企业中的某些网站可能包含不应该提供全部用户的内容。权限可控制对网站和网站内容的访问。可以通过SP2010的组和细化权限来管理权限,即:
1) 组用于控制成员身份
2) 细化权限可帮助在项目和文档级别保护内容的安全
网站和内容访问是通过向用户和组提供一组对特定网站、列表或库、文件夹、文档或项目的权限来控制的。在制定网站和内容访问计划时,应考虑下列问题:
1) 对于网站或网站内容,您希望以什么样的严格程度来控制权限。
2) 如何使用组对用户分类以及管理用户。
网站权限
几个概念
1) 单个用户权限
单个权限允许用户执行特定操作
2) 权限级别
预定义权限集允许用户执行一组相关任务。
默认的权限为“受限访问”、“读取”、“参与讨论”、“设计”和“完全控制”。
“管理权限”权限的任何用户或组可以自定义权限级别
3) 组
可以是Windows安全组或SharePoint组。组是网站集合、级别创建和管理。
每个SharePoint组均分配有默认权限级别,但任何组的权限级别均可以自定义。
分配有包含”创建组”权限的权限级别的任何人都可以创建自定义的SharePoint组。
4) 用户
用户是拥有用户帐户的人员,此用户帐号通过用于服务器的身份验证方法进行验证。
5) 安全对象
安全对象是针对其向用户或组分配权限级别的网站、列表、库、文件夹、文档或项目。
默认情况下,网站内的所有列表和库均继承该网站的权限。
权限分配:
权限继承和细化权限
网站内安全对象的权限默认情况下从该网站继承,也可以细化权限更加精确的控制用户能够在网站上执行的操作。但是过细的权限会使权限管理更加复杂。
对于网站层次结构中任何较低级别的安全对象,您可以通过对其创建细化权限来断开权限继承关系。但断开继承关系仅针对为其更改权限的特定安全对象;网站其他部分的权限将保持不变。
下列安全对象可以接受细化权限分配:
1) 网站:从整体角度控制网站的访问;
2) 列表或库:控制对特定列表或库的访问
3) 文件夹:控制对文件夹的属性的访问
4) 项目或文档:控制对特定列表或文档的访问
权限继承和子网站
继承权限是默认行为,是管理一组网站最为简便的方法。
如果子网站从其父网站继承权限,则该组权限是与父网站共享的。但子网站的权限被编辑,则网站的权限也会被更改,这将危害到安全性。
如只是希望更改子网站的权限,则必须先停止从网站继承的权限,然后对子网站创建细化权限。
创建唯一权限可将组、用户和权限级别从父网站复制到子网站,然后断开继承关系。如要恢复继承权限,子网站将从父网站那里继承其用户、组和权限级别,这样会丢失自网站特有的用户、组或权限级别。
在创建权限后,必须兼顾易管理性和性能的同事实现单个项目的访问权限的控制。
配置网站权限的原则:
1) 使用最小特权原则
用户只应具有执行其分配的任务所需的权限级别或单个权限
2) 使用标准组并在网站级别控制权限
3) 让大多数用成为Members或Visitors组的成员
² Members组中用户可以通过添加或移除项目或文档参与网站的创作,但不能更改网站的结构、网站设置或外观。
² Visitors组的用户对网站只拥有只读访问权限,这意味着用户可查看页面和项目,打开项目和文档,但不能添加或移除页面、库或文档。
4) 限制Owners组中的人数
只需将更改网站结构、设置和外观的用户添加到Owners组中。
