Обзор разрешений сайта
Обзор разрешений сайта
Привет, меня зовут Моника Ксай (Monica Xie), я технический писатель, специализирующийся на разрешениях сайта для продуктов Microsoft SharePoint 2010. Разрешение играет важную роль в управлении безопасностью почти на каждом уровне иерархии SharePoint, от фермы серверов до элемента списка. В этом блоге мы обсудим разрешения для сайта и для уровня контента сайта. Для этого мы рассмотрим три понятия разрешений, два фактора, относящиеся к управлению разрешениями, и две новые функции, введенные в SharePoint Server 2010.
Три понятия
Разрешения
Разрешения (также называемые индивидуальными разрешениями или базовыми разрешениями) предоставляют пользователю возможность выполнять конкретные действия, такие как просмотр страниц, открытие элементов и создание дочерних сайтов. Однако, если вы не собираетесь добавлять уровень настраиваемых разрешений, у вас мало шансов использовать индивидуальные разрешения (рис. 1).
Рис. 1
Уровни разрешений
Уровень разрешения — это набор отдельных разрешений, сгруппированных для того, чтобы позволить пользователям выполнять набор связанных между собой задач. Пользователю или группе можно назначить одно или более разрешений.
Когда мы говорим о предоставлении разрешений пользователям или группам, мы в действительности имеем в виду предоставлениеим уровней разрешений. Не следует путать предоставление разрешений (рис. 2) и непосредственное предоставление разрешений пользователям (рис. 3) в пользовательском интерфейсе; под разрешениями здесь понимаются уровни разрешений. Дополнительные сведения о каждом разрешении и каждом уровне разрешений см. в статьях, посвященных пользовательским разрешениям и уровням разрешений в SharePoint Foundation 2010 и пользовательским разрешениям и уровням разрешений в SharePoint Server 2010.
Рис. 2
Рис. 3
Детальные разрешения
Администраторы сайтов управляют доступом к сайтам и контенту сайтов путем назначения уровней разрешений пользователям и группам. Назначение (уровней) разрешений может осуществляться на любом уровне иерархии сайтов: для сайта верхнего уровня, сайта, дочернего сайта, списка или библиотеки, папки, элемента или документа. Если назначение (уровней) разрешений осуществляется на низком уровне, таком как уровень списка или библиотеки, папки, элемента или документа, мы называем их детальными разрешениями. В некоторых разделах детальные разрешения называются также разрешениями уровня списка или разрешениями уровня элемента. Чтобы получить дополнительные сведения о детальных разрешениях, загрузите технический документ с рекомендациями по применению детальных разрешений в продуктах и технологиях SharePoint.
Два фактора
Помимо индивидуальных разрешений, уровней разрешений и детальных разрешений, имеются два важных фактора, относящихся к управлению разрешениями: наследование разрешений и создание групп.
Наследование разрешений
По умолчанию все сайты и контент наследуют разрешения от вышестоящего родительского объекта вплоть до сайта верхнего уровня в семействе веб-сайтов (например, элемент списка --> папка --> список --> сайт --> сайт верхнего уровня). Поэтому, если вы не разрываете наследование внутри сайта, разрешения наследуются и распространяются. Однако ситуация, при которой все сайты и весь контент используют одни и те же разрешения, нереальна. В SharePoint предусмотрены механизмы для разрыва такого наследования на любом уровне сайта или контента и последующего добавления настраиваемых разрешений. На рис. 4 показана группа Наследование (Inheritance) , которая может быть использована для наследования разрешений.
Рис. 4
Примечание. Для удобства управления организуйте сайты, дочерние сайты, списки и библиотеки так, чтобы они совместно использовали большую часть разрешений. Выделите конфиденциальные данные в отдельные списки, библиотеки или дочерние сайты и назначьте для них уникальные разрешения.
Создание групп
Группа SharePoint — это коллекция пользователей, которые могут совместно использовать одни и те же разрешения на определенные веб-сайты или контент. При создании группы к ней всегда привязывается определенный уровень разрешений. Впоследствии, если кому-нибудь потребуется назначить этот уровень разрешений, просто добавьте пользователя в эту группу.
Более того, группы Active Directory (конкретнее, группы безопасности) можно вкладывать в группы SharePoint, что существенно облегчает управление разрешениями. Когда пользователи поступают на работу в компанию или увольняются, вам не требуется управлять отдельными пользователями внутри групп Active Directory; вместо вас пользователями управляет служба AD DS (Active Directory Domain Services). Это становится очевидным, когда у вас несколько групп SharePoint содержат группы Active Directory. Дополнительные рекомендации по использованию групп безопасности см. в статьях, посвященных выбору групп безопасности в SharePoint Foundation 2010 и выбору групп безопасности в SharePoint Server 2010.
На рис. 5 показана группа Разрешение (Grant) , которая может быть использована для создания групп SharePoint.
Рис. 5
Группы SharePoint обычно создаются на уровне семейства веб-сайтов. Если вы создаете группу на уровне сайта (наследующего разрешения от своего родительского сайта), вы не можете предоставить уровни разрешений группе непосредственно на этом сайте. На рис. 6 показано сообщение, которое появляется, если вы пытаетесь предоставить разрешения группе на сайте, где была создана группа. Вы можете перейти на его родительский сайт и там предоставить уровень разрешения группе.
Рис. 6
Дополнительные сведения о трех понятиях разрешений и двух факторах, относящихся к управлению разрешениями, см в статьях о планировании разрешений для сайтов SharePoint Foundation 2010 и планировании разрешений для сайтов SharePoint Server 2010.
Две новые функции
Функции для работы с разрешениями в SharePoint 2010 не сильно отличаются от таких функций в SharePoint 2007. Я хочу познакомить вас с двумя основными новыми функциями в SharePoint 2010.
Проверка разрешений
Проверка разрешений — это новая функция SharePoint 2010.
Нажав кнопку Проверить разрешения (Check Permissions) (рис. 7), можно узнать разрешения пользователя или группы для всех ресурсов семейства сайтов. Можно узнать разрешения, непосредственно назначенные пользователю, и разрешения, назначенные любым группам, участником которых является этот пользователь (рис. 8).
Рис. 7
Рис. 8
Панель оповещений о наследовании
Другая новая функция — это желтая панель оповещений, указывающая на конфиденциальный контент, имеющий уникальные разрешения на веб-сайте (рис. 9). Этот контент можно проверить, щелкнув ссылку Показать мне уникальный конфиденциальный контент (Show me uniquely secured content) . На этой панели оповещений также указан родительский сайт, от которого наследуются разрешения.
Рис. 9
Это локализованная запись блога. Исходная статья находится по адресу An overview of site permissions