规划在sharepoint中使用安全组
简介
如果将权限级别分配给组而非单个用户,那么管理 SharePoint 网站用户其实很简单。SharePoint 组是一组单独的用户,它还可以包含 Active Directory 组。在 Active Directory 域服务 (ADDS) 中,通常会使用下面的组来组织用户:
-
通讯组 仅用于电子邮件分发并且未启用安全的组。通讯组不能在用于定义对资源和对象的权限的自定义访问控制列表 (DACL) 中列出。
-
安全组 可在 DACL 中列出的组。安全组也可用作电子邮件实体。
可以通过向 SharePoint 组添加安全组并授予 SharePoint 组相应权限的方式,使用安全组来控制网站的权限。不能向 SharePoint 组添加通讯组,但可以展开通讯组并将单个成员添加到 SharePoint 组中。如果使用此方法,则必须手动保持 SharePoint 组与通讯组同步。如果使用安全组,则无需在 SharePoint 应用程序中管理单个用户。由于包含的是安全组而非组中的单个成员,因此,ADDS 能为您管理用户。
决定是否添加安全组
向 SharePoint 组添加安全组可集中管理组和安全性。只能在安全组中管理单个用户。一旦向一个 SharePoint 组中添加安全组,您便无需管理该 SharePoint 组中的安全组成员。如果从安全组中删除某个用户,则将自动从 SharePoint 组中删除该用户。
但是,在 SharePoint 网站中使用安全组不会完全显示所执行的操作。例如,在将安全组添加到某个特定网站的 SharePoint 组中时,该网站将不会显示在用户的“我的网站”中。用户信息列表将不会显示单个用户,除非他们参与了网站工作。此外,具有深入嵌套结构的安全组可能会破坏 SharePoint 网站。
鉴于上述优缺点,下面提供了一些建议:
-
对于用户广泛访问的 Intranet 网站,请使用安全组,因为您并不关心访问过 Intranet 网站主页的单个用户。
-
对于少数用户访问的协作网站,请将用户直接添加到 SharePoint 组中。在此情况下,更需要了解哪些用户是成员,以便组成员知道彼此的电子邮件地址以及联系方式。
确定用于授予对网站的访问权限的安全组
每个组织设置其安全组的方式各不相同。为了便于权限管理,安全组应:
-
足够的大且稳定,这样就不用持续向 SharePoint 网站中添加附加安全组了。
-
足够的小,这样就可以分配适当的权限。
例如,一个称为“大厦 2 中的所有用户”的安全组可能不够小,无法分配权限,除非大厦 2 中所有用户的工作职责都相同(例如,应收帐款文员)。此情况很少见,因此您应查找更小、更特定的用户组(如“应收帐款”)。
决定是否允许所有已验证的用户访问
如果希望域中的所有用户都能够查看您的网站上的内容,可考虑将访问权授予所有经过身份验证的用户(Windows 安全组“Domain Users”)。此特定组允许域中的所有成员在您选定的权限级别访问网站,而无需进行匿名访问。
总结:
这个好处有如下3个好处:
1、 通用的安全组可以用在moss授权使用
2、 通用的安全组不需要转换成通讯组可以直接给安全组开通组的邮箱(Exchange server 2007以上版本,测试通过可以的)
3、 通用安全组支持子域的成员账号加入(如果全局的就不行。只支持本域的成员账号加入)