Determinar grupos y niveles de permisos en SharePoint Server
SE APLICA A:2013 2016 2019 Subscription Edition SharePoint en Microsoft 365
Un grupo de SharePoint es un conjunto de usuarios que se pueden administrar juntos. Un nivel de permiso es un conjunto de permisos que se puede asignar a un grupo específico para un objeto protegible concreto. Los grupos de SharePoint y los niveles de permisos se definen en el nivel de la colección de sitios y se heredan del objeto principal de forma predeterminada. Este artículo describe los grupos predeterminados y los niveles de permisos y le ayuda a decidir si usarlos tal y como se proporcionan, personalizarlos o crear grupos y niveles de permisos distintos.
La decisión más importante sobre la seguridad del sitio y el contenido en SharePoint Server es cómo agrupar los usuarios y qué niveles de permisos asignar.
Obtenga información sobre los grupos de SharePoint predeterminados en Microsoft 365.
Revisión de los grupos predeterminados disponibles
Los grupos de SharePoint permiten administrar conjuntos de usuarios en lugar de usuarios individuales. Estos grupos pueden contener muchos usuarios individuales o pueden incluir el contenido de cualquier sistema de identidad corporativa, incluidos Active Directory Domain Services (AD DS), directorios basados en LDAPv3, bases de datos específicas de la aplicación y nuevos modelos de identidad centrados en el usuario, como Windows Live ID. Los grupos de SharePoint no ofrecen derechos específicos para el sitio; son una forma de designar un grupo de usuarios. Es posible organizar los usuarios en cualquier número de grupos, según el tamaño y la complejidad de su organización o sitio web. Los grupos de SharePoint no pueden anidarse.
En la tabla siguiente se muestran los grupos predeterminados creados para sitios de grupo en SharePoint Server. A cada grupo predeterminado se le asigna un nivel de permiso determinado.
Nombre del grupo | Nivel de permisos predeterminado | Descripción |
---|---|---|
Visitantes |
Lectura |
Use este grupo para conceder a los usuarios permisos de lectura en el sitio de SharePoint. |
Miembros |
Edición |
Use este grupo para conceder a los usuarios permisos de edición en el sitio de SharePoint. |
Propietarios |
Control total |
Use este grupo para conceder a los usuarios permisos de control total en el sitio de SharePoint. |
Lectores |
Solo vista |
Use este grupo para conceder a los usuarios permisos de solo visualización en el sitio de SharePoint. |
Si usa una plantilla de sitio distinta a la plantilla del sitio del equipo, verá una lista distinta de grupos de SharePoint predeterminados. Por ejemplo, en la tabla siguiente se muestran los demás grupos proporcionados por una plantilla de sitio de publicación.
Nombre del grupo | Nivel de permisos predeterminado | Descripción |
---|---|---|
Lectores restringidos |
Lectura restringida en el sitio, además de Acceso limitado a listas específicas |
Los miembros de este grupo pueden ver páginas y documentos, pero no pueden ver versiones históricas ni revisar información de derechos. |
Lectores de recursos de estilo |
Lectura en la Galería de páginas maestras y Lectura restringida en la Biblioteca de estilos. |
Los miembros de este grupo tienen permiso de lectura para la Galería de páginas principales y permiso de lectura restringida para la Biblioteca de estilos. De forma predeterminada, todos los usuarios autenticados son miembros de este grupo. |
Diseñadores |
Diseño, Acceso limitado |
Los miembros de este grupo pueden ver, agregar, actualizar, eliminar, aprobar y personalizar el diseño de las páginas de sitio mediante el explorador o SharePoint Designer 2013. |
Aprobadores |
Aprobar, además de Acceso limitado |
Los miembros de este grupo pueden editar y aprobar páginas, elementos de lista y documentos. |
Administradores de jerarquías |
Administrar la jerarquía, además de Acceso limitado |
Los miembros de este grupo pueden crear sitios, listas, elementos de lista y documentos. |
Nota:
No quite todos los usuarios autenticados del grupo Lectores de recursos de estilo, ya que la Galería de páginas maestras y la Biblioteca de estilos se comparten en todos los sitios de la colección de sitios y deben ser accesibles para todos los usuarios de todos los sitios. Si quita todos los usuarios autenticados del grupo, cualquier usuario con este nivel de permiso en un subsitio no podrá representar el sitio. SharePoint no agregará ni quitará automáticamente usuarios de subsitios hacia o desde este grupo según sea necesario.
Sugerencia
El nivel de permiso de Acceso limitado se usa para dar acceso a los grupos a una lista específica, biblioteca, carpeta, documento o elemento sin darles acceso al sitio completo. No quite este nivel de permiso de los grupos nombrados arriba. Si el nivel de permiso se quita, los grupos no podrán desplazarse por el sitio para llegar a los elementos específicos que necesitan para interactuar.
Haga que la mayoría de los usuarios sean miembros de los grupos Visitantes o Miembros. De forma predeterminada, los usuarios del grupo Miembros pueden colaborar en el sitio, agregando o quitando elementos o documentos, pero no pueden cambiar la estructura, la configuración del sitio o su apariencia. El grupo de visitantes tiene acceso de solo lectura al sitio, lo que significa que puede ver páginas y elementos, y abrir elementos y documentos, pero no pueden eliminar páginas, elementos ni documentos.
Si los grupos predeterminados no se asignan a los grupos de usuarios exactos en su organización, puede crear grupos personalizados.
Además de los grupos de SharePoint anteriores, también hay grupos de administradores para tareas de administración de mayor nivel. Hay administradores de Windows, administradores de granjas de SharePoint y administradores de colecciones de sitios.
Para más información, vea Elegir administradores y propietarios para la jerarquía de administración en SharePoint 2013.
Revisión de los niveles de permisos disponibles
La posibilidad de ver, cambiar o administrar un sitio se determina en función del nivel de permisos asignados a un usuario o grupo. Este nivel de permisos controla todos los permisos para el sitio y los objetos secundarios que heredan los permisos del sitio. Sin los niveles de permisos apropiados, es posible que los usuarios no puedan realizar sus tareas o que puedan realizar tareas que no se deseaba que realicen.
De forma predeterminada, los siguientes niveles de permisos están disponibles:
Solo ver Incluye permisos que permiten a los usuarios ver páginas, elementos de lista y documentos.
Acceso limitado Incluye permisos que permiten a los usuarios ver listas específicas, bibliotecas de documentos, elementos de lista, carpetas o documentos, sin dar acceso a todos los elementos de un sitio. You cannot edit this permission level directly.
Nota:
Si se quita este nivel de permiso, los miembros del grupo posiblemente no puedan navegar en el sitio para obtener acceso a los elementos aunque tengan los permisos correctos para un elemento dentro del sitio.
Leer Incluye permisos que permiten a los usuarios ver elementos en las páginas del sitio.
Editar Incluye permisos que permiten a los usuarios agregar, editar y eliminar listas; puede ver, agregar, actualizar y eliminar documentos y elementos de lista.
Contribuir Incluye permisos que permiten a los usuarios agregar o cambiar elementos en las páginas del sitio o en listas y bibliotecas de documentos.
Diseño Incluye permisos que permiten a los usuarios ver, agregar, actualizar, eliminar, aprobar y personalizar el diseño de las páginas de sitio mediante el explorador o SharePoint Designer 2013.
Control total Incluye todos los permisos.
Para más información sobre los permisos que se incluyen en los niveles de permisos predeterminados, vea Permisos de usuario y niveles de permisos en SharePoint 2010).
Los siguientes niveles de permisos adicionales se proporcionan con la plantilla de publicación de forma predeterminada:
Aprobar Incluye permisos para editar y aprobar páginas, elementos de lista y documentos.
Administrar jerarquía Incluye permisos para sitios y páginas de edición, elementos de lista y documentos.
Lectura restringida Incluye permisos para ver páginas y documentos, pero no información de permisos o versiones históricas.
Determinación de la necesidad de grupos o niveles de permisos personalizados
Los grupos y niveles de permisos predeterminados proporcionan un marco general para los permisos, y abarcan numerosos tipos distintos de organizaciones y los roles incluidos en ellas. Sin embargo, es posible que estos no se asocien exactamente con el modo en que los usuarios están organizados o con la variedad de tareas distintas que los usuarios realizan en los sitios. Si los grupos y niveles de permisos predeterminados no se adaptan a su organización, puede crear grupos personalizados, cambiar los permisos incluidos en los niveles de permisos específicos o crear niveles de permisos personalizados.
¿Necesita grupos personalizados?
La decisión de crear grupos personalizados es bastante sencilla y tiene un efecto mínimo en la seguridad del sitio. Cree grupos personalizados en lugar de usar los grupos predeterminados si se aplica alguna de las situaciones siguientes:
Tiene más (o menos) roles de usuario en la organización de los que aparecen en los grupos predeterminados. Por ejemplo, si además de Aprobadores, Diseñadores y Administradores de jerarquías, tiene un grupo de usuarios cuya responsabilidad es publicar contenido en el sitio, posiblemente necesite crear un grupo Editores.
Hay nombres conocidos para roles únicos dentro de la organización que realizan diferentes tareas en los sitios. Por ejemplo, si va a crear un sitio público para vender los productos de su organización, puede ser conveniente crear un grupo Clientes que reemplace los grupos Visitantes o Lectores.
Se desea conservar la relación de uno a uno entre los grupos de seguridad de Windows y los grupos de SharePoint. Por ejemplo, si su organización cuenta con un grupo de seguridad denominado Administradores del sitio web, es recomendable usar este nombre como nombre de grupo para simplificar la identificación al administrar el sitio.
Se prefiere usar otros nombres de grupo.
¿Necesita niveles de permisos personalizados?
La decisión de personalizar niveles de permisos es menos sencilla que la de personalizar grupos de SharePoint. Si personaliza los permisos asignados a un nivel de permiso, debe realizar un seguimiento de ese cambio, comprobar que funciona para todos los grupos y sitios afectados por el cambio y asegurarse de que el cambio no afecta negativamente a la seguridad o a la capacidad o el rendimiento del servidor.
Por ejemplo, si personaliza el nivel de permisos Colaborar para incluir el permiso Crear subsitios, que normalmente forma parte del nivel de permisos Control total, los miembros del grupo Colaboradores podrán crear y poseer subsitios, así como invitar a usuarios malintencionados a sus subsitios o publicar contenido no autorizado. Si personaliza el permiso Leer para incluir el permiso Ver datos de uso, que suele ser parte del nivel de permisos Control total, todos los miembros del grupo de visitantes podrán ver los datos de uso, lo que podría provocar problemas de rendimiento.
Personalice los niveles de permisos predeterminados si se aplica alguna de las situaciones siguientes:
Un nivel de permisos predeterminado incluye todos los permisos excepto uno que los usuarios deben tener para realizar su trabajo, y se desea agregar dicho permiso.
Un nivel de permisos predeterminado incluye un permiso que los usuarios no tienen.
Nota:
No personalice los niveles de permisos predeterminados si su organización tiene seguridad u otras preocupaciones sobre un permiso específico que forma parte del nivel de permiso. Si desea que ese permiso no esté disponible para todos los usuarios asignados al nivel de permiso o a los niveles que incluyen ese permiso, desactive el permiso para todas las aplicaciones web de la granja de servidores, en lugar de cambiar todos los niveles de permisos Para administrar permisos para una aplicación web, vea Administrar permisos para una aplicación web en SharePoint Server.
Si debe realizar varios cambios en un nivel de permisos, cree un nivel de permisos personalizado que incluya todos los permisos necesarios.
Es posible que desee crear más niveles de permisos si se cumple alguna de las condiciones siguientes:
Se desea excluir diversos permisos de un nivel de permisos determinado.
Se desea definir un conjunto exclusivo de permisos para un nuevo nivel de permisos.
Para crear un nivel de permisos, cree un nivel de permisos y seleccione los permisos que desea incluir.
Nota:
Algunos permisos dependen de otros. Si se borra un permiso del cual depende otro permiso, este también se borrará.