SharePoint 中的权限继承
虽然 SharePoint 允许大量自定义网站权限,包括更改继承,但我们强烈建议不要中断继承。 将内置 SharePoint 组用于通信网站,并通过关联的 Microsoft 365 组管理团队网站权限。 使用共享链接与网站外部的人员共享单个文件和文件夹。 这使得管理更加容易。 有关在 SharePoint 新式体验中管理权限的信息,请参阅 SharePoint 新式体验中的共享和权限。
什么是权限继承?
权限继承意味着网站集中某个元素的权限设置将传递给该元素的子级。 通过这种方式,网站从网站集的顶级 (“root”) 网站继承权限,从包含库的网站继承库,等等。 通过权限继承,可以进行一次权限分配,并使该权限应用于继承权限的所有网站、列表、库、文件夹和项目。 此行为可以降低复杂性以及网站集管理员和网站所有者在安全管理上花费的时间。
默认情况下,SharePoint 网站从父网站继承权限。 这意味着,将用户分配到 Members 组时,用户的权限会自动向下级联到继承权限级别的所有网站、列表、库、文件夹和项目。
什么是 SharePoint 权限中的父级?
在 SharePoint 权限中使用父级一词只是强调继承的一种方式。 父级将其权限设置向下传递给其所有子级。 默认情况下,网站集的根网站是网站层次结构中所有网站及其下的其他对象的第一个父网站。
网站集的根网站不是唯一的父网站。 网站集中每个 (网站、库、列表等) 的安全对象都可以是父对象。 也就是说,根网站是其子网站的父网站,每个网站是其库和列表的父网站,每个列表是其中列表项的父级。 在此术语中,具有父级的对象称为子对象。 因此,子网站是其父网站的子网站,列表项是其列表父网站的子网站,依此而行。
重要
建议为每个工作单元创建网站集,而不是使用子网站创建分层结构。 了解如何使用中心站点来组织 Intranet
默认情况下,权限从父级继承到子级。 也就是说,如果不更改权限结构,列表项将从集合中的根网站继承 (通过其父列表) 的权限。 但是,即使中断列表的继承,该列表仍然是其自己的列表项的父级。 列表的列表项继承列表拥有的权限,如果更改列表的权限,列表项将继承所做的更改。
当你第一次中断父级到子级的这种继承链时,子级从父级权限的副本开始。 然后,编辑这些权限,使其按所需方式运行。 可以添加权限、删除权限、创建特殊组等。 任何更改都不会影响原始父级。 而且,如果你认为中断继承是错误的决策,可以随时恢复继承权限。
当用户共享或停止共享包含继承中断的其他项的项时,会将该权限添加或删除的一次性推送发送到所有子项,即使是继承中断的子项。 这适用于直接权限和共享链接。 管理继承中断的项的权限时,用户可以删除其任何直接权限。 如果在其父文件夹之一上创建的共享链接可以访问具有中断继承的项,并且用户不希望该链接授予对项目的访问权限,则用户可以完全删除该链接,也可以将文件移到具有共享链接权限的文件夹之外。
有关权限继承的详细信息
权限继承使管理员能够一次分配权限级别,并让权限在整个网站集中应用。 权限在整个 SharePoint 层次结构中从父级传递到子级,从网站的顶层传递到底部。 权限继承可以为网站管理员节省时间,尤其是在大型或复杂的网站集上。
但是,某些方案有不同的要求。 在一种方案中,你可能必须限制对站点的访问,因为它包含必须保护的敏感信息。 在其他方案中,你可能希望扩展访问权限并邀请其他人共享信息。 如果需要,可以中断继承行为, (停止继承层次结构中任何级别的权限) 。
我们来看看这些不同方案的示例。
假设你有一家名为 Northwind Traders 的公司。 使用 URL northwindtraders.sharepoint.com/sites/benefits 创建名为“权益”的通信网站。 在网站集根目录中,设置 SharePoint 组、分配权限级别以及将用户添加到组。
假设为“权益”网站创建子网站,例如“医疗保健” (northwindtraders.sharepoint.com/sites/benefits/healthcare) 和“停用” (northwindtraders.sharepoint.com/sites/benefits/retirement) 。 这些子网站甚至可以包含更多子网站。 例如,“医疗保健”子网站可能有一个“牙科”子网站 (northwindtraders.sharepoint.com/sites/benefits/healthcare/dental) 。
使用默认行为的方案
默认情况下,权限直接传递给子网站。 也就是说,在网站集根目录中分配的组和权限级别会自动传递到子网站以供重用。
限制对站点及其子项的访问的方案
假设你的公司只为高管提供特殊权益。 在这种情况下,管理员决定分离“执行”子网站,并中断父网站“权益”的继承。
“执行”网站的网站所有者更改网站的权限,删除某些组并创建其他组。 “高管”网站的子网站、“奖励”和“公司运输”现在仅从“执行”子网站继承权限。 只有“执行”的组和用户可以访问包含敏感信息的列表和库。
为了便于维护,建议使用类似的方法来限制访问。 也就是说,组织网站,以便敏感材料位于同一位置。 如果以这种方式组织网站,则只需为该特定网站或库中断一次继承。 这要少得多的开销。 与在多个位置为单个子网站和库创建单独的权限结构相比,它所需的工作量要少得多。
共享对文件夹及其子级的访问权限的方案
假设 Northwind Traders 的一名员工聘请了顾问,并希望与他们协作处理 SharePoint 中的文档。 员工不希望向顾问授予对 SharePoint 网站上任何其他内容的访问权限。
当员工与顾问共享文件夹时,SharePoint 会自动处理权限和访问权限的所有详细信息,方法是中断文件夹本身的继承。 顾问可以访问文件夹中的所有文档,但无法查看或访问网站上的任何其他信息。 尽管从技术上讲继承已中断,但如果以后将用户添加到父网站集,他们将自动获得对共享文件夹的权限。