規劃安全性角色 (Windows SharePoint Services)
本文內容:
伺服器陣列層級管理
網站層級管理
工作表
Windows SharePoint Services 3.0 的新功能之一是兩層管理模型,集中處理設定及管理工作,以區隔管理角色,並將管理委派及指定給組織中的適當人員。管理模型的增強功能可協助 IT 組織更有效地執行管理工作。您僅能使用管理模型及 SharePoint 群組,根據組織中的特定角色,授與執行特定工作的必要權限。許多組織會在各層內指定特定的管理角色,以在兩層管理模型內更有效地工作。本文將告訴您可使用的各層管理角色,以協助管理您的解決方案。
下列清單說明各個管理層。
第 1 層:伺服器陣列層級管理員 這一層的管理員是最高層級的管理員,對伺服器陣列中的所有伺服器皆有權有責。成員可執行伺服器或伺服器陣列之 SharePoint 管理中心網站的所有管理工作。
第 2 層:網站集合管理員 網站集合管理員擁有其網站集合的「完全控制」權限層級。
Windows SharePoint Services 3.0 讓您靈活指定管理角色。在集中式管理模型中,您可將許多角色指定給組織中的一或兩位人員。或者,在分散式管理模型中,您可將特定的角色委派給組織中的不同人員。
伺服器陣列層級管理
伺服器陣列層級管理一般是由下列角色執行:
伺服器陣列管理員
伺服器層級管理員
伺服器陣列管理員
伺服器陣列管理員對伺服器陣列中的所有伺服器皆有權有責。「SharePoint 伺服器陣列管理員」群組取代 Windows SharePoint Services 2.0 版所使用的「SharePoint 管理員」群組。「伺服器陣列管理員」群組的成員不必新增至每部伺服器的管理員群組。伺服器陣列管理員是管理中心架設所在電腦的 WSS_WPG 與 WSS_RESTRICTED_WPG 群組成員,且擁有環境中所有伺服器的「完全控制」權限層級。管理員群組的成員預設是「SharePoint 伺服器陣列管理員」群組的成員。
「伺服器陣列管理員」群組的成員有管理管理中心網站的主要能力,但是由於 IIS 與 Microsoft .NET Framework 的特定限制,這些成員會受限於執行某些動作 (亦即,建立網際網路資訊服務 (IIS) 網站、建立或刪除 SharePoint Web 應用程式、更新帳戶密碼或 Windows 服務)。「伺服器陣列管理員」群組的成員預設沒有個人網站或其內容的管理權限。但是,他們可以控制特定的網站集合,以檢視所有內容。例如,當網站集合管理員離開組織而必須加入新的管理員時,伺服器陣列管理員可將自己新增為網站集合管理員,這個動作會記錄在稽核記錄中。建議的最佳作法是,在完成必要的網站層級活動之後,移除網站集合之伺服器陣列管理員的權限。「伺服器陣列管理員」群組限用於管理中心,並非所有網站皆可使用。
注意
雖然管理中心網站上擁有「完全控制」權限層級的任何人皆可從管理中心網站刪除 SSP Web 應用程式,但絕不建議如此做,因為這會使得 SSP 無法運作。如果已刪除 Web 應用程式,唯一的解決方法是使用最近的備份還原 SSP。如需如何從備份還原的詳細資訊,請參閱<Back up and restore the entire farm (Windows SharePoint Services 3.0 technology)>。
注意
請謹慎選擇要授與本機資料庫伺服器電腦之管理員群組成員資格的對象,以及要授與 Microsoft SQL Server 固定資料庫角色及固定伺服器角色成員資格的對象。這是因為此群組及這些角色都有 SharePoint 產品及技術設定資料庫的「完全控制」權限層級。
下表列出「伺服器陣列管理員」群組成員可執行的工作。
| SharePoint 群組 | 此角色預設是否存在? | 可執行 | 無法執行 |
|---|---|---|---|
伺服器陣列管理員 |
是 |
執行管理中心的管理工作 取得所有內容網站的擁有權。 |
管理個人網站或網站內容,若未取得網站的擁有權。 |
如需「伺服器陣列管理員」群組的詳細資訊,請參閱<選擇管理階層的管理員與擁有者 (Windows SharePoint Services)>。
伺服器層級管理員
本機伺服器電腦的管理員群組成員會自動新增至「伺服器陣列管理員」群組,並可執行所有伺服器陣列管理員動作。管理員群組是 Windows 群組,不是 SharePoint 群組,但本機電腦的管理員群組會使用 Windows SharePoint Services 3.0 執行特定管理工作。如同伺服器陣列管理員,本機電腦的管理員群組成員預設沒有網站內容的管理權限。但如有需要,他們可以控制特定的網站集合。他們可以使用管理中心的 [網站集合管理員] 頁面,將自己新增為網站集合管理員,以取得控制權。
下表說明伺服器層級管理員角色。
| 群組 | 此角色預設是否存在? | 可執行 | 無法執行 |
|---|---|---|---|
管理員 |
是。預設存在的 Windows 群組,而不是 SharePoint 群組。 |
安裝產品。 建立新的 Web 應用程式及新的網際網路資訊服務 (IIS) 網站。 啟動服務。 將網頁組件及新功能部署至全域組件快取。 在管理中心執行所有伺服器陣列層級工作 (假設管理中心網站位在本機電腦)。 執行 Stsadm 命令列工具。 注意 成為伺服器層級管理員是執行 Stsadm 命令列工具的必要條件。您可能會需要其他權限,視實際執行的命令而定。例如,若執行 stsadm.exe –o deleteweb,此命令需要帳戶擁有包含 Web 應用程式之內容資料庫的寫入權限。 |
管理個人網站或網站內容。 管理資料庫。 |
網站層級管理
網站層級管理包含下列角色:
網站集合管理員
網站擁有者
網站集合管理員
網站集合管理員擁有網站集合內所有網站及內容的「完全控制」權限層級。網站集合管理員從網站集合層級,管理最上層網站 [網站設定] 頁面的設定 (例如網站集合功能、網站集合稽核設定及網站集合原則)。當您建立網站集合時,可指定主要及次要網站集合管理員。網站集合管理員是在內容資料庫中有標幟的使用者,此標幟說明其可執行網站集合內的所有工作,包括附有網站集合之特定網站的所有工作。您可使用管理中心的 [網站集合管理員] 頁面、使用最上層網站的 [網站設定] 頁面或使用附 Stsadm 命令列工具的網站擁有者作業,變更此標幟。一般是在建立網站時指定網站集合管理員,但您可視需要在管理中心或使用各 [網站設定] 頁面予以變更。
下表說明網站集合管理員角色。
| SharePoint 群組 | 此角色預設是否存在? | 可執行 | 無法執行 |
|---|---|---|---|
網站集合管理員 |
是 |
|
存取管理中心網站。 |
網站擁有者
網站擁有者是特別授與網站「完全控制」權限層級的人員,可以是直接授與,或由擁有網站「完全控制」權限層級之 SharePoint 群組的成員 (例如擁有者群組) 授與。網站擁有者僅能執行與網站相關的工作,不能執行整個網站集合的相關工作。
注意
建立網站的使用者會自動新增至網站的擁有者群組。
下表說明網站擁有者可執行的工作。
| SharePoint 群組 | 此角色預設是否存在? | 可執行 | 無法執行 |
|---|---|---|---|
*網站名稱*擁有者 |
是 |
僅能管理網站,不能管理整個網站集合。 執行文件、清單及文件庫的管理工作。 |
存取管理中心網站。 執行網站集合管理工作,例如還原第二階段資源回收筒中的項目以及管理網站階層。 |
如需網站層級管理的詳細資訊,請參閱<選擇管理階層的管理員與擁有者 (Windows SharePoint Services)>。
工作表
下載本書
本主題隨附於下列可下載的叢書中,以便於閱讀與列印:
請參閱 Windows SharePoint Services 可下載的叢書 (英文) 上提供的完整叢書清單。