Поделиться через


Авторизация, пользователи и группы

Дата последнего изменения: 14 апреля 2010 г.

Применимо к: SharePoint Foundation 2010

В Microsoft SharePoint Foundation управление доступом к веб-сайтам, спискам, папкам и элементам списков осуществляется с помощью основанной на ролях системы членства, с помощью которой пользователям назначаются роли, разрешающие доступ к объектам SharePoint Foundation.

Чтобы разрешить пользователю доступ к объекту, можно добавить его в группу, которая уже обладает разрешениями на доступ к объекту, или создать объект назначения роли, определить пользователя для назначения роли, при необходимости привязав назначение роли к соответствующему определению роли с базовыми разрешениями, а затем добавить назначение в коллекцию назначений ролей для элемента списка, папки, списка или веб-сайта. Если при назначении роли пользователю не привязать назначение роли к определению роли, разрешение пользователю предоставлено не будет.

В SharePoint Foundation предоставляются следующие способы управления доступом к объектам:

  • Объекты могут использовать те же разрешения, что и родительский веб-сайт, список или папка (наследуя роли и пользователей родительского объекта) или могут уникальные разрешения.

  • Для веб-сайтов, списков, папок и элементов предоставляются отдельные коллекции назначений ролей, что позволяет гибко управлять доступом пользователей к объектам.

  • Группы состоят из пользователей, и им могут назначаться или не назначаться роли. В состав SharePoint Foundation по умолчанию входят следующие три группы:

    • owners (администратор);

    • members (корреспондент);

    • visitors (читатель).

При создании веб-сайта с уникальными разрешениями через пользовательский интерфейс выполняется переход на страницу, на которой пользователи помещаются в группы для контроля доступа к сайту.

  • Анонимный доступ позволяет пользователям анонимно принимать участие в опросах и просматривать страницы. Также можно разрешить доступ "всем пользователям, прошедшим проверку", чтобы все члены домена могли обращаться к веб-сайту без необходимости включения анонимного доступа.

  • Права создания веб-сайта (CreateSSCSite и ManageSubwebs) управляют правом пользователей на создание веб-сайтов верхнего уровня, дочерних сайтов или рабочих областей.

Пользователи могут стать членами объекта SharePoint неявно, через группу, которой назначена соответствующая роль, или напрямую с помощью назначения. Пользователи также могут быть членами группы домена Microsoft Windows NT, которая добавляется к группе или роли. Определение роли связывает пользователя или группу с правом или набором прав, соответствующих значениям перечисления Microsoft.SharePoint.SPBasePermissions. Каждый пользователь или группа имеет уникальный идентификатор ID.

Возможности объектной модели для создания или изменения назначений и определений ролей отличается от возможностей, предоставляемых файлами addrole.aspx и editrole.aspx. В отличие от этих страниц, представленных в пользовательском интерфейсе, объектная модель не вводит зависимость прав, поэтому возможно создание определения с любой их комбинацией. В то же время при использовании объектной модели для настройки определений ролей и разрешений следует тщательно продумывать план, так как плохо построенное определение ролей и неверно назначенные права могут привести к возникновению проблем при использовании.

Дополнительные сведения о правах SharePoint Foundation см. в разделе SPBasePermissions.

Политика безопасности

Политика безопасности позволяет обеспечивать единый уровень безопасности для всех семейств сайтов внутри веб-приложения (виртуального сервера). Политика позволяет назначать роль (или коллекцию прав) отдельным пользователям SharePoint Foundation и группам домена, использующим проверку подлинности Windows или подключаемые системы проверки подлинности. Назначение ролей группам SharePoint через политику безопасности невозможно. Каждая запись политики указывает права для пользователя или группы пользователей в веб-приложении.

Политика настраивается на уровне логического веб-приложения или зоны. Например, пользователь может использовать различные политики для веб-сайтов https://Server и http://Server.extranet.microsoft.com, даже если оба приложения предоставляют одинаковое содержимое.

Политика позволяет предоставлять или отзывать права. Предоставление права дает пользователю или группе пользователей это право на все защищаемые объекты веб-приложения вне зависимости от локальных разрешений объекта. Отзыв права обладает большим приоритетом, чем предоставление права, блокируя соответствующее право для пользователей или группы пользователей на все защищаемые объекты веб-приложения. Отзыв всех прав для пользователя запрещает ему доступ ко всему контенту даже в том случае, если пользователь имеет явные разрешения на определенный контент: политика переопределяет разрешения уровня веб-сайта.

В ролях политики пользователи и группы пользователей определяются по идентификатору безопасности (SID) и имени пользователя или имени входа. Процедура применения роли политики схожа с процедурой управления разрешениями для веб-сайта, списка, папки или документа. Добавленные пользователи или группы включаются в одно или несколько определений ролей. Каждое веб-приложение использует собственные роли политики. Другим отличием ролей политики от разрешений является то, что центральные администраторы могут отозвать у пользователя право на все веб-приложение.

ПримечаниеПримечание

Роли политики центрального администрирования отличаются от определений ролей для семейства веб-сайтов.

Содержание

Объектная модель авторизации

Отношения объектов авторизации

Назначения, определения и наследование ролей

Олицетворение

Несанкционированное получение прав

Автоматическое изменение паролей и управляемые учетные записи

См. также

Концепции

Авторизация и проверка подлинности

Удостоверение на основе утверждений в SharePoint

Приступая к работе с безопасностью и моделью идентификации на основе заявок