在网站和内容安全性而言,最重要的决策是如何对用户进行分类以及分配什么样的权限级别。
查看可用默认组
利用SharePoint组可以按组管理用户,这些组可以包含单个用户,也可以是任何企业身份识别系统的内容。SharePoint组不会授予对网站的特定权限,SharePoint组不能嵌套。
SharePoint Server 2010 中的工作组网站创建的默认组。
组名 |
默认权限级别 |
Viewers |
仅查看 |
Visitors |
读取 |
Members |
参与讨论 |
Designers |
设计 |
Owners |
完全控制 |
SharePoint Server 2010 使用非工作组网站模板,则看到不同的默认SharePoint 组列表。
较高级别的管理任务的特殊用户和组:
Site collection administrators
可以将一个或多个用户指定为网站集主管理员和第二管理员。这些用户将作为网站集的联系人记录在数据库中,他们具有对网站集中所有网站都具有完全控制权限,可以审核所有网站内容以及接受任何管理警报。
网站集管理员是在创建网站时指定的,但可以根据需要使用网站集管理中心网站或网站设置页更改网站集管理员。AD DS组和角色不能作为网站集管理员进行添加。
Farm administrators
该组可以控制那些用户管理服务器和服务器场设置。服务器场管理员默认情况下是无权访问网站内容,他们必须获得网站的所有权才能查看任何内容。
Farm administrators 组仅在管理中心使用,而不适用于任何网站。
Administrators
本地服务器上Administrators组的成员默认情况下无权访问网站内容,但可以执行所有服务器场管理员操作以及其他操作。主要包括:
1) 安装新产品或应用程序
2) 将Web部件和新功能部署到全局程序集缓存
3) 创建新Web应用程序和新IIS网站
4) 启动服务
查看可用权限级别
权限级别可控制对网站以及继承该网站权限的任何子网站、列表、文档库、文件夹、项目或文档的所有权限。
默认情况下,可以使用的权限级别:
1) 受限访问
包括允许用户查看特定列表、文档库、列表项、文件夹或文档的权限,而不提供访问网站所有元素的权限。
2) 读取
包括允许用户查看网站页面上的项目的权限。
3) 参与讨论
包括允许用户在网站页面上或列表和文档库中添加项目或者更改项目的权限。
4) 设计
包括允许用户使用浏览器或 Microsoft SharePoint Designer 2010 更改网页版式的权限。
5) 完全控制
包括所有权限。
默认情况下,下列附加权限级别通过发布模板提供:
1) 仅查看
包括允许用察看页面、列表项目和文档的权限。
2) 审批
包括编辑和审批页面、列表项和文档的权限。
3) 管理层次结构
包括对网站的权限以及编辑页面、列表项和文档的权限。
4) 受限读取
包括查看页面和文档的权限。
确定是否需要其他权限级别或组
自定义组的条件,满足以下任一条件即可以创建组,即:
1) 您的组织内容的用户角色比默认组中的用户角色多;
2) 组织内部在网站中执行不同任务的特定角色具有为人熟知的称呼;
3) 您希望保留与Windows安全组和Sharepoint组之间一对一关系;
4) 您希望使用其他组名。
自定义权限级别,则必须跟踪该更改,验证该更改对受其影响的所有组和网站是否都起到作用,并确保更改不会对安全性或服务器容量或性能产生负面影响。
满足以下任意情况则可以自定义权限级别:
1) 默认权限级别包括除用户执行工作所需的权限之外的所有权限,而您希望添加权限。
2) 默认权限级别包括用户不需要的权限。
注意:如组织对属于权限级别的某个特定权限有安全性或其他方面的担心,则不应自定义默认权限级别。如您希望分配了包含该权限的权限级别的所有用户都不能使用该权限,请对服务器场中的所有Web应用程序禁用此权限,而不是更改所有权限级别。
如果需要对某权限级别进行多处更改,请创建一个包含所需全部权限的自定义权限级别。
如果符合下列任一情况,您可能需要创建其他权限级别:
1) 您希望从特定权限级别中排除几个权限。
2) 您希望为新权限级别定义一组独特的权限。
若要创建权限级别,您可以复制现有权限级别然后进行更改,也可以创建权限级别然后选择要包括的权限