Compartir a través de

Información general sobre los grupos de seguridad en SharePoint Server

  • Artículo

SE APLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint en Microsoft 365

Puede administrar usuarios de sitios de SharePoint de manera más eficaz si asigna niveles de permisos a grupos en lugar de a usuarios individuales. Un grupo de SharePoint es un conjunto de usuarios individuales que también puede incluir grupos de Servicios de dominio de Active Directory (AD DS).

Obtenga información sobre los grupos de Microsoft 365.

Introducción

En AD DS, se usan normalmente los siguientes grupos para organizar usuarios:

  • Grupo de distribución Grupo que solo se usa para la distribución de correo electrónico y no tiene habilitada la seguridad. Los grupos de distribución no se pueden incluir en las listas de control de acceso discrecional (DACL) que se usan para definir permisos en recursos y objetos.

  • Grupo de seguridad Grupo que se puede incluir en las DACL. Un grupo de seguridad se puede usar también como una entidad de correo electrónico.

Los grupos de seguridad se usan para controlar los permisos del sitio, mediante la adición de grupos de seguridad a grupos de SharePoint y la concesión de permisos a los grupos de SharePoint. Los grupos de distribución no se pueden agregar a grupos de SharePoint pero se puede expandir un grupo de distribución y agregar cada uno de los miembros a un grupo de SharePoint. Si usa este método, debe mantener manualmente el grupo de SharePoint sincronizado con el grupo de distribución. Si usa grupos de seguridad, no tiene que administrar cada uno de los usuarios de la aplicación de SharePoint. Puesto que ha incluido el grupo de seguridad en lugar de integrantes individuales del grupo, AD DS administra los usuarios por usted.

Nota:

Para agilizar la administración de seguridad, no se recomiendan los siguientes elementos al administrar grupos de AD DS. > Asignar niveles de permisos directamente a grupos de AD DS. > Agregar grupos de seguridad que contienen grupos de seguridad anidados, contactos o listas de distribución.

Decisión sobre agregar grupos de seguridad

La adición de grupos de seguridad a grupos de SharePoint proporciona una administración centralizada de los grupos y la seguridad. El grupo de seguridad es el único lugar donde se administran usuarios individuales. Después de agregar el grupo de seguridad a un grupo de SharePoint, no es necesario administrar a los miembros del grupo de seguridad en ese grupo de SharePoint. Si se quita un usuario del grupo de seguridad, el usuario se quitará automáticamente del grupo de SharePoint.

Sin embargo, los grupos de seguridad en sitios de SharePoint no proporcionan una visibilidad completa de lo que ocurre. Por ejemplo, cuando se agrega un grupo de seguridad a un grupo de SharePoint para un sitio específico, el sitio no aparecerá en Mis sitios de los usurarios. La lista de información del usuario no mostrará usuarios individuales hasta que estos hayan colaborado con el sitio. Además, los grupos de seguridad que tienen una estructura anidada profunda podría dividir los sitios de SharePoint.

Teniendo en cuenta las ventajas y desventajas anteriores, estas son las recomendaciones:

  • En el caso de los sitios de intranet a los que acceden los usuarios en general, use grupos de seguridad porque no le preocupan los usuarios individuales que accedieron a la página principal del sitio de intranet.

  • En el caso de los sitios de colaboración a los que accede un pequeño grupo de usuarios, agregue usuarios directamente a los grupos de SharePoint. En este caso, es más que necesario saber quién es miembro para que los miembros del grupo conozcan sus direcciones de correo electrónico y sepan cómo ponerse en contacto entre sí.

Determinación de los grupos de seguridad que se deben usar para conceder acceso a los sitios

Cada organización configura sus grupos de seguridad de distinta manera. Para que la administración de permisos sea más sencilla, los grupos de seguridad deben ser:

  • Lo suficientemente grande y estable como para no agregar continuamente más grupos de seguridad a los sitios de SharePoint.

  • Lo suficientemente pequeños para poder asignar los permisos adecuados.

Por ejemplo, un grupo de seguridad denominado "todos los usuarios del edificio 2" probablemente no sea lo suficientemente pequeño como para asignar permisos, a menos que todos los usuarios del edificio 2 tengan la misma función de trabajo, como los empleados que pueden cobrar cuentas. Este escenario se produce rara vez. Por lo tanto, debe buscar un conjunto más pequeño y específico de usuarios, como "Accounts Receivable".

Decisión sobre permitir el acceso de todos los usuarios autenticados

Si desea que todos los usuarios del dominio puedan ver el contenido del sitio, considere la posibilidad de conceder acceso a todos los usuarios autenticados (grupo de seguridad de Windows Usuarios de dominio). Este grupo especial permite a todos los miembros de su dominio acceder a un sitio web (en el nivel de permiso que elija), sin necesidad de que tenga que habilitar el acceso anónimo.

Decisión sobre permitir el acceso a usuarios anónimos

Puede habilitar el acceso anónimo para que los usuarios puedan ver las páginas de forma anónima. La mayor parte de los sitios web de Internet permiten que se vea el sitio de forma anónima, pero podrían solicitar la autenticación si alguien desea modificar el sitio o adquirir algún artículo en un sitio de compras. El acceso anónimo está deshabilitado de manera predeterminada y se debe conceder en el nivel de la aplicación web en el momento de crearla.

Si se permite el acceso anónimo a la aplicación web, los administradores del sitio pueden decidir si desean permitir el acceso anónimo a un sitio o alguna parte del contenido de ese sitio.

El acceso anónimo se basa en la cuenta de usuario anónimo en el servidor web. Esta cuenta se crea y mantiene mediante Microsoft Internet Information Services (IIS), no mediante su sitio de SharePoint. De manera predeterminada en IIS, la cuenta de usuario anónimo es IUSR. Al habilitar el acceso anónimo, de hecho, se proporciona acceso al sitio de SharePoint a esa cuenta. Permitir el acceso a un sitio o a listas y bibliotecas le proporciona el permiso Ver elementos a la cuenta de usuario anónimo. Sin embargo, aún con el permiso Ver elementos, hay restricciones para lo que pueden hacer los usuarios anónimos. Los usuarios anónimos no pueden:

  • Abrir sitios para modificarlos en Office SharePoint Designer.

  • Ver sitios en Mis sitios de red.

  • Carga o edición de documentos en bibliotecas de documentos, como bibliotecas Wiki.

    Importante

    Para mejorar la seguridad de sitios, listas o bibliotecas, no habilite el acceso anónimo. El acceso anónimo permite que los usuarios contribuyan a listas, discusiones y encuestas, lo que puede consumir mucho espacio en disco del servidor y otros recursos. Además, el acceso anónimo permite a los usuarios anónimos conocer la información del sitio, incluidas las direcciones de correo electrónico y todo el contenido expuesto en listas, bibliotecas y discusiones.

Las directivas de permisos permiten configurar y administrar, de forma centralizada, un conjunto de permisos que se aplica solo a un subconjunto de usuarios o grupos en una aplicación web. Se puede administrar una directiva de permisos para usuarios anónimos habilitando o deshabilitando el acceso anónimo de una aplicación web. Si lo habilita, los administradores de sitios pueden conceder o denegar el acceso anónimo por colección de sitios, sitio o nivel de elemento. Si lo deshabilita, ningún usuario anónimo puede obtener acceso a ningún sitio dentro de esa aplicación web.

  • Ninguna Sin directiva. Esta opción es la predeterminada. No se aplican restricciones ni adiciones de permisos adicionales a los usuarios anónimos del sitio.

  • Denegar escritura Los usuarios anónimos no pueden escribir contenido, incluso si el administrador del sitio intenta conceder este permiso a la cuenta de usuario anónimo.

  • Denegar a todos Los usuarios anónimos no obtienen ningún tipo de acceso, ni siquiera si los administradores de los sitios intentan de forma específica concederles acceso a sus sitios. Para obtener más información sobre las directivas de permisos, vea Administrar directivas de permisos para una aplicación web en SharePoint Server.

Vea también

Otros recursos

Planear permisos de sitios y contenido en SharePoint Server

Administración de directivas de permisos para una aplicación web en SharePoint Server