Herencia de permisos en SharePoint
Aunque SharePoint permite una personalización considerable de los permisos de sitio, incluida la herencia cambiante, se recomienda encarecidamente no interrumpir la herencia. Use los grupos integrados de SharePoint para sitios de comunicación y administre los permisos de sitio de equipo a través del grupo de Microsoft 365 asociado. Use vínculos de uso compartido para compartir archivos y carpetas individuales con personas ajenas al sitio. Esto permite una administración mucho más sencilla. Para obtener información sobre cómo administrar permisos en la experiencia moderna de SharePoint, vea Uso compartido y permisos en la experiencia moderna de SharePoint.
¿Qué es la herencia de permisos?
La herencia de permisos significa que la configuración de permisos de un elemento de una colección de sitios se pasa a los elementos secundarios de ese elemento. De este modo, los sitios heredan permisos del sitio de nivel superior ("raíz") de la colección de sitios, las bibliotecas heredan del sitio que contiene la biblioteca, etc. La herencia de permisos le permite realizar una asignación de permisos una vez y tener ese permiso aplicable a todos los sitios, listas, bibliotecas, carpetas y elementos que heredan permisos. Este comportamiento puede reducir la complejidad y la cantidad de tiempo que los administradores de colecciones de sitios y los propietarios de sitios dedican a la administración de seguridad.
De forma predeterminada, los sitios de SharePoint heredan permisos de un sitio primario. Esto significa que, al asignar un usuario al grupo Miembros, los permisos del usuario pasan automáticamente por todos los sitios, listas, bibliotecas, carpetas y elementos que heredan el nivel de permiso.
¿Qué es un elemento primario en permisos de SharePoint?
El término primario, cuando se usa en permisos de SharePoint, es solo una manera de enfatizar la herencia. El elemento primario pasa su configuración de permisos a todos sus elementos secundarios. De forma predeterminada, el sitio raíz de una colección de sitios es el primer elemento primario de todos los sitios y otros objetos que están debajo de él en la jerarquía de sitios.
El sitio raíz de una colección de sitios no es el único elemento primario. Cada objeto protegible (sitios, bibliotecas, listas, etc.) de una colección de sitios puede ser un elemento primario. Es decir, el sitio raíz es el elemento primario de sus subsitios, cada sitio es el elemento primario de sus bibliotecas y listas y cada lista es el elemento primario de los elementos de lista que contiene. En esta terminología, un objeto con un elemento primario se conoce como secundario. Por lo tanto, un subsitio es el elemento secundario de su sitio primario, un elemento de lista es el elemento secundario de su elemento primario de lista, etc.
Importante
Se recomienda crear una colección de sitios para cada unidad de trabajo en lugar de usar subsitios para crear una estructura jerárquica. Más información sobre el uso de sitios de concentrador para organizar la intranet
De forma predeterminada, los permisos se heredan del elemento primario al secundario. Es decir, si no cambia la estructura de permisos, un elemento de lista hereda los permisos (a través de su lista primaria) del sitio raíz de la colección. Sin embargo, incluso si interrumpe la herencia de una lista, esa lista sigue siendo un elemento primario para sus propios elementos de lista. Los elementos de lista de la lista heredan los permisos que tiene la lista y, si cambia los permisos de la lista, los elementos de lista heredan los cambios.
La primera vez que interrumpe esta cadena de herencia de primario a secundario, el elemento secundario comienza con una copia de los permisos del elemento primario. A continuación, edite estos permisos para que sean los que quiera. Puede agregar permisos, quitar permisos, crear grupos especiales, etc. Ninguno de los cambios afecta al elemento primario original. Y, si decide que la interrupción de la herencia fue una decisión incorrecta, puede reanudar la heredación de permisos en cualquier momento.
Cuando un usuario comparte o deja de compartir un elemento que contiene otros elementos con herencia rota, se envía una inserción o eliminación de un solo permiso a todos los elementos secundarios, incluso a aquellos con herencia rota. Esto se aplica tanto a los permisos directos como a los vínculos de uso compartido. Al administrar los permisos de un elemento con herencia rota, los usuarios pueden quitar los permisos directos en él. Si un elemento con herencia rota es accesible mediante un vínculo de uso compartido que se creó en una de sus carpetas primarias y un usuario no quiere que ese vínculo conceda acceso al elemento, los usuarios pueden quitar el vínculo por completo o pueden mover el archivo fuera de la carpeta para la que el vínculo de uso compartido tiene permisos.
Más información sobre la herencia de permisos
La herencia de permisos permite a un administrador asignar niveles de permisos a la vez y aplicar los permisos en toda la colección de sitios. Los permisos pasan de primario a secundario en toda la jerarquía de SharePoint, desde el nivel superior de un sitio hasta la parte inferior. La herencia de permisos puede ahorrar tiempo para los administradores de sitios, especialmente en colecciones de sitios grandes o complejas.
Sin embargo, algunos escenarios tienen requisitos diferentes. En un escenario, es posible que tenga que restringir el acceso a un sitio porque contiene información confidencial que debe proteger. En otro escenario, es posible que quiera expandir el acceso e invitar a otros usuarios a compartir información. Si lo desea, puede interrumpir el comportamiento de herencia (dejar de heredar permisos) en cualquier nivel de la jerarquía.
Echemos un vistazo a ejemplos de estos diferentes escenarios.
Supongamos que tiene una empresa llamada Northwind Traders. Cree un sitio de comunicación denominado "Ventajas" con la dirección URL northwindtraders.sharepoint.com/sites/benefits. En la raíz de la colección de sitios, configura grupos de SharePoint, asigna niveles de permisos y agrega usuarios a los grupos.
Supongamos entonces que crea subsitios para el sitio "Beneficios", como "Cuidado de la salud" (northwindtraders.sharepoint.com/sites/benefits/healthcare) y "Retirada" (northwindtraders.sharepoint.com/sites/benefits/retirement). Estos subsitios incluso podrían contener más subsitios. Por ejemplo, el subsitio "Cuidado de la salud" podría tener un subsitio "Dental" (northwindtraders.sharepoint.com/sites/benefits/healthcare/dental).
Escenario que usa el comportamiento predeterminado
De forma predeterminada, los permisos se pasan directamente a los subsitios. Es decir, los grupos y los niveles de permisos que asignó en la raíz de la colección de sitios se pasan automáticamente al subsitio para su reutilización.
Escenario que restringe el acceso a un sitio y a sus elementos secundarios
Supongamos que su empresa ofrece ventajas especiales solo para ejecutivos. En este caso, los administradores deciden separar el subsitio "Ejecutivo" y romper la herencia del sitio primario, "Beneficios".
Los propietarios del sitio para el sitio "Executive" cambian los permisos del sitio, quitando algunos grupos y creando otros. Los subsitios del sitio "Ejecutivo", "Bonos" y "Transporte de empresa", ahora heredan permisos solo del subsitio "Ejecutivo". Solo los grupos y usuarios de "Executive" pueden acceder a las listas y bibliotecas que contienen información confidencial.
Para facilitar el mantenimiento, se recomienda usar un método similar para restringir el acceso. Es decir, organice su sitio para que el material confidencial esté en el mismo lugar. Si organiza el sitio de esta manera, solo tendrá que interrumpir la herencia una vez para ese sitio o biblioteca específico. Esto es mucho menos sobrecarga. Requiere mucho menos trabajo que crear estructuras de permisos independientes en muchas ubicaciones para subsitios y bibliotecas individuales.
Escenario que comparte el acceso a una carpeta y sus elementos secundarios
Supongamos que un empleado de Northwind Traders contrató consultores y quiere colaborar con ellos en documentos en SharePoint. El empleado no quiere dar a los consultores acceso a nada más en el sitio de SharePoint.
Cuando el empleado comparte la carpeta con los consultores, SharePoint controla automáticamente todos los detalles de los permisos y el acceso, rompiendo la herencia en la propia carpeta. Los consultores pueden acceder a todos los documentos de la carpeta, pero no pueden ver ni acceder a ninguna otra información del sitio. Aunque la herencia está técnicamente interrumpida, si más adelante se agregan personas a la colección de sitios primarios, se les concederá automáticamente permiso para la carpeta compartida.