Planejar permissões de sites (SharePoint Foundation 2010)
Aplica-se a: SharePoint Foundation 2010
Tópico modificado em: 2016-11-30
Este artigo ajuda você a planejar o controle de acesso nos níveis de conjunto de sites, site, subsite e conteúdo de site (lista ou biblioteca, pasta, item ou documento). Ele também descreve os conceitos sobre herança de permissão e permissões refinadas.
Este artigo não aborda o planejamento da segurança de todo o servidor ou do farm de servidores. Para obter mais informações sobre o planejamento de outros aspectos da segurança, como métodos e modos de autenticação, consulte Planejar métodos de autenticação (SharePoint Foundation 2010).
Neste artigo:
Sobre permissões de site
Sobre a herança de permissão
Planejar permissões de site
Planejar a herança de permissões
Introdução
Você pode controlar o acesso ao site e ao seu conteúdo atribuindo permissões a usuários ou grupos para um site ou conteúdo de site específico nos seguintes níveis em um conjunto de sites:
Site
Biblioteca ou lista
Pasta
Documento ou item
Antes de desenvolver seu plano de acesso a conteúdo e sites, você deve considerar as seguintes questões:
Que grau de granularidade você deseja ter para controlar as permissões para o site ou seu conteúdo? Por exemplo, talvez você deseje controlar o acesso no nível de site ou precise de configurações de segurança mais restritivas para um item, pasta ou lista específico.
Como você deseja categorizar e gerenciar seus usuários usando grupos do SharePoint? Grupos não têm permissões até receberem um nível de permissão para um site específico ou para um conteúdo de site específico. Ao atribuir níveis de permissão a grupos do SharePoint no nível de conjunto de sites, por padrão, todos os sites e conteúdo de site herdam esses níveis de permissão.
Para obter mais informações sobre como usar grupos para ajudar a gerenciar permissões, consulte Escolher grupos de segurança (SharePoint Foundation 2010)).
Sobre permissões de site
Você precisa entender os conceitos a seguir antes de projetar seu plano de permissões.
Permissões Permissões concedem a um usuário a capacidade de executar ações específicas. Por exemplo, a permissão Exibir Itens permite que um usuário exiba itens em uma lista ou pasta, mas não adicione nem remova esses itens. Permissões podem ser concedidas a usuários individuais nos níveis de site ou conteúdo de site.
Para obter mais informações sobre as permissões disponíveis, consulte User permissions and permission levels (SharePoint Foundation 2010).
Permissões refinadas Permissões refinadas são permissões exclusivas em objetos protegíveis que estão em um nível inferior de uma hierarquia de site, como permissões em uma lista ou biblioteca, em uma pasta ou em um item ou documento. Permissões refinadas permitem maior granularidade e a personalização de permissões de usuário em um conjunto de sites.
Nível de permissão Níveis de permissão são conjuntos de permissões que permitem aos usuários executar um conjunto de tarefas relacionadas. Por exemplo, o nível de permissão Ler inclui as permissões Exibir Itens, Abrir Itens, Exibir Páginas e Exibir Versões (entre outras), que são necessárias para exibir páginas, documentos e itens em um site do SharePoint. Permissões podem ser incluídas em mais de um nível de permissão.
Os níveis de permissão são definidos no nível de conjunto de sites e podem ser personalizados por qualquer usuário ou grupo cujo nível de permissão inclua a permissão Gerenciar Permissões. Para obter mais informações sobre como personalizar níveis de permissão, consulte Configure custom permissions (SharePoint Foundation 2010).
Os níveis de permissão padrão são Acesso Limitado, Leitura, Colaboração, Design e Controle Total. Para obter mais informações sobre os níveis de permissão padrão e as permissões incluídas em cada nível, consulte User permissions and permission levels (SharePoint Foundation 2010).
Grupo do SharePoint Um grupo do SharePoint é um grupo de usuários que são definidos no nível de conjunto de sites para facilitar o gerenciamento de permissões. A cada grupo do SharePoint é atribuído um nível de permissão padrão. Por exemplo, os grupos padrão do SharePoint são Proprietários, Visitantes e Membros, com Controle Total, Ler e Contribuir como seus níveis de permissão padrão, respectivamente. Qualquer pessoa com a permissão Controle Total pode criar grupos personalizados.
Usuário Usuário é uma pessoa com uma conta de usuário de qualquer provedor de autenticação com suporte no aplicativo Web. É recomendável atribuir permissões a grupos em vez de usuários, embora você possa conceder permissões a usuários individuais diretamente para um site ou conteúdo específico. Como é ineficiente manter contas de usuário individuais, você deve atribuir permissões a usuários individuais somente como exceção.
Objeto protegível Usuários ou grupos recebem níveis de permissão para um objeto protegível específico: site, lista, biblioteca, pasta, documento ou item. Por padrão, todas as listas e bibliotecas de um site herdam as permissões desse site. Você pode usar as permissões no nível da lista, pasta e item para controlar adicionalmente quais usuários podem exibir ou interagir com o conteúdo do site. É necessário interromper a herança de permissão para alterar ou atribuir permissões a esse objeto protegível. A qualquer momento, você pode voltar a herdar permissões da lista pai ou do site pai.
Você pode atribuir a um usuário ou grupo permissões para um objeto protegível específico. Usuários individuais ou grupos podem ter permissões diferentes para objetos protegíveis diferentes. O diagrama a seguir ilustra as relações entre permissões, usuários e grupos e objetos protegíveis.
Sobre a herança de permissões
As permissões em objetos protegíveis em um site são herdadas do objeto pai por padrão. Você pode interromper a herança e usar permissões refinadas — permissões exclusivas na lista ou biblioteca, pasta ou no nível de item ou documento — para obter maior controle sobre as ações que os usuários podem executar no seu site. Para obter mais informações sobre as práticas recomendadas para usar permissões refinadas, consulte o artigo sobre práticas recomendadas para usar permissões refinadas
Se você interromper a herança de permissões, isso copiará os grupos, usuários e níveis de permissão do objeto pai para o objeto filho e interromperá a herança. Quando a herança de permissão é interrompida, todas as permissões são explícitas, e nenhuma alteração no objeto pai afeta o objeto filho. Se você restaurar as permissões herdadas, o objeto filho herdará seus usuários, grupos e níveis de permissão do pai novamente, e você perderá os usuários, grupos ou níveis de permissão exclusivos do objeto filho.
Para facilitar o gerenciamento, use a herança de permissões sempre que possível.
Dica
Se optar por interromper a herança e usar permissões refinadas, você deverá usar grupos para evitar ter que controlar usuários individuais. Como as pessoas entram e saem de equipes e têm suas responsabilidades modificadas com frequência, controlar essas alterações e atualizar as permissões para objetos protegidos exclusivamente seria um processo muito demorado e propenso a erros.
Planejar permissões de site
Ao criar permissões, você deve equilibrar a facilidade de administração e desempenho com a necessidade de controlar o acesso a itens individuais. Se fizer uso intensivo de permissões refinadas, você gastará mais tempo gerenciando as permissões, e os usuários poderão experimentar maior lentidão quando tentarem acessar o conteúdo do site.
Use estas diretrizes para planejar permissões de site:
Siga o princípio do menor privilégio: os usuários deverão ter somente os níveis de permissão ou as permissões individuais que forem necessárias à execução das tarefas atribuídas a eles.
Use grupos padrão (por exemplo, Membros, Visitantes e Proprietários) e controle as permissões no nível do site.
Atribua a maioria dos usuários ao grupo Membros ou Visitantes. Por padrão, os usuários do grupo Membros podem contribuir com o site, adicionando ou removendo itens ou documentos, mas não podem alterar a estrutura, as definições do site ou a aparência do site. O grupo Visitantes tem acesso somente leitura ao site, significando que eles podem visualizar páginas e itens e podem abri-los, mas não podem adicionar nem remover páginas, itens ou documentos.
Limite o número de pessoas no grupo Proprietários. Somente os usuários de sua confiança para alterar estrutura, definições ou aparência do site devem estar no grupo Proprietários.
Use níveis de permissão em vez de atribuir permissões individuais.
Observação
-
Você poderá criar grupos do SharePoint e níveis de permissão adicionais se precisar de mais controle sobre as ações dos usuários. Por exemplo, se não quiser que o nível de permissão Leitura, em um determinado subsite, inclua a permissão Criar Alertas, interrompa a herança e personalize o nível de permissão Leitura para esse subsite.
-
O Microsoft SharePoint Foundation 2010 e o SharePoint Server 2010 usam Verificar Permissões para determinar as permissões de um usuário ou de um grupo em todos os recursos de um conjunto de sites. Agora, você pode localizar as permissões atribuídas diretamente ao usuário e as permissões atribuídas a qualquer grupo do qual o usuário seja membro verificando as permissões de um site ou conteúdo de site específico.
Planejar a herança de permissões
É muito mais fácil gerenciar permissões quando há uma hierarquia clara de permissões e permissões herdadas. Isso fica mais difícil quando algumas listas de um site têm permissões refinadas aplicadas e quando alguns sites têm subsites com permissões exclusivas e outros com permissões herdadas.
Por exemplo, é muito mais fácil gerenciar um site que tenha herança de permissões de acordo com a tabela a seguir.
Objeto passível de proteção | Descrição | Permissões exclusivas ou herdadas |
---|---|---|
Site A |
Página inicial do grupo |
Exclusivo |
Site A/Subsite A |
Grupo confidencial |
Exclusivo |
Site A/Subsite A/Lista A |
Dados confidenciais |
Exclusivo |
Site A/Subsite A/Biblioteca A |
Documentos confidenciais |
Exclusivo |
Site A/Subsite B |
Informações de projeto compartilhadas pelo grupo |
Herdado |
Site A/Subsite B/Lista B |
Dados não-confidenciais |
Herdado |
Site A/Subsite B/Biblioteca B |
Documentos não-confidenciais |
Herdado |
No entanto, não é tão fácil gerenciar um site que tenha herança de permissões de acordo com a tabela a seguir.
Objeto passível de proteção | Descrição | Permissões exclusivas ou herdadas |
---|---|---|
Site A |
Página inicial do grupo |
Exclusivo |
Site A/Subsite A |
Grupo confidencial |
Exclusivo |
Site A/Subsite A/Lista A |
Dados não-confidenciais |
Permissões exclusivas, mas idênticas às do Site A |
Site A/Subsite A/Biblioteca A |
Documentos não-confidenciais, mas com um ou dois documentos confidenciais |
Herdado, mas com permissões exclusivas no nível de documento |
Site A/Subsite B |
Informações de projeto compartilhadas pelo grupo |
Herdado |
Site A/Subsite B/Lista B |
Dados não-confidenciais, mas com um ou dois itens confidenciais |
Herdado, mas com permissões exclusivas em nível de item |
Site A/Subsite B/Biblioteca B |
Documentos não confidenciais, mas com uma pasta especial que contém documentos confidenciais |
Herdado, mas com permissões exclusivas no nível de pasta e documento |