SharePoint Server 中的网站权限概述
适用于:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
本文将帮助您了解网站集、网站、子网站和网站内容(列表或库、文件夹、项目或文档)级别的访问控制背后的概念。
简介
通过在网站集中的以下级别,针对特定网站或网站内容向用户或组分配权限,您可以控制对网站和网站内容的访问:
网站
库或列表
文件夹
文档或项目
在制定网站和内容访问计划之前,应考虑下列问题:
对于网站或网站内容,您希望以什么样的粒度来控制权限? 例如,您是希望控制网站级别的访问,还是需要对特定列表、文件夹或项目使用限制性更强的安全设置。
如何使用 SharePoint 组对用户分类以及管理用户? 在针对特定网站或特定网站内容为组分配权限级别之前,组没有任何权限。 当您在网站集级别向 SharePoint 组分配权限级别后,默认情况下,所有网站和网站内容都将继承那些权限级别。
有关如何使用组帮助管理权限的详细信息,请参阅 SharePoint Server 中的安全组概述。
关于网站权限
在设计权限计划之前,应先了解下列概念。
权限 权限允许用户执行特定操作。 例如,利用"查看项目"权限,用户可以查看列表或文件夹中的项目,但不能添加或移除项目。 可在网站或网站内容级别向单个用户授予权限。
有关可用权限的信息,请参阅User permissions and permission levels (SharePoint Server 2010)。
细化权限 细化权限是位于网站层次结构中较低级别的安全对象的唯一权限,例如列表或库、文件夹、项目或文档的权限。 使用细化权限,可以更加精确地控制和自定义网站集中的用户权限。
权限级别 权限级别是允许用户执行一组相关任务的权限集合。 例如,"读取"权限级别包括"查看项目"、"打开项目"、"查看网页"和"查看版本"权限(以及其他权限),它们都是查看 SharePoint 网站中的网页、文档和项目所必需的。 单个权限可以包含在多个权限级别中。
权限级别在网站集级别定义,并且可由其权限级别包含"管理权限"权限的任何用户或组进行自定义。 有关如何自定义权限级别的详细信息,请参阅 在 SharePoint Server 中配置自定义权限。
默认权限级别为"受限访问"、"读取"、"参与讨论"、"设计"和"完全控制"。 有关默认权限级别和每个级别中包含的权限的信息,请参阅User permissions and permission levels (SharePoint Server 2010)。
SharePoint 组 SharePoint 组是为了简化权限管理而在网站集级别定义的用户组。 每个 SharePoint 组均分配有默认权限级别。 例如,默认 SharePoint 组为"所有者"、"访问者"和"成员",其默认权限级别分别为"完全控制"、"读取"和"参与讨论"。 具有"完全控制"权限的任何人均可创建自定义组。
用户 用户是拥有用户帐户的人员,此用户帐户可来自 Web 应用程序支持的任何身份验证提供程序。 虽然您可以直接向单个用户授予对网站或特定内容的权限,但我们建议您向组而不是用户分配权限。 因为维护单个用户帐户缺乏效率,您应该只在例外情况下对每个用户分配权限。
安全对象 安全对象是针对其向用户或组分配权限级别的网站、列表、库、文件夹、文档或项目。 默认情况下,网站内的所有列表和库均继承该网站的权限。 您可以使用列表级、文件夹级和项目级权限进一步控制哪些用户能够查看网站内容或与之交互。 在针对该安全对象更改或分配权限之前,必须先断开权限继承关系。 您可以随时恢复为从父列表或父网站继承权限。
可以针对特定安全对象向用户或组分配权限。 各个用户或组对不同的安全对象可以拥有不同的权限。 下图说明权限、用户和组以及安全对象之间的关系。
权限、用户和组以及安全对象之间的关系
关于权限继承
默认情况下,网站中的安全对象的权限是从父对象继承的。 您可以断开继承关系并使用细化权限(列表或库、文件夹、项目或文档级别的唯一权限)更加精确地控制用户能够在网站上执行的操作。
停止继承权限可将组、用户和权限级别从父对象复制到子对象,然后中断继承关系。 删除用户的权限时,该更改会影响子对象。 我们传播删除,无论继承的状态如何。 如果恢复继承的权限,子对象会再次从父对象继承其用户、组和权限级别,这样将会丢失子对象特有的所有用户、组或权限级别。
为了简化管理,请尽可能使用权限继承。
提示
如果选择断开继承关系并使用细化权限,则应使用组,以避免必须跟踪各个用户的麻烦。 由于团队中的成员及其责任会经常变动,因此跟踪那些变动并更新唯一安全对象的权限相当耗时,且容易出错。