選擇安全性群組 (SharePoint Server 2010)
適用版本: SharePoint Foundation 2010, SharePoint Server 2010
上次修改主題的時間: 2016-11-30
本文說明 Active Directory® 網域服務 (ADDS) 中組成的安全性與通訊群組。本文也提供使用這些群組以組織 SharePoint 網站使用者的建議。
本文內容:
決定是否要新增安全性群組
決定用來授與網站存取權的安全性群組
決定是否允許所有已驗證的使用者存取
決定是否允許匿名使用者存取
簡介
將權限等級指派給群組而非個別使用者,可便於管理 SharePoint 網站的使用者。SharePoint 群組是一組個別的使用者,其中可能也包括 Active Directory 群組。在 Active Directory 網域服務 (ADDS) 中,常使用下列群組以組織使用者:
通訊群組 只用於電子郵件通訊但無安全性功能的群組。通訊群組無法列在用於定義資源及物件權限的任意存取控制清單 (DACL) 中。
安全性群組 可列在 DACL 中的群組。安全性群組也可用為電子郵件實體。
您可利用將安全性群組新增到 SharePoint 群組,並授與 SharePoint 群組權限的方式,來使用安全性群組以控制網站的權限。雖無法新增通訊群組至 SharePoint 群組,但可以展開通訊群組,並將個別成員新增至 SharePoint 群組。若使用此方法,您必須手動保持 SharePoint 群組與通訊群組的同步處理。若使用安全性群組,就不需要管理 SharePoint 應用程式中的個別使用者。因為您已將安全性群組本身包含在內,而不是包含群組的個別成員,所以 ADDS 會替您管理使用者。
注意
若要簡化安全性管理,在管理 Active Directory 群組時,就不建議您使用下列項目:
-
直接指派權限等級至 Active Directory 群組。
-
新增含有巢狀安全性群組、連絡人或通訊群組清單的安全性群組。
決定是否要新增安全性群組
新增安全性群組至 SharePoint 群組可提供群組及安全性的集中管理。您應該僅在安全性群組中管理個別使用者。一旦您新增安全性群組至 SharePoint 群組,您就不需在該 SharePoint 群組中管理安全性群組成員。若從安全性群組中移除使用者,使用者即會自動從 SharePoint 群組中移除。
不過,在 SharePoint 網站中使用安全性群組仍會有些盲點。例如,為特定網站新增安全性群組至 SharePoint 群組時,網站不會出現在使用者的「我的網站」中。而使用者資訊清單只有當使用者使用過網站後,才會顯示個別使用者。此外,若安全性群組的巢狀結構較深,就可能會讓 SharePoint 網站無法使用。
若要考慮上述的優缺點,您可參考下列建議:
針對使用者可廣泛存取的內部網路網站,請使用安全性群組,因為您不需要管理存取內部網路網站首頁的個別使用者。
針對少數使用者存取的共同作業網站,則直接新增使用者至 SharePoint 群組。因為這種案例中,通常比較需要知道成員是誰,以便群組成員知道彼此的電子郵件地址及互相連絡的方式。
決定用來授與網站存取權的安全性群組
每個組織設定其安全性群組的方式都不相同。若要以更簡單的方式管理權限,安全性群組應:
具有足夠的規模與穩定性,使您不需要經常新增其他安全性群組至 SharePoint 網站。
規模不致於過大,如此您才可以指定適當的權限。
例如,名稱為「2 號大樓的所有使用者」的安全性群組,規模可能太大而無法指派權限,除非 2 號大樓的所有使用者都擁有相同的工作職責,例如應收帳款帳務人員。但是這種狀況非常少見,因此您應尋找一組人數較少且更特定的使用者,例如「應收帳款」。
決定是否允許所有已驗證的使用者存取
若希望網域內的所有使用者都能夠檢視網站上的內容,請考慮授與所有已驗證的使用者存取權 (亦即 Domain Users Windows 安全性群組)。此特殊群組可讓網域中所有成員存取網站 (依照所選擇的權限等級),而不需要您啟用匿名存取。
決定是否允許匿名使用者存取
您可以啟用匿名存取,讓使用者以匿名方式檢視網頁。大部分的網際網路網站都允許匿名檢視網站,但若有人想要編輯網站或在購物網站購買商品,即可能會要求驗證。匿名存取是預設為停用,且必須在建立 Web 應用程式時,於 Web 應用程式層級授與。
若啟用 Web 應用程式的匿名存取,則網站管理員可決定是否授與網站或任何該網站內容的匿名存取。
匿名存取依存於網頁伺服器上的匿名使用者帳戶。此帳戶是由 Microsoft Internet Information Services (IIS) 建立及維護,而非 SharePoint 網站。根據 IIS 的預設,匿名使用者帳戶為 IUSR。當您啟用匿名存取時,實際上是授與該帳戶存取 SharePoint 網站的權限。允許存取網站或存取清單及文件庫,即會將「檢視項目」權限授與匿名使用者帳戶。然而,即使具有「檢視項目」權限,匿名使用者能執行的作業仍有限制。匿名使用者無法:
開啟網站以 Microsoft Office SharePoint Designer 進行編輯。
在 [網路上的芳鄰] 中檢視網站。
上傳或編輯文件庫的文件,包括 wiki 文件庫。
重要
若要改善網站、清單或文件庫的安全性,請勿啟用匿名存取。啟用匿名存取可讓使用者參與清單、討論區與問卷,而這有可能用盡伺服器磁碟空間以及其他資源。匿名存取也可以讓匿名使用者探索網站資訊,包括使用者電子郵件地址以及張貼任何內容至清單、文件庫與討論區。
「權限原則」提供集中的方式,來設定與管理只適用於 Web 應用程式中使用者或群組子集的一組權限。您可啟用或停用 Web 應用程式的匿名存取,以管理匿名使用者的權限原則。若您啟用 Web 應用程式的匿名存取,網站管理員即可授與或拒絕網站集合、網站或項目層級的匿名存取。若您停用 Web 應用程式的匿名存取,則匿名使用者就無法存取該 Web 應用程式中的任何網站。
無 無任何原則。此為預設選項。網站匿名使用者不套用任何其他權限限制或新增。
拒絕寫入 匿名使用者無法寫入內容,即使網站管理員特別嘗試授與匿名使用者帳戶該權限亦然。
拒絕全部 匿名使用者沒有任何存取權限,即使網站管理員特別嘗試將其網站存取權授與匿名使用者帳戶亦然。
如需權限原則的詳細資訊,請參閱<管理 Web 應用程式的權限原則 (SharePoint Server 2010)>。