決定要使用的權限層級和群組 (Office SharePoint Server)

發行項
06/12/2012

本文內容：

檢閱可用的預設群組
檢閱可用的權限層級
決定您是否需要其他權限層級或群組
工作表

在 Microsoft Office SharePoint Server 2007 中，有關網站和內容安全性最重要的決定，就是決定如何將使用者分類，以及要指派什麼權限層級。

有幾個預設 SharePoint 群組，可依據使用者必須執行的動作類型來協助您將使用者分類，但是您可能會有特有的需求，或是對使用者的組合有其他看法。同樣地，也有預設的權限層級，但是不一定完全符合您的群組需要執行的工作。

在本文中，您要檢閱預設的群組和權限層級，並決定要依原設定使用、加以自訂，或是建立不同的群組和權限層級。

檢閱可用的預設群組

您可以利用 SharePoint 群組來管理使用者組合，而不是管理個別的使用者。SharePoint 群組可由許多個別的使用者組成、可以包含單一 Windows 安全性群組，或是這二種的組合。SharePoint 群組不會授予特定權限給網站；它只是用來包含使用者組合的一種方法。您可以依據組織或網站的大小和複雜性，將您的使用者組織成好幾個群組，或少量的群組。

在 Office SharePoint Server 2007 中為網站建立的預設 SharePoint 群組會列在下表中。

群組名稱	預設權限層級
受限制的讀取者	對網站的受限制的讀取 (加上對特定清單的限制存取)
樣式資源讀取者	對主版頁面圖庫的讀取和對樣式庫的受限制的讀取。
檢視者	僅供檢視
首頁訪客	讀取
首頁成員	參與
快速部署使用者	參與快速部署項目庫 (加上對網站其餘部分的限制存取)
核准者	核准 (加上限制存取)
設計者	設計
階層管理者	管理階層 (加上限制存取)
首頁擁有者	完全控制

注意

限制存取權限層級可以讓群組存取特定的清單、文件庫、項目或文件，但不能讓他們存取整個網站。請勿將此權限層級從上列群組中移除。如果這個權限層級移除了，群組可能就無法導覽整個網站，以取得他們需要互動的特定項目。

此外，下列特殊使用者和群組可用於較高層級的管理員工作：

網站集合管理員 您可以指定一或數個使用者來擔任主要及次要網站集合管理員。這些使用者會被記錄在資料庫中，作為網站集合的連絡人，他們具有網站集合中所有網站的完全控制權、可以稽核所有網站內容，以及接收任何管理提醒 (例如驗證網站是否仍在使用中)。一般而言，當您建立網站時，就會指定網站集合管理員，但是您可以使用管理中心網站或 [網站設定] 頁面，依需要加以變更。
**伺服器陣列管理員 **控制哪些使用者可以管理伺服器及伺服器陣列設定。有了伺服器陣列管理員群組，就不需要將使用者新增至伺服器的管理員群組，或是新增至 Windows SharePoint Services 2.0 版中所使用的 SharePoint 管理員群組。根據預設，伺服器陣列管理員並沒有網站內容的存取權；他們必須取得網站的擁有權，才能檢視任何內容。若要取得網站的擁有權，他們可以將自己新增為網站集合管理員，這個動作會記錄在稽核記錄檔中。伺服器陣列管理員群組只能用在管理中心，無法用在任何網站。
**管理員 **本機伺服器上的管理員群組成員可以執行所有伺服器陣列管理員動作及其他動作，包括：
- 安裝新產品或應用程式。
- 部署網頁組件及新功能至全域組件快取。
- 建立新 Web 應用程式及新 IIS 網站。
- 啟動服務。
與伺服器陣列管理員群組一樣，根據預設，本機伺服器上的管理員群組成員並沒有網站內容的存取權。

在識別您需要的群組之後，請決定要指派給網站上各群組的權限層級。

工作表動作
使用自訂權限層級和群組工作表 (英文) (https://go.microsoft.com/fwlink/?linkid=73134&clcid=0x404) 來記錄您需要建立的任何群組。

檢閱可用的權限層級

檢視、變更或管理特定網站的能力，是依據您指派給使用者或群組的權限層級來決定的。這個權限層級可以控制網站以及繼承該網站權限之子網站、清單、文件庫、資料夾和項目或文件的所有權限。若沒有適當的權限層級，使用者可能無法執行工作，或者他們可以執行您本來沒有要他們執行的工作。

根據預設，可用的權限層級如下：

**限制存取 **給予權限後，包含的權限可讓使用者檢視特定清單、文件庫、清單項目、資料夾或文件。
**讀取 **包含的權限可讓使用者檢視網站頁面上的項目。
**參與 **包含的權限可讓使用者新增或變更網站頁面上或清單和文件庫中的項目。
**設計 **包含的權限可讓使用者使用瀏覽器或 Microsoft Office SharePoint Designer 2007 來變更網站頁面上的版面配置。
**核准 **包含編輯與核准頁面、清單項目和文件的權限。
**管理階層 **包含對網站和編輯頁面、清單項目和文件的權限。
**受限制的閱讀 **包含檢視頁面和文件的權限，但是無法檢視歷史版本或使用者權限資訊。
**完全控制 **包含所有權限。

如需預設權限層級的內含權限的詳細資訊，請參閱＜User permissions and permission levels＞。

決定您是否需要其他權限層級或群組

預設群組和權限層級的設計，是為了提供權限的一般架構，涵蓋組織中廣泛的組織類型和角色。然而，可能不會完全對應到您使用者的組織方式，或是使用者在網站上執行的各種工作。如果預設群組和權限層級不適合貴組織，您可以建立自訂群組、變更特定權限層級所包含的權限，或是建立自訂權限層級。

您需要自訂群組嗎？

建立自訂群組的決定相當簡單明瞭，而且不太會影響到網站的安全性。基本上，如果符合下列任何狀況，您就應該要建立自訂群組，而不要使用預設群組：

您組織中的使用者角色比預設群組中顯示的更多 (或更少)。例如，若除了核准者、設計者和階層管理者，您還有一組人的工作是要發佈內容至網站，您可能會想要建立發佈者群組。
您組織中有特有的角色且具有眾所熟悉的名稱，他們在網站上執行很不一樣的工作。例如，若您要建立公用網站來銷售組織的產品，您可能會想要建立客戶群組來取代訪客或檢視者。
您想要保留 Windows 安全性群組與 SharePoint 群組之間的一對一關係 (例如，組織有 [網站管理員] 的安全性群組，而您想要使用該名稱來作為群組名稱，以在管理網站時，方便識別)。
您偏好其他群組名稱。

您需要自訂權限層級嗎？

自訂權限層級的決定不像自訂 SharePoint 群組那麼簡單明瞭。如果您要自訂已指派給特定權限層級的權限，您必須保留該變更的追蹤、驗證此自訂對於受變更影響的所有群組和網站有效，並確定該變更對於安全性或是伺服器的容量或效能沒有負面影響。

例如，關於安全性，如果您自訂參與權限層級，使其包含建立子網站的權限,該權限通常隸屬於完全控制權限層級，則參與者群組的成員可以建立和擁有子網站，而且可能會邀請有惡意的使用者來他們的子網站，或是張貼未經核准的內容。或者關於容量，如果您自訂讀取權限層級來包含通常隸屬於參與權限層級的建立提醒權限，則首頁訪客群組的所有成員都可以建立提醒，這樣可能會使您的伺服器超載。

如果符合下列任一情況，您就應該要自訂預設權限層級：

預設權限層級包括所有權限，但是使用者需要用來執行其工作的權限除外，而您想要新增該權限。
預設權限層級包含使用者不需要的權限。

注意

如果貴組織對於特定權限有安全性或其他方面的考量，而且想要讓擁有該權限層級或包含該權限之層級的所有使用者都無法使用該權限，則不應自訂預設權限層級。在此情況下，您應針對伺服器陣列中的所有 Web 應用程式關閉此權限，而不是變更所有的權限層級。若要管理 Web 應用程式的權限，請在管理中心的 [應用程式管理] 頁面上，按一下 [應用程式安全性] 區段中的 [Web 應用程式的使用者權限]。

如果您需要對特定權限層級進行數項變更，最好是建立一個含有您需要之所有權限的自訂權限層級。

如果符合下列任何狀況，您可能會想要建立其他權限層級：

您想要將數個權限從特定權限層級中排除。
您想要為新的權限層級定義一組獨特的權限。

若要建立權限層級，您可以複製現有的權限層級，然後加以變更，或者您可以建立權限層級，然後選取您想要包含的權限。

注意

有些權限依附於其他權限。如果您清除了另一個權限所依附的權限，另一個權限也會被清除。

工作表動作
使用自訂權限層級和群組工作表 (英文) (https://go.microsoft.com/fwlink/?linkid=73134&clcid=0x404) 來記錄您要自訂或建立的任何權限層級。