Назначения, определения и наследование ролей
Дата последнего изменения: 14 апреля 2010 г.
Применимо к: SharePoint Foundation 2010
Роль состоит из двух частей: из определения и назначения.
Определение роли (уровень разрешений) представляет собой список прав, связанных с ролью. Право — это контролируемое действие на веб-сайте SharePoint, предназначенное для одного пользователя. Например, пользователь с ролью Чтение может просматривать страницы на веб-сайте и элементы в списках. Права никогда прямо не используются для управления пользовательскими разрешениями, в отличие от Windows SharePoint Services 2.0. Все разрешения пользователей и групп управляются с помощью ролей. Определение роли — это коллекция прав, связанных с определенным объектом. Определения ролей (например, Полный доступ, Чтение, Участие, Проектирование или Ограниченный доступ) действуют на конкретном веб-сайте и имеют одинаковое значение на всех страницах сайта. При этом на разных веб-сайтах внутри одного семейства сайтов их значения могут разниться. Подобно наследованию разрешений, определения ролей могут наследоваться от родительского веб-сайта.
Назначение роли — это связь между определением роли, пользователями, группами и областью действия (например, один пользователь может иметь право на чтение списка 1, а другой пользователь может иметь право на чтение списка 2). Связь, выражающаяся путем назначения роли, является ключевым объектом процесса ролевого управления безопасностью Microsoft SharePoint Foundation. Все разрешения управляются с помощью ролей: права никогда не назначаются пользователям напрямую. Назначаются только осмысленные коллекции прав (определения ролей), которые хорошо определены и согласованы. Управление уникальными разрешениями происходит путем добавления пользователей и групп в определения ролей или их удаления с помощью назначений.
Администратор веб-сайта может настроить пользовательские определения ролей и создать дополнительные роли с помощью страницы управления ролями, на которой перечислены доступные на веб-сайте определения ролей.
Наследование определений ролей
В SharePoint Foundation поддерживается наследование как разрешений, так и определений ролей. Для нарушения порядка наследования ролей требуется и нарушение порядка наследования разрешений.
Каждый объект SharePoint может иметь собственный набор разрешений или наследует их от родительского контейнера. В SharePoint Foundation не поддерживается частичное наследование, то есть такая ситуация, в которой объект будет наследовать все разрешения родительского объекта и одновременно обладать собственными разрешениями. Разрешения могут быть уникальными или унаследованными. В SharePoint Foundation также не поддерживается направленное наследование. Например, объект может наследовать только от родительского контейнера, а не от любого другого объекта или контейнера.
Когда веб-сайт наследует определения ролей, роли доступны только для чтения, подобно разрешениям только для чтения на унаследованном веб-сайте. Пользователь может переходить на родительский веб-сайт, содержащий уникальные определения ролей, с помощью ссылки. По умолчанию для всех новых веб-сайтов настроено наследование ролей родительского веб-сайта (это относится даже к веб-сайтам с уникальными разрешениями). При уникальных разрешениях определения ролей можно заменить на унаследованные определения ролей или отредактировать в качестве локальных определений ролей.
Наследование определений ролей на веб-сайте влияет на наследование разрешений с учетом следующих ограничений.
Разрешения наследуются только в том случае, если также происходит наследование определений ролей.
Уникальные определения ролей создаются только в том случае, если одновременно создаются уникальные разрешения.
Замена на наследованные определения ролей происходит только в том случае, если одновременно также заменяются все уникальные разрешения на веб-странице. Существующие разрешения зависят от определений ролей.
Замена на наследуемые разрешения производится только в том случае, если одновременно происходит замена на наследуемые определения ролей. Разрешения веб-сайта всегда связаны с определениями ролей для этого веб-сайта.