Condividi tramite

Panoramica dei gruppi di sicurezza in SharePoint Server

  • Articolo

SI APPLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

È possibile gestire gli utenti dei siti di SharePoint in modo più efficiente assegnando livelli di autorizzazione a gruppi invece che a singoli utenti. Un gruppo di SharePoint è costituito da un insieme di singoli utenti e può inoltre includere gruppi di Servizi di dominio Active Directory.

Informazioni sui gruppi in Microsoft 365.

Introduzione

In Servizi di dominio Active Directory vengono in genere utilizzati i gruppi seguenti per organizzare gli utenti:

  • Gruppo di distribuzione Gruppo utilizzato solo per la distribuzione della posta elettronica e che non è abilitato per la sicurezza. I gruppi di distribuzione non possono essere elencati negli elenchi di controllo di accesso discrezionale (DACL, Discretionary Access Control List) utilizzati per definire le autorizzazioni per risorse e oggetti.

  • Gruppo di sicurezza Gruppo che può essere elencato in DACL. Un gruppo di sicurezza può essere inoltre utilizzato come entità di posta elettronica.

È possibile utilizzare i gruppi di sicurezza per definire le autorizzazioni per il sito aggiungendo gruppi di sicurezza ai gruppi di SharePoint e concedendo le autorizzazioni ai gruppi di SharePoint. Non è possibile aggiungere gruppi di distribuzione ai gruppi di SharePoint, ma è possibile espandere un gruppo di distribuzione e aggiungere i singoli membri a un gruppo di SharePoint. Se si utilizza questo metodo, è necessario mantenere manualmente il gruppo di SharePoint sincronizzato con il gruppo di distribuzione. Se si utilizzano gruppi di sicurezza, non è necessario gestire i singoli utenti nell'applicazione SharePoint. Poiché viene incluso il gruppo di sicurezza anziché i singoli membri del gruppo, gli utenti verranno gestiti automaticamente in Servizi di dominio Active Directory.

Nota

Per semplificare la gestione della sicurezza, le operazioni seguenti non sono consigliate nell'ambito della gestione dei gruppi di Servizio di dominio Active Directory: > Assegnare i livelli di autorizzazione direttamente ai gruppi di Servizi di dominio Active Directory. > Aggiunta di gruppi di sicurezza che contengono gruppi di sicurezza annidati, contatti o liste di distribuzione.

Decidere se aggiungere gruppi di sicurezza

Aggiungendo gruppi di sicurezza ai gruppi di SharePoint, è possibile gestire in modo centralizzato i gruppi e la sicurezza. Il gruppo di sicurezza è l'unica posizione in cui è possibile gestire i singoli utenti. Dopo aver aggiunto il gruppo di sicurezza a un gruppo di SharePoint, non è necessario gestire i membri del gruppo di sicurezza in tale gruppo di SharePoint. Se un utente viene rimosso dal gruppo di sicurezza, verrà automaticamente rimosso anche dal gruppo di SharePoint.

L'utilizzo dei gruppi di sicurezza nei siti di SharePoint, tuttavia, non offre una completa visibilità sugli eventi. Ad esempio, quando un gruppo di sicurezza viene aggiunto a un gruppo di SharePoint per un sito specifico, il sito non verrà visualizzato nei siti personali degli utenti. I singoli utenti non verranno visualizzati in Elenco informazioni utente finché non contribuiranno al sito. Inoltre, i gruppi di sicurezza che presentano una struttura con vari livelli di annidamento potrebbero interrompere l'esecuzione dei siti di SharePoint.

Considerati i vantaggi e gli svantaggi illustrati in precedenza, di seguito vengono forniti alcuni suggerimenti:

  • Per i siti Intranet largamente accessibili agli utenti, utilizzare gruppi di sicurezza perché non ha importanza sapere quali utenti singoli abbiano avuto accesso alla home page del sito.

  • Per i siti di collaborazione a cui accede un gruppo limitato di utenti, aggiungere gli utenti direttamente ai gruppi di SharePoint. In questo caso, è più necessario sapere chi è un membro in modo che i membri del gruppo conoscano gli indirizzi di posta elettronica dell'altro e come contattarsi a vicenda.

Determinare i gruppi di sicurezza da utilizzare per concedere l'accesso ai siti

Ogni organizzazione configura i propri gruppi di sicurezza in modo diverso. Per semplificare la gestione delle autorizzazioni, è consigliabile che i gruppi di sicurezza abbiano le caratteristiche seguenti:

  • Sufficientemente grande e stabile da non aggiungere continuamente più gruppi di sicurezza ai siti di SharePoint.

  • Devono essere sufficientemente piccoli da consentire l'assegnazione di autorizzazioni appropriate.

Ad esempio, un gruppo di sicurezza denominato "tutti gli utenti nell'edificio 2" probabilmente non è sufficientemente piccolo da assegnare le autorizzazioni, a meno che tutti gli utenti dell'edificio 2 non abbiano la stessa funzione di processo, ad esempio gli archivi di contabilità clienti. Questo scenario si verifica raramente. È quindi consigliabile cercare un set più piccolo e specifico di utenti, ad esempio "Contabilità clienti".

Decidere se concedere l'accesso a tutti gli utenti autenticati

Se si desidera consentire a tutti gli utenti del dominio di visualizzare il contenuto del sito, è possibile valutare la possibilità di concedere l'accesso a tutti gli utenti autenticati, ovvero al gruppo di sicurezza Domain Users di Windows. Questo gruppo speciale consente a tutti i membri del dominio di accedere a un sito Web (al livello di autorizzazione scelto), senza dover abilitare l'accesso anonimo.

Decidere se concedere l'accesso per gli utenti anonimi

È possibile abilitare l'accesso anonimo per consentire agli utenti di visualizzare le pagine in modo anonimo. La maggior parte dei siti Web Internet consente la visualizzazione anonima del sito, ma potrebbe richiedere l'autenticazione per modificare il sito o effettuare un acquisto in un sito per gli acquisti. L'accesso anonimo è disabilitato per impostazione predefinita e deve essere concesso a livello dell'applicazione Web al momento della creazione dell'applicazione stessa.

Se per l'applicazione Web è abilitato l'accesso anonimo, gli amministratori del sito possono decidere se consentire l'accesso anonimo a un sito o a determinati contenuti di tale sito.

L'accesso anonimo si basa sull'account utente anonimo nel server Web. Questo account viene creato e gestito da Internet Information Services (IIS), non dal sito di SharePoint. Per impostazione predefinita in IIS, l'account utente anonimo è IUSR. Quando si abilita l'accesso anonimo, si concede all'account l'accesso al sito di SharePoint. La concessione dell'accesso a un sito oppure a elenchi e raccolte determina l'assegnazione dell'autorizzazione Visualizzazione elementi all'account utente anonimo. Anche con l'autorizzazione Visualizzazione elementi, esistono tuttavia limitazioni alle azioni che possono essere eseguite dagli utenti anonimi. Gli utenti anonimi non possono eseguire le operazioni seguenti:

  • Aprire i siti per la modifica in Office SharePoint Designer.

  • Visualizzare siti in Risorse di rete.

  • Caricare o modificare documenti nelle raccolte documenti, ad esempio le raccolte Wiki.

    Importante

    Per migliorare il livello di sicurezza di siti, elenchi o raccolte, è preferibile non abilitare l'accesso anonimo. Quando si abilita l'accesso anonimo, gli utenti possono collaborare ad elenchi, partecipare a discussioni, rispondere a sondaggi, consumando lo spazio su disco del server e altre risorse. L'accesso anonimo consente inoltre agli utenti anonimi di individuare informazioni del sito, inclusi indirizzi di posta elettronica degli utenti e contenuti inseriti in elenchi, raccolte e discussioni.

I criteri di autorizzazione offrono una posizione centralizzata per la configurazione e la gestione di un set di autorizzazioni valido solo per un sottoinsieme di utenti o gruppi in un'applicazione Web. È possibile gestire i criteri di autorizzazioni per gli utenti anonimi abilitando o disabilitando l'accesso anonimo per un'applicazione Web. Se si abilita l'accesso anonimo per un'applicazione Web, gli amministratori di siti potranno concedere o negare l'accesso anonimo a livello di raccolta siti, sito o elemento. Se l'accesso anonimo è disabilitato per un'applicazione Web, nessun sito all'interno di tale applicazione Web sarà accessibile da parte di utenti anonimi.

  • Nessuno Nessun criterio. Questa opzione è quella predefinita. Agli utenti anonimi del sito non vengono applicate restrizioni di autorizzazione aggiuntive o aggiunte.

  • Nega scrittura Gli utenti anonimi non possono scrivere contenuto, anche se l'amministratore del sito tenta in modo specifico di concedere all'account utente anonimo tale autorizzazione.

  • Nega tutto Gli utenti anonimi non possono avere alcun accesso, anche se gli amministratori del sito tentano in modo specifico di concedere all'account utente anonimo l'accesso ai propri siti. Per altre informazioni sui criteri di autorizzazione, vedere Gestire i criteri di autorizzazione per un'applicazione Web in SharePoint Server.

Vedere anche

Ulteriori risorse

Pianificazione delle autorizzazioni per siti e contenuto in SharePoint Server

Gestire i criteri di autorizzazione per un'applicazione Web in SharePoint Server