Поделиться через


Наследование разрешений в SharePoint

Хотя SharePoint позволяет значительно настраивать разрешения сайта, включая изменение наследования, настоятельно рекомендуется не нарушать наследование. Используйте встроенные группы SharePoint для общения сайтов и управляйте разрешениями сайта группы через связанную группу Microsoft 365. Используйте ссылки общего доступа, чтобы делиться отдельными файлами и папками с пользователями за пределами сайта. Это значительно упрощает администрирование. Сведения об управлении разрешениями в современном интерфейсе SharePoint см. в статье Общий доступ и разрешения в современном интерфейсе SharePoint.

Что такое наследование разрешений?

Наследование разрешений означает, что параметры разрешений элемента в семействе веб-сайтов передаются дочерним элементам этого элемента. Таким образом, сайты наследуют разрешения от сайта верхнего уровня ("корневого") семейства веб-сайтов, библиотеки наследуются от сайта, содержащего библиотеку, и т. д. Наследование разрешений позволяет выполнить однократное назначение разрешений и применить это разрешение ко всем сайтам, спискам, библиотекам, папкам и элементам, наследующим разрешения. Такое поведение может снизить сложность и время, затрачивается администраторами семейства веб-сайтов и владельцами сайтов на управление безопасностью.

По умолчанию сайты SharePoint наследуют разрешения от родительского сайта. Это означает, что при назначении пользователя группе Участники разрешения пользователя автоматически каскадно по всем сайтам, спискам, библиотекам, папкам и элементам, которые наследуют уровень разрешений.

Что такое родительский объект в разрешениях SharePoint?

Термин родительский при использовании в разрешениях SharePoint — это просто способ подчеркнуть наследование. Родительский объект передает параметры разрешений всем своим дочерним элементам. По умолчанию корневой сайт семейства веб-сайтов является первым родительским для всех сайтов и других объектов, расположенных под ним в иерархии сайтов.

Корневой сайт семейства веб-сайтов не является единственным родительским сайтом. Каждый защищаемый объект (сайты, библиотеки, списки и т. д.) в семействе веб-сайтов может быть родительским. То есть корневой сайт является родительским для своих дочерних сайтов, каждый сайт является родительским для своих библиотек и списков, а каждый список является родительским для элементов списка в нем. В этой терминологии объект с родительским элементом называется дочерним. Таким образом, дочерний сайт является дочерним элементом родительского сайта, элемент списка — дочерним элементом родительского списка и т. д.

Важно!

Рекомендуется создавать семейство веб-сайтов для каждой единицы работы, а не создавать иерархическую структуру дочерних сайтов. Сведения об использовании центральных сайтов для организации интрасети

По умолчанию разрешения наследуются от родительского к дочернему. То есть, если не изменить структуру разрешений, элемент списка наследует разрешения (через родительский список) от корневого сайта в коллекции. Однако даже если вы нарушаете наследование для списка, этот список по-прежнему является родительским для его собственных элементов списка. Элементы списка наследуют разрешения, имеющиеся в списке, и при изменении разрешений для списка элементы списка наследуют изменения.

При первом разрыве этой цепочки наследования от родителя к потомку дочерний начинается с копии разрешений родителя. Затем вы измените эти разрешения, чтобы сделать их нужным. Вы можете добавлять разрешения, удалять разрешения, создавать специальные группы и т. д. Ни одно из изменений не влияет на исходный родительский объект. И если вы решите, что нарушение наследования было неправильным решением, вы можете возобновить наследование разрешений в любое время.

Когда пользователь предоставляет общий доступ к элементу, который содержит другие элементы с нарушенным наследованием, однократное удаление или добавление разрешения отправляется всем дочерним элементам, даже элементам с нарушенным наследованием. Это справедливо как для прямых разрешений, так и для ссылок общего доступа. При управлении разрешениями для элемента с нарушенным наследованием пользователи могут удалять на него любые прямые разрешения. Если элемент с нарушенным наследованием доступен по ссылке общего доступа, созданной в одной из родительских папок, и пользователь не хочет, чтобы эта ссылка предоставляла доступ к элементу, пользователи могут либо полностью удалить ссылку, либо переместить файл за пределы папки, для которой ссылка на общий доступ имеет разрешения.

Дополнительные сведения о наследовании разрешений

Наследование разрешений позволяет администратору одновременно назначать уровни разрешений и применять разрешения во всем семействе веб-сайтов. Разрешения передаются от родительского к дочернему по всей иерархии SharePoint, от верхнего уровня сайта до нижнего. Наследование разрешений может сэкономить время для администраторов сайтов, особенно в больших или сложных семействах веб-сайтов.

Однако некоторые сценарии имеют разные требования. В одном из сценариев может потребоваться ограничить доступ к сайту, так как он содержит конфиденциальную информацию, которую необходимо защитить. В другом сценарии может потребоваться расширить доступ и пригласить других пользователей к обмену информацией. При необходимости можно нарушить наследование (прекратить наследование разрешений) на любом уровне иерархии.

Давайте рассмотрим примеры этих различных сценариев.

Предположим, что у вас есть компания Northwind Traders. Вы создаете информационный сайт с именем "Преимущества" с URL-адресом northwindtraders.sharepoint.com/sites/benefits. В корневом каталоге семейства веб-сайтов вы настраиваете группы SharePoint, назначаете уровни разрешений и добавляете пользователей в группы.

Предположим, что вы создаете дочерние сайты для сайта "Преимущества", например "Здравоохранение" (northwindtraders.sharepoint.com/sites/benefits/healthcare) и "Прекращение использования" (northwindtraders.sharepoint.com/sites/benefits/retirement). Эти дочерние сайты могут даже содержать больше дочерних сайтов. Например, дочерний сайт "Здравоохранение" может иметь дочерний сайт "Dental" (northwindtraders.sharepoint.com/sites/benefits/healthcare/dental).

Сценарий, использующий поведение по умолчанию

По умолчанию разрешения передаются непосредственно на дочерние сайты. То есть группы и уровни разрешений, назначенные в корневом каталоге семейства веб-сайтов, автоматически передаются на дочерний сайт для повторного использования.

Сценарий, ограничивающий доступ к сайту и его дочерним объектам

Предположим, что ваша компания предлагает специальные преимущества только для руководителей. В этом случае администраторы решают отделить дочерний сайт "Executive" и прервать наследование от родительского сайта "Преимущества".

Владельцы сайта "Executive" изменяют разрешения для сайта, удаляя некоторые группы и создавая другие. Дочерние сайты сайта "Executive", "Бонусы" и "Транспорт компании", теперь наследуют разрешения только от дочернего сайта "Executive". Только группы и пользователи для "Executive" могут получить доступ к спискам и библиотекам, содержащим конфиденциальную информацию.

Для упрощения обслуживания рекомендуется использовать аналогичный метод для ограничения доступа. То есть организуйте сайт так, чтобы конфиденциальный материал был в том же месте. Если вы организуете сайт таким образом, вам нужно только один раз прервать наследование для этого конкретного сайта или библиотеки. Это гораздо меньше накладных расходов. Это требует гораздо меньше работы, чем создание отдельных структур разрешений во многих расположениях для отдельных дочерних сайтов и библиотек.

Сценарий, при котором общий доступ к папке и ее дочерним элементам

Предположим, что сотрудник Northwind Traders нанял консультантов и хочет сотрудничать с ними над документами в SharePoint. Сотрудник не хочет предоставлять консультантам доступ к чему-либо еще на сайте SharePoint.

Когда сотрудник предоставляет консультантам общий доступ к папке, SharePoint автоматически обрабатывает все сведения о разрешениях и доступе, нарушая наследование самой папки. Консультанты могут получить доступ ко всем документам в папке, но не могут просматривать или получать доступ к любой другой информации на сайте. Несмотря на то, что наследование технически нарушено, при добавлении пользователей в родительское семейство веб-сайтов они автоматически получат разрешение на доступ к общей папке.