共用方式為

SharePoint Server 的安全性群組概觀

  • 發行項

適用於:yes-img-132013 yes-img-16 2016yes-img-19 2019yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

如果您將權限等級指派給群組而非個別使用者,則可以更有效率地管理 SharePoint 網站的使用者。 SharePoint 群組是一組個別的使用者,其中可能也包括 Active Directory 網域服務 (AD DS) 群組。

瞭解 Microsoft 365 中的群組

簡介

在 AD DS 中,常使用下列群組以組織使用者:

  • 通訊群組 僅用於電子郵件散發且未啟用安全性的群組。 通訊群組無法列在用於定義資源及物件權限的判別存取控制清單 (DACL) 中。

  • 安全組 可列在 DACL 中的群組。 安全性群組也可用為電子郵件實體。

您可利用將安全性群組新增到 SharePoint 群組,並授與 SharePoint 群組權限的方式,來使用安全性群組以控制網站的權限。 雖無法新增通訊群組至 SharePoint 群組,但可以展開通訊群組,並將個別成員新增至 SharePoint 群組。 若使用此方法,您必須手動保持 SharePoint 群組與通訊群組的同步處理。 若使用安全性群組,就不需要管理 SharePoint 應用程式中的個別使用者。 因為您已將安全性群組本身包含在內,而不是包含群組的個別成員,所以 AD DS 會替您管理使用者。

注意事項

為便於進行安全性管理,當您管理 AD DS 群組時,不建議執行下列項目: > 將許可權等級直接指派給AD DS群組。 > 新增包含巢狀安全組、聯繫人或通訊組清單的安全組。

決定是否要新增安全性群組

新增安全性群組至 SharePoint 群組可提供群組及安全性的集中管理。 您應該僅在安全性群組中管理個別使用者。 一旦您新增安全性群組至 SharePoint 群組,即無須在該 SharePoint 群組中管理安全性群組成員。 若從安全性群組中移除使用者,使用者即會自動從 SharePoint 群組中移除。

不過,SharePoint 網站中的安全性群組仍會有些盲點。 例如,當安全組新增至特定網站的 SharePoint 群組時,網站將不會出現在使用者的 [我的網站] 中。 而使用者資訊清單只有當使用者使用過網站後,才會顯示個別使用者。 此外,若安全性群組的巢狀結構較深,就可能會讓 SharePoint 網站無法使用。

若要考慮上述的優缺點,您可參考下列建議:

  • 針對使用者可廣泛存取的內部網路網站,請使用安全性群組,因為您不需要管理存取內部網路網站首頁的個別使用者。

  • 針對少數使用者存取的共同作業網站,則直接新增使用者至 SharePoint 群組。 在此情況下,需要知道誰是成員,讓群組成員知道彼此的電子郵件位址,以及如何彼此連絡。

決定用來授與網站存取權的安全性群組

每個組織設定其安全性群組的方式都不相同。 若要以更簡單的方式管理權限,安全性群組應:

  • 夠大且穩定,您不會持續將更多安全組新增至 SharePoint 網站。

  • 規模不致於過大,如此您才可以指定適當的權限。

例如,名稱為「2 號大樓的所有使用者」的安全性群組,規模可能太大而無法指派權限,除非 2 號大樓的所有使用者都擁有相同的工作職責,例如應收帳款帳務人員。 這種情況很少發生。 因此,您應該尋找一組較小且更特定的使用者,例如「可接收的帳戶」。

決定是否允許所有已驗證的使用者存取

若希望網域內的所有使用者都能夠檢視網站上的內容,請考慮授與所有已驗證的使用者存取權 (亦即 Domain Users Windows 安全性群組)。 這個特殊群組可讓您網域的所有成員在您選擇) 的許可權層級存取網站 (,而不需要啟用匿名存取。

決定是否允許匿名使用者存取

您可以啟用匿名存取,讓使用者以匿名方式檢視網頁。 大部分的網際網路網站都允許匿名檢視網站,但若有人想要編輯網站或在購物網站購買商品,即可能會要求驗證。 匿名存取是預設為停用,且必須在建立 Web 應用程式時,於 Web 應用程式層級授與。

若啟用 Web 應用程式的匿名存取,則網站管理員可決定是否授與網站或任何該網站內容的匿名存取。

匿名存取依存於網頁伺服器上的匿名使用者帳戶。 此帳戶是由 Internet Information Services (IIS) 所建立和維護,而不是由您的 SharePoint 網站建立和維護。 根據預設,在 IIS 中,匿名用戶帳戶是 IUSR。 當您啟用匿名存取時,實際上是授與該帳戶存取 SharePoint 網站的權限。 允許存取網站或存取清單及文件庫,即會將「檢視項目」權限授與匿名使用者帳戶。 然而,即使具有「檢視項目」權限,匿名使用者能執行的作業仍有限制。 匿名使用者無法:

  • 在 Office SharePoint Designer 中開啟要編輯的網站。

  • 在 [網路上的芳鄰] 中檢視網站。

  • 上傳或編輯文件庫的文件,例如 wiki 文件庫。

    重要事項

    若要改善網站、清單或文件庫的安全性,請勿啟用匿名存取。 匿名存取可讓使用者參與清單、討論區與問卷,而這有可能用盡伺服器磁碟空間以及其他資源。 匿名存取也可以讓匿名使用者探索網站資訊,包括使用者電子郵件地址以及張貼任何內容至清單、文件庫與討論區。

「權限原則」提供集中的方式,來設定與管理只適用於 Web 應用程式中使用者或群組子集的一組權限。 您可啟用或停用 Web 應用程式的匿名存取,以管理匿名使用者的權限原則。 若您啟用 Web 應用程式的匿名存取,網站管理員即可授與或拒絕網站集合、網站或項目等級的匿名存取。 如果停用 Web 應用程式的匿名存取,則匿名使用者就無法存取 Web 應用程式中的任何網站。

  • 沒有 沒有原則。 此選項為預設選項。 網站匿名使用者不會套用額外的許可權限制或新增專案。

  • 拒絕寫入 匿名使用者無法寫入內容,即使網站管理員特別嘗試授與匿名用戶帳戶該許可權。

  • 全部拒絕 匿名使用者無法擁有任何存取權,即使網站管理員特別嘗試授與匿名用戶帳戶對其網站的存取權。 如需許可權原則的詳細資訊,請 參閱在 SharePoint Server 中管理 Web 應用程式的許可權原則。

另請參閱

其他資源

SharePoint Server 中的網站和內容權限規劃

在 SharePoint Server 中管理 Web 應用程式的權限原則