Visão geral dos grupos de segurança no SharePoint Server
APLICA-SE A:
2013 2016 2019 Subscription Edition 
SharePoint no Microsoft 365
É possível gerenciar usuários de sites do SharePoint de forma mais eficiente se você atribuir níveis de permissão para grupos ao invés de para usuários individuais. Um grupo do SharePoint é um conjunto de usuários individuais e também pode incluir os grupos dos Serviços de Domínio do Active Directory (AD DS).
Saiba mais sobre os grupos no Microsoft 365.
Introdução
No AD DS, os seguintes grupos são geralmente usados para organizar usuários:
Grupo de distribuição Um grupo que é utilizado apenas para distribuição de e-mail e que não está ativado para segurança. Os grupos de distribuição não podem ser listados em DACLs (listas de controle de acesso discricionário), que são usadas para definir permissões em recursos e objetos.
Grupo de segurança Um grupo que pode ser listado em DACLs. Um grupo de segurança também pode ser usado como entidade de email.
Você pode usar grupos de segurança para controlar permissões para seu site adicionando grupos de segurança a grupos do Sharepoint e concedendo permissões aos grupos do Sharepoint. Não é possível adicionar diretamente grupos de distribuição a grupos do Sharepoint, mas você pode expandir um grupo de distribuição e adicionar os membros individuais a um grupo do SharePoint. Se você usar esse método, deverá manter manualmente o grupo do SharePoint sincronizado ao grupo de distribuição. Se você usar grupos de segurança, não precisará gerenciar os usuários individuais no aplicativo do SharePoint. Como você incluiu o grupo de segurança ao invés de membros individuais do grupo, o AD DS gerencia para você.
Observação
Para facilitar o gerenciamento de segurança, não recomendamos os seguintes itens ao gerenciar grupos do AD DS. > Atribua níveis de permissão diretamente a grupos do AD DS. > Adicionar grupos de segurança que contêm grupos de segurança aninhados, contactos ou listas de distribuição.
Decidir se você deseja adicionar grupos de segurança
A adição de grupos de segurança a grupos do SharePoint fornece gerenciamento centralizado de grupos e de segurança. O grupo de segurança é o único local em que você gerencia usuários individuais. Após adicionar o grupo de segurança a um grupo do SharePoint, você não precisa gerenciar membros do grupo de segurança nesse grupo do SharePoint. Se um usuário é removido do grupo de segurança, o usuário será removido automaticamente do grupo do SharePoint.
No entanto, os grupos de segurança nos sites do SharePoint não oferecem total visibilidade do que está ocorrendo. Por exemplo, quando um grupo de segurança é adicionado a um grupo do SharePoint para um site específico, o site não será apresentado em Os Meus Sites dos utilizadores. A Lista de informação do usuário não exibirá usuários individuais até terem contribuído ao site. Além disso, os grupos de segurança possuem uma estrutura altamente aninhada que pode quebrar sites do SharePoint.
Considerando as vantagens e desvantagens anteriores, aqui estão as recomendações:
Para sites de intranet que são amplamente acessados por seus usuários, use grupos de segurança, porque você não se importa com os usuários individuais que acessaram a home page da intranet local.
Para sites de colaboração que são acessados por um pequeno grupo de usuários, adicione usuários diretamente a grupos do SharePoint. Neste caso, há mais necessidade de saber quem é membro para que os membros do grupo saibam os endereços de e-mail uns dos outros e como contactar uns aos outros.
Definir que grupos de segurança usar para conceder acesso a sites
Cada organização configura seus grupos de segurança de maneira diferente. Para facilitar o gerenciamento de permissões, os grupos de segurança devem ser:
Grande e estável o suficiente para não adicionar continuamente mais grupos de segurança aos seus sites do SharePoint.
Pequenos o suficiente para que você possa atribuir as permissões corretas.
Por exemplo, um grupo de segurança chamado "todos os usuários no edifício 2" provavelmente não é pequeno suficiente para atribuir permissões, a não ser que todos os usuários no edifício 2 tenham a mesma função de trabalho, como grupos de recebimento de contas. Este cenário ocorre raramente. Por conseguinte, deve procurar um conjunto de utilizadores mais pequeno e específico, como "Contas A receber".
Decidir se todos os usuários autenticados receberão permissão de acesso
Se quiser que todos os usuários do seu domínio possam ver o conteúdo do site, conceda acesso a todos os usuários autenticados (o grupo de segurança Usuários do Domínio do Windows). Este grupo especial permite que todos os membros do seu domínio acedam a um site (ao nível de permissão que escolher), sem ter de ativar o acesso anónimo.
Decidir se deseja permitir acesso a usuários anônimos
É possível habilitar acesso anônimo para permitir os usuários exibirem páginas anonimamente. A maioria dos sites da Web permitem a exibição anônima de um site mas pode solicitar autenticação quando alguém deseja editar o site ou comprar um item em um site de compras. O acesso anônimo é desabilitado por padrão e deve ser concedido no nível de aplicativo da Web no momento que o aplicativo da Web é criado.
Se o acesso anônimo é permitido para o aplicativo da Web, os administradores de site podem decidir conceder acesso anônimo a um site ou qualquer conteúdo deste site.
Acesso anônimo confia na conta de usuário anônimo em um servidor da Web. Esta conta é criada e mantida pelos Serviços de Informação Internet (IIS), não pelo seu site do SharePoint. Por padrão no IIS, a conta de usuário anônima é IUSR. Ao permitir o acesso anônimo, você está, de fato, concedendo a essa conta acesso ao site do SharePoint. A permissão de acesso a um site ou a listas e bibliotecas concede a permissão Exibir Itens à conta de usuário anônima. Contudo, mesmo com a permissão Exibir Itens, há restrições em relação ao que os usuários anônimos podem fazer. Usuários anônimos não podem:
Abra sites para edição no Office SharePoint Designer.
Exibir sites no My Network Places.
Carregar ou editar documentos em bibliotecas de documentos, como bibliotecas wiki.
Importante
Para melhorar segurança de sites, listas ou bibliotecas, não habilite acesso anônimo. O acesso anônimo permite os usuários contribuírem para listas, discussões e pesquisas, nas quais será possível usar até espaço do disco do servidor e outros recursos. O acesso anônimo também permite aos usuários anônimos descobrirem informações de site, incluindo endereços de email do usuário e qualquer conteúdo publicado para listas, bibliotecas e discussões.
As políticas de permissão oferecem uma forma centralizada de configurar e gerenciar um conjunto de permissões que são aplicadas a apenas um subconjunto de usuários ou grupos em um aplicativo da Web. É possível gerenciar a política de permissão para usuários anônimos habilitando ou desabilitando o acesso anônimo para um aplicativo da Web. Se você habilitar acesso anônimo para um aplicativo da Web, os administradores de site podem conceder ou negar acesso anônimo ao conjunto de site, sites ou nível de item. Se o acesso anônimo é desabilitado para um aplicativo da Web, nenhum site dentro deste aplicativo da Web pode ser acessado por usuários anônimos.
Nenhum Sem política. Esta opção é a predefinida. Não são aplicadas restrições ou adições de permissões adicionais a utilizadores anónimos do site.
Negar Escrita Os utilizadores anónimos não podem escrever conteúdo, mesmo que o administrador do site tente especificamente conceder essa permissão à conta de utilizador anónima.
Negar Tudo Os utilizadores anónimos não podem ter acesso, mesmo que os administradores do site tentem especificamente conceder acesso à conta de utilizador anónima aos respetivos sites. Para obter mais informações sobre políticas de permissão, veja Gerir políticas de permissão para uma aplicação Web no SharePoint Server.
Confira também
Outros recursos
Planejamento de permissões para sites e conteúdo no SharePoint Server
Gerenciar políticas de permissão para um aplicativo Web no SharePoint Server