规划网站权限 (SharePoint Foundation 2010)
适用于: SharePoint Foundation 2010
上一次修改主题: 2016-11-30
本文将帮助您制定网站集、网站、子网站和网站内容(列表或库、文件夹、项目或文档)级别的访问控制计划。它还描述了有关权限继承和细化权限的概念。
本文不介绍如何制定整个服务器或服务器场的安全计划。有关如何规划安全性的其他方面(例如,身份验证方法和身份验证模式)的详细信息,请参阅规划身份验证方法 (SharePoint Foundation 2010)。
本文内容:
关于网站权限
关于权限继承
制定网站权限计划
制定权限继承计划
简介
可以通过在网站集中的以下级别为特定网站或网站内容的用户或组分配权限来控制对网站和网站内容的访问:
网站
库或列表
文件夹
文档或项目
在制定网站和内容访问计划之前,您应考虑以下问题:
对于网站或网站内容,您希望以什么样的粒度来控制权限。例如,您是希望控制网站级别的访问,还是需要对特定列表、文件夹或项目使用限制性更强的安全设置。
您希望如何使用 SharePoint 组对用户分类以及管理用户。在针对特定网站或特定网站内容为组分配权限级别之前,组没有任何权限。当您在网站集级别向 SharePoint 组分配权限级别后,默认情况下,所有网站和网站内容都将继承那些权限级别。
有关使用组来帮助管理权限的详细信息,请参阅选择安全组 (SharePoint Foundation 2010)。
关于网站权限
在制定权限计划之前,您应了解以下概念。
权限 权限允许用户执行特定操作。例如,利用“查看项目”权限,用户可以查看列表或文件夹中的项目,但不能添加或移除项目。可将权限授予给网站或网站内容级别的单个用户。
有关可用权限的信息,请参阅用户权限和权限级别 (SharePoint Foundation 2010)。
细化权限 细化权限是网站层次结构中较低级别的安全对象上的唯一权限(例如,列表或库、文件夹、项目或文档上的权限)。细化权限允许较大的粒度并允许对网站集中的用户权限进行自定义。
权限级别 权限级别是允许用户执行一组相关任务的权限的集合。例如,“读取”权限级别包括“查看项目”、“打开项目”、“查看页面”和“查看版本”权限以及其他权限,所有这些权限都是在 SharePoint 网站中查看页面、文档和项目所必需的。权限可在多个权限级别包含。
在网站集级别定义权限级别,并且其权限级别包括“管理权限”权限的任何用户或组均可自定义权限级别。有关自定义权限级别的详细信息,请参阅配置自定义权限 (SharePoint Foundation 2010)。
默认权限级别为“受限访问”、“读取”、“参与讨论”、“设计”和“完全控制”。有关默认权限级别及每个级别中包含的权限的信息,请参阅用户权限和权限级别 (SharePoint Foundation 2010)。
SharePoint 组 SharePoint 组是在网站集级别定义的用户组以便于管理权限。为每个 SharePoint 组分配了一个默认权限级别。例如,默认 SharePoint 组为“所有者”、“访问者”和“成员”,它们分别将“完全控制”、“读取”和“参与讨论”作为其默认权限级别。具有“完全控制”权限的任何用户和组可创建自定义组。
用户 用户可以是拥有来自受 Web 应用程序支持的任何身份验证提供程序中的用户帐户的人员。虽然您可以直接向单个用户授予对网站或特定内容的权限,但我们建议您向组而不是用户分配权限。因为维护单个用户帐户缺乏效率,您应该只在例外情况下对每个用户分配权限。
安全对象 安全对象是可针对其为用户或组分配权限级别的网站、列表、库、文件夹、文档或项目。默认情况下,网站内的所有列表和库都从网站继承权限。但是,您可以使用列表级别、文件夹级别和项目级别权限,另行控制哪些用户可以查看网站内容或与网站内容交互。在您更改或分配该安全对象的权限之前,您必须先断开权限继承。您可随时恢复从父列表或网站继承权限。
可以针对特定安全对象向用户或组分配权限。各个用户或组对不同的安全对象可以拥有不同的权限。下图演示了权限、用户和组以及安全对象之间的关系。
.gif "特定的权限级别")
关于权限继承
网站内安全对象的权限默认情况下从父对象继承。您可断开继承并使用细化权限(列表或库、文件夹、项目或文档级别的唯一权限)更加精确地控制用户能够在网站上执行的操作。有关使用细分权限的最佳实践的详细信息,请参阅使用细分权限的最佳实践
停止继承权限时,会将组、用户和权限级别从父对象复制到子对象,然后断开继承。当断开权限继承时,所有权限都是显式的,并且对父对象所做的任何更改都不会影响子对象。如果还原继承的权限,则子对象将再次从父对象继承用户、组和权限级别,并且,您将丢失子对象特有的任何用户、组或权限级别。
为了便于管理,请使用权限继承(如果可能)。
提示
如果您选择断开继承并使用细化权限,则应使用组以避免必须跟踪各个用户的麻烦。由于工作组中的成员及其责任会经常变动,因此跟踪那些变动并更新唯一安全对象的权限相当耗时,且容易出错。
制定网站权限计划
在创建权限后,必须在兼顾易管理性和性能的同时实现单个项目的访问权限控制。如果大量使用细化权限,则需要花费更多的时间来管理权限,并且用户在尝试访问网站内容时会感到运行速度下降。
使用下列指导原则制定网站权限计划:
遵循最低权限原则:用户只应拥有执行为其分配的任务所需的权限级别或个别权限。
使用标准组(例如,Members、Visitors 和 Owners)在网站级别控制权限。
让大多数用户成为 Visitors 或 Members 组的成员。默认情况下,Members 组中的用户可以通过添加或删除项目或文档来参与网站的内容创作,但他们不能更改网站的结构、网站设置或外观。Visitors 组对网站具有只读访问权限,这意味着他们可以查看页面和项目以及打开项目和文档,但不能添加或删除页面、项目或文档。
限制 Owners 组中的人数。只有您信任的可以更改网站结构、设置或外观的用户才能成为 Owners 组的成员。
使用权限级别而不是分配单个权限。
备注
-
如果需要更好地控制用户可执行的操作,您可以创建额外的 SharePoint 组和权限级别。例如,如果不希望特定子网站上的“读取”权限级别包括“创建通知”权限,请断开继承并为该子网站自定义“读取”权限。
-
Microsoft SharePoint Foundation 2010 和 SharePoint Server 2010 可使用“检查权限”来确定网站集内所有资源的用户或组权限。现在您可以通过检查特定网站或网站内容的权限来查找直接分配的用户权限以及分配给用户所在的任何组的权限。
制定权限继承计划
如果权限以及继承的权限的层次结构清晰明了,则管理权限将轻松很多。如果网站内的某些列表应用了细化权限,并且一些网站的子网站具有独特的权限,而另一些网站的子网站具有继承的权限,这时管理起来就比较困难。
例如,管理下表所示的具有权限继承关系的网站会容易得多。
| 安全对象 | 说明 | 独特的权限或继承的权限 |
|---|---|---|
SiteA |
组主页 |
独特 |
SiteA/SubsiteA |
敏感组 |
独特 |
SiteA/SubsiteA/ListA |
敏感数据 |
独特 |
SiteA/SubsiteA/LibraryA |
敏感文档 |
独特 |
SiteA/SubsiteB |
组共享的项目信息 |
继承 |
SiteA/SubsiteB/ListB |
非敏感数据 |
继承 |
SiteA/SubsiteB/LibraryB |
非敏感文档 |
继承 |
但是,管理下表中所示的具有权限继承关系的网站就不那么容易了。
| 安全对象 | 说明 | 独特的权限或继承的权限 |
|---|---|---|
SiteA |
组主页 |
独特 |
SiteA/SubsiteA |
敏感组 |
独特 |
SiteA/SubsiteA/ListA |
非敏感数据 |
与 SiteA 相同的独特权限 |
SiteA/SubsiteA/LibraryA |
非敏感文档,但是有一两个敏感文档 |
继承权限,在文档级别有独特权限 |
SiteA/SubsiteB |
组共享的项目信息 |
继承 |
SiteA/SubsiteB/ListB |
非敏感数据,但是有一两个敏感项目 |
继承权限,在项目级别有独特权限 |
SiteA/SubsiteB/LibraryB |
非敏感文档,但是有一个包含敏感文档的特殊文件夹 |
继承权限,在文件夹和文档级别有独特权限 |