SharePoint Server 中的安全组概述

  • 项目

适用于:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

如果将权限级别分配给组而不是单个用户,则可更高效地管理 SharePoint 网站用户。 SharePoint 组是一组单个用户,并且还可以包括 Active Directory 域服务 (AD DS) 组。

了解 Microsoft 365 中的组

简介

在 AD DS 中,通常使用以下组来组织用户:

  • 通讯组 仅用于电子邮件通讯组且未启用安全功能的组。 随机访问控制列表(DACL,用于定义资源和对象的权限)中无法列出通讯组。

  • 安全组 可在 DACL 中列出的组。 安全组也可用作电子邮件实体。

可以通过直接向 SharePoint 组添加安全组并授予 SharePoint 组相应权限的方式,使用安全组来控制网站的权限。 不能直接向 SharePoint 组添加通讯组,但可以展开通讯组并将单个成员添加到 SharePoint 组中。 如果使用此方法,则必须手动保持 SharePoint 组与通讯组同步。 如果使用安全组,则无需在 SharePoint 应用程序中管理单个用户。 由于包含的是安全组本身而不是组中的单个成员,因此,AD DS 能为您管理用户。

注意

为了简化安全管理,在管理 AD DS 组时不建议采用以下做法。 > 将权限级别直接分配给 AD DS 组。 > 添加包含嵌套安全组、联系人或通讯组列表的安全组。

决定是否添加安全组

向 SharePoint 组添加安全组可实现组和安全性的集中管理。 安全组是用于管理单个用户的唯一位置。 向 SharePoint 组添加安全组后,就不必再管理该 SharePoint 组中的安全组成员。 如果从安全组中移除某个用户,该用户会自动从 SharePoint 组中移除。

但是,SharePoint 网站中的安全组不能充分了解正在发生的情况。 例如,向特定网站的 SharePoint 组添加安全组时,该网站不会出现在用户的"我的网站"中。 在单个用户参与网站创作之前,"用户信息列表"也不会显示这些用户。 此外,具有深度嵌套结构的安全组可能会破坏 SharePoint 网站。

考虑到上述优点和缺点,可采用下面的建议:

  • 对于用户大量访问的 Intranet 网站,使用安全组,因为您不必担心访问 Intranet 网站主页的单个用户。

  • 对于由一小组用户访问的协作网站,直接向 SharePoint 组中添加用户。 在这种情况下,更需要关注谁是成员,以便组成员知道彼此的电子邮件地址以及如何相互联系。

确定用于授予对网站的访问权限的安全组

每个组织设置其安全组的方式各不相同。 为了简化权限管理,安全组应:

  • 足够大且足够稳定,您不会不断向 SharePoint 网站添加更多安全组。

  • 足够小,这样就可以分配适当的权限。

例如,名为“建筑物 2 中的所有用户”的安全组可能不够小,无法分配权限,除非大楼 2 中的所有用户具有相同的工作功能,例如应收账款职员。 这种情况很少发生。 因此,应查找一组更小、更具体的用户,例如“应收账款”。

决定是否允许所有已验证的用户访问

如果希望域中的所有用户都能够查看您的网站上的内容,可考虑将访问权授予所有经过身份验证的用户(Windows 安全组“Domain Users”)。 此特殊组允许域的所有成员在选择) 的权限级别访问网站 (,而无需启用匿名访问。

决定是否允许匿名用户访问

可以启用匿名访问来允许用户以匿名方式查看网页。 大多数 Internet 网站允许以匿名方式查看网站,但当某人要编辑网站或在购物网站上购物时,可能会要求进行身份验证。 默认情况下禁用匿名访问,在创建 Web 应用程序时,必须在 Web 应用程序级别授予匿名访问权限。

如果允许对 Web 应用程序进行匿名访问,则网站管理员可以决定是否向网站或该网站上的任何内容授予匿名访问权限。

匿名访问依赖于 Web 服务器上的匿名用户帐户。 此帐户由 Internet Information Services (IIS) 而不是 SharePoint 网站创建和维护。 在 IIS 中,默认情况下匿名用户帐户为 IUSR。 当启用匿名访问时,实际上将授予此帐户访问 SharePoint 网站的权限。 如果允许对网站、列表和库进行访问,将对匿名用户帐户授予查看项目权限。 但是,即使具有查看项目权限,匿名用户可执行的操作也受到一定限制。 匿名用户不能:

  • 在 Office SharePoint Designer 中打开网站以进行编辑。

  • 查看"网上邻居"中的网站

  • 在文档库(例如 Wiki 库)中上载或编辑文档。

    重要

    若要提高网站、列表或库的安全性,请不要启用匿名访问。 匿名访问将允许用户编写列表、讨论和调查,从而可能耗尽服务器磁盘空间和其他资源。 此外,匿名访问允许匿名用户查找网站信息,包括用户电子邮件地址以及张贴到列表、库和讨论的任何内容。

权限策略提供一种集中的方式,用于配置和管理仅适用于 Web 应用程序中的部分用户或组的一组权限。 可以通过对 Web 应用程序启用或禁用匿名访问来管理权限策略。 如果启用 Web 应用程序的匿名访问,则网站管理员可以在网站集、网站或项目级别授予或拒绝匿名访问。 如果针对某一 Web 应用程序禁用匿名访问,则匿名用户将无法访问该 Web 应用程序内的任何网站。

  • 无策略。 此选项是默认选项。 网站匿名用户没有额外的权限限制或添加。

  • 拒绝写入 匿名用户不能写入内容,即使网站管理员专门尝试为匿名用户帐户授予此权限。

  • 全部拒绝 匿名用户不具有任何访问权限,即使网站管理员专门尝试为匿名用户帐户授予对其网站的访问权限。 有关权限策略的详细信息,请参阅 在 SharePoint Server 中管理 Web 应用程序的权限策略

另请参阅

其他资源

SharePoint Server 中网站和内容的权限规划

在 SharePoint Server 中管理 Web 应用程序的权限策略