровни разрешений предоставляют общую структуру для разрешений, охватывающую множество различных типов организаций и ролей в этих организациях. Однако эта структура может не отражать во всех подробностях конкретные особенности вашей организации или все множество различных задач, которые решают пользователи на ваших сайтах. Если группы и уровни разрешений по умолчанию не соответствуют потребностям организации, можно создать пользовательские группы, изменить разрешения, включенные в конкретные уровни разрешений или создать пользовательские уровни разрешений.

Потребность в пользовательских группах

Решение создать пользовательские группы является вполне очевидным и мало повлияет на безопасность сайта. Создание пользовательских групп вместо использования групп по умолчанию целесообразно в следующих ситуациях:

  • В организации существует больше (или меньше) ролей пользователей, чем предусмотрено в группах по умолчанию. Например, если кроме утверждающих, разработчиков и управляющих иерархиями в организации существует ряд сотрудников, в задачу которых входит публикация контента на сайте, может возникнуть необходимость в создании группы "Издатели".

  • В организации имеются широко известные названия уникальных ролей, решающих совершенно различные задачи. Например, если создается общедоступный сайт для продажи продукции организации, может оказаться полезной группа "Клиенты", создаваемая вместо групп "Посетители" или "Наблюдатели".

  • Есть необходимость сохранить однозначное соответствие между группами безопасности Windows и группами SharePoint. Например, если в организации имеется группа безопасности с именем "Управляющие веб-сайтами" и требуется использовать это имя как имя группы для простоты идентификации при управлении сайтом.

  • Вы предпочитаете другие имена групп.

Потребность в пользовательских уровнях разрешений

Решение создать пользовательские уровни разрешений менее очевидно, чем решение о создании пользовательских групп SharePoint. Если изменяются разрешения, присвоенные конкретному уровню разрешений, необходимо понимать последствия такого изменения, проверить, как оно повлияет на все группы и сайты, имеющие отношение к этому изменению, и убедиться, что данное изменение не окажет отрицательного влияния на безопасность или не снизит работоспособность и производительность сервера.

Например, если настроить уровень разрешений "Участие", включив разрешение на создание дочерних сайтов, которое обычно относится к уровню разрешений "Полный доступ", то члены группы "Участники" смогут создавать свои дочерние веб-сайты, что возможно может привести к приглашению ими в эти дочерние сайты злоумышленников или размещению нежелательного контента. Если уровень разрешений "Чтение" настроить, включив разрешение "Просмотр данных об использовании", которое обычно относится к уровню разрешений "Полный доступ", все члены группы "Посетители" смогут просматривать данные об использовании, что может привести к снижению быстродействия.

Изменение настройки уровней разрешений по умолчанию целесообразно в следующих ситуациях:

  • Уровень разрешений по умолчанию включает все разрешения, кроме одного, которое необходимо пользователям для выполнения их работы, и вы хотите добавить это разрешение.

  • Уровень разрешений по умолчанию включает разрешение, в котором пользователи не нуждаются.

    Важно!

    Не следует изменять настройку уровней разрешений по умолчанию, если организация озабочена конкретным разрешением, входящим в уровень разрешений, по соображениям безопасности или каким-либо другим причинам и хочет сделать это разрешение недоступным для всех пользователей, которым присвоен этот уровень разрешений или другие уровни, включающие данное разрешение. Отключите это разрешение для всех веб-приложений в ферме серверов, а не изменяйте все уровни разрешений.

Если требуется внести несколько изменений в уровень разрешений, лучше создать пользовательский уровень разрешений, включающий все необходимые разрешения.

Создание дополнительных уровней разрешений может оказаться целесообразным в следующих ситуациях:

  • Необходимо исключить несколько разрешений из конкретного уровня разрешений.

  • Необходимо определить уникальный набор разрешений для нового уровня разрешений.

Чтобы создать уровень разрешений, можно скопировать существующий уровень разрешений и внести в него изменения или создать уровень разрешений и выбрать необходимые разрешения.

Примечание

Некоторые разрешения зависят от других разрешений. Если удаляется разрешение, от которого зависит другое разрешение, это другое разрешение тоже удаляется.