Поделиться через

Обзор групп безопасности в SharePoint Server

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint в Microsoft 365

Чтобы повысить эффективность управления пользователями сайтов SharePoint, рекомендуется назначать уровни разрешений группам, а не отдельным пользователям. Группа SharePoint представляет собой набор отдельных пользователей, а также может включать в себя группы доменных служб Active Directory.

Сведения о группах в Microsoft 365.

Введение

В доменных службах Active Directory для организации пользователей обычно используются следующие два типа групп:

  • Группа рассылки Группа, которая используется только для рассылки по электронной почте и не поддерживает безопасность. Группы рассылки не могут быть указаны в списках управления доступом на уровне пользователей (DACL), используемых для определения разрешений для ресурсов и объектов.

  • Группа безопасности Группа, которая может быть указана в списках DACLs. Группа безопасности также может быть использована в качестве объекта электронной почты.

Группы безопасности можно использовать для управления разрешениями для веб-сайта путем добавления групп безопасности в группы SharePoint и предоставления разрешений группам SharePoint. Нельзя добавлять группы рассылки в группы SharePoint, однако можно расширить группу рассылки и добавить отдельных участников в группу SharePoint. При использовании этого способа необходимо вручную синхронизировать группу SharePoint с группой рассылки. При использовании групп безопасности нет необходимости управлять отдельными пользователями в приложении SharePoint. Поскольку включена сама группа безопасности, а не ее отдельные участники, управление пользователями осуществляется доменными службами Active Directory.

Примечание.

Для упрощения управления безопасностью при управлении группами доменных служб Active Directory не рекомендуется: > Назначьте уровни разрешений непосредственно группам AD DS. > Добавление групп безопасности, содержащих вложенные группы безопасности, контакты или списки рассылки.

Принятие решения о добавлении групп безопасности

Добавление групп безопасности в группы SharePoint обеспечивает централизованное управление группами и безопасностью. Группа безопасности — это единственное место, где осуществляется управление отдельными пользователями. После добавления группы безопасности в группу SharePoint управлять участниками группы безопасности в этой группе SharePoint не нужно. Если пользователь удаляется из группы безопасности, он будет автоматически удален из группы SharePoint.

Однако группы безопасности в SharePoint не обеспечивают полной прозрачности происходящего. Например, при добавлении группы безопасности в группу SharePoint для определенного сайта, этот сайт не появляется в личных сайтахЛичные сайты пользователя. Отдельные пользователи не отображаются в списке сведений о пользователях, пока они не совершат какое-либо действие на сайте. Кроме того, группы безопасности с многими уровнями вложения могут нарушить работу сайтов SharePoint.

Учитывая данные преимущества и недостатки, предлагаются следующие рекомендации.

  • Для сайтов в интрасети, которые часто посещаются пользователями компании, можно использовать группы безопасности, поскольку вести учет отдельных пользователей, посетивших домашнюю страницу сайта в интрасети не нужно.

  • Для сайтов совместной работы, к которым обращается небольшая группа пользователей, добавьте пользователей непосредственно в группы SharePoint. В этом случае необходимо знать, кто является участником, чтобы участники группы знали адреса электронной почты друг друга и как связаться друг с другом.

Определение групп безопасности, используемых для предоставления доступа к сайтам

Каждая организация настраивает группы безопасности по-разному. Чтобы упростить процесс управления разрешениями, группы безопасности должны быть:

  • Достаточно большой и стабильный, что вы не постоянно добавляете больше групп безопасности на сайты SharePoint.

  • Достаточно маленькими, чтобы можно было назначать соответствующие разрешения

Например, группа безопасности с именем "все пользователи в здании 2", вероятно, недостаточно мала для назначения разрешений, если только все пользователи в здании 2 не имеют одну и ту же функцию задания, например клерки дебиторской задолженности. Этот сценарий происходит редко. Поэтому следует искать меньший, более конкретный набор пользователей, например "Дебиторская задолженность".

Принятие решения о предоставлении доступа всем пользователям, прошедшим проверку подлинности

Если требуется, чтобы все пользователи домена имели возможность просматривать контент сайта, рекомендуется предоставить доступ всем пользователям, прошедшим проверку подлинности (группа безопасности Windows "Пользователи домена"). Эта специальная группа позволяет всем членам вашего домена получать доступ к веб-сайту (на выбранном уровне разрешений) без необходимости включать анонимный доступ.

Принятие решения о предоставлении доступа всем пользователям, прошедшим проверку подлинности

Можно разрешить анонимный доступ, чтобы пользователи могли просматривать страницы анонимно. Большинство веб-сайтов Интернета разрешают анонимный просмотр, но при необходимости изменить веб-сайт или совершить покупку в интернет-магазине может потребоваться пройти проверку подлинности. Анонимный доступ по умолчанию отключен и должен предоставляться на уровне веб-приложения во время его создания.

Если анонимный доступ разрешен для веб-приложения, администраторы сайта могут принять решение о предоставлении анонимного доступа к сайту или к любому расположенному на нем контенту.

Анонимный доступ основывается на учетной записи анонимного пользователя на веб-сервере. Эта учетная запись создается и поддерживается службами IIS, а не сайтом SharePoint. По умолчанию в службах IIS учетной записью анонимного пользователя является IUSR. При разрешении анонимного доступа этой учетной записи предоставляется доступ к сайту SharePoint. При разрешении доступа к сайту, спискам или библиотекам разрешение на просмотр элементов предоставляется учетной записи анонимного пользователя. Однако даже при наличии разрешения на просмотр элементов действия анонимных пользователей ограничены. Анонимные пользователи не могут выполнять следующие действия:

  • Открытие сайтов для редактирования в Office SharePoint Designer.

  • Просмотр сайтов в сетевом окружении.

  • Передача или изменение документов в библиотеках документов, например в вики-библиотеках.

    Важно!

    Для обеспечения безопасности сайтов, списков или библиотек анонимный доступ необходимо запретить. Анонимный доступ позволяет пользователям добавлять или изменять контент в списках, обсуждениях и опросах, при этом возможно использование дискового пространства сервера и других ресурсов. Анонимный доступ также позволяет анонимным пользователям получать сведения на сайте, включая адреса электронной почты пользователей, а также любой контент в списках, библиотеках и обсуждениях.

Политики разрешений предоставляют централизованный способ настройки и управления набором разрешений, которые применяются только к подмножеству пользователей или групп в веб-приложении. Управлять политикой разрешений для анонимных пользователей можно путем включения и отключения анонимного доступа для веб-приложения. Если анонимный доступ к веб-приложению разрешен, администраторы сайта могут предоставлять или отклонять анонимный доступ на уровне семейства сайтов, сайта или элемента. Если анонимный доступ к веб-приложению запрещен, анонимные пользователи не смогут зайти ни на один сайт в веб-приложении.

  • Никакой Нет политики. Этот параметр используется по умолчанию. К анонимным пользователям сайта не применяются никакие дополнительные ограничения разрешений или дополнения.

  • Запретить запись. Анонимные пользователи не могут выполнять запись контента, даже если администратор сайта намеренно предпримет попытку предоставить такое разрешение учетной записи анонимного пользователя.

  • Запретить все Анонимные пользователи не могут получить доступ, даже если администраторы сайта специально пытаются предоставить учетной записи анонимного пользователя доступ к своим сайтам. Дополнительные сведения о политиках разрешений см. в статье Управление политиками разрешений для веб-приложения в SharePoint Server.

См. также

Другие ресурсы

Планирование разрешений для сайтов и контента в SharePoint Server

Управление политиками разрешений для веб-приложения в SharePoint Server