Determinación de grupos y niveles de permisos (SharePoint Foundation)
Se aplica a: SharePoint Foundation 2010
Última modificación del tema: 2016-11-30
En este artículo se revisan los niveles de permisos y grupos predeterminados, y se ayuda al usuario a decidir si desea usarlos, personalizarlos o agregar nuevos grupos y niveles de permisos para promover la seguridad.
En este artículo:
Revisión de los grupos predeterminados disponibles
Revisión de los niveles de permisos disponibles
Determinación de la necesidad de grupos o niveles de permisos adicionales
La decisión más importante sobre la seguridad del sitio y del contenido en Microsoft SharePoint Foundation 2010 es decidir cómo clasificar los usuarios y qué niveles de permisos asignarles.
Existen varios grupos predeterminados de SharePoint cuyo objetivo es ayudar en la clasificación de los usuarios de acuerdo con los tipos de acciones que deben realizar, pero también pueden existir requisitos exclusivos u otras formas de agrupar a los usuarios. Asimismo, existen niveles de permisos predeterminados, pero pueden no adaptarse exactamente a las tareas que sus grupos necesitan realizar.
En este artículo, se revisan los grupos y los niveles de permisos predeterminados. Puede decidir usarlos como están, personalizarlos o crear diferentes grupos y niveles de permisos.
Revisión de los grupos predeterminados disponibles
Con los grupos de SharePoint, se administran conjuntos de usuarios, en lugar de usuarios individuales. Los grupos de SharePoint pueden estar compuestos por varios usuarios individuales, pueden abarcar un solo grupo de seguridad de Windows o pueden ser una combinación de estos dos tipos. Los grupos de SharePoint no ofrecen derechos específicos para el sitio, simplemente son una forma de contener un grupo de usuarios. Es posible organizar los usuarios en varios grupos o solo en unos pocos de acuerdo con el tamaño y la complejidad de su organización o sitio web.
En la siguiente tabla se muestran los grupos predeterminados creados para los sitios de SharePoint Foundation 2010.
| Nombre del grupo | Nivel de permisos predeterminado |
|---|---|
Visitantes de <nombre de sitio> |
Leer |
Miembros de <nombre de sitio> |
Colaborar |
Propietarios de <nombre del sitio> |
Control total |
Además, están disponibles los siguientes usuarios y grupos especiales para tareas administrativas de niveles superiores:
Administradores de colección de sitios: puede designar uno o varios usuarios como administradores de colección de sitios principales o secundarios. Estos usuarios quedan registrados en la base de datos como contactos para la colección de sitios, tienen control total sobre los sitios de la colección, pueden realizar auditorías de todo el contenido del sitio y reciben cualquier alerta administrativa (como comprobaciones para saber si el sitio está en uso). Generalmente, los administradores de colección de sitios se designan al crear el sitio, pero es posible modificarlos cuando sea necesario desde las páginas de Administración central o Configuración del sitio.
Administradores de granja: controlan qué usuarios pueden administrar la configuración del servidor y de la granja de servidores. El grupo de Administradores de granja reemplaza la necesidad de agregar usuarios al grupo de administradores del servidor. Los administradores de granjas no tienen acceso al contenido del sitio de forma predeterminada; deben ser propietarios del sitio para ver su contenido. Para hacer esto, deben agregarse como administradores de colección de sitios, acción que se incluye en los registros de auditoría. El grupo de administradores de la granja de servidores solo se usa en Administración central y no está disponible para ningún sitio.
Administradores: integrantes del grupo de Administradores del servidor local que pueden realizar acciones de administrador de granja de servidores y otras tareas, como las siguientes:
Instalar nuevos productos o aplicaciones.
Implementar elementos web y nuevas características en la memoria caché de ensamblados global.
Crear nuevas aplicaciones web y nuevos sitios web de IIS.
Iniciar servicios.
Al igual que el grupo de Administradores de granja de servidores, los miembros del grupo de Administradores del servidor local no tienen, de forma predeterminada, acceso al contenido del sitio.
Una vez que haya identificado los grupos que necesita, determine los niveles de permisos para asignar a cada uno de los grupos del sitio.
Revisión de los niveles de permisos disponibles
La posibilidad de ver, cambiar o administrar un sitio en particular se determina en función del nivel de permisos asignados a un usuario o grupo. Este nivel de permisos controla todos los permisos para el sitio y los subsitios, las listas, las bibliotecas de documentos, las carpetas y los elementos o documentos que heredan los permisos del sitio. Sin los niveles de permisos apropiados, es posible que los usuarios no puedan realizar sus tareas o que puedan realizar tareas que no se deseaba que realicen.
De forma predeterminada, los siguientes niveles de permisos están disponibles:
Acceso limitado: incluye permisos que permiten a los usuarios ver listas específicas, bibliotecas de documentos, elementos de lista, carpetas o documentos cuando se conceden. permisos.
Leer : incluye permisos que permiten a los usuarios ver elementos en páginas del sitio.
Colaborar : incluye permisos que permiten a los usuarios agregar o cambiar elementos en páginas del sitio, listas o bibliotecas de documentos.
Diseño: incluye permisos que permiten a los usuarios cambiar el diseño de las páginas del sitio mediante el uso del explorador o de Microsoft Office SharePoint Designer 2007.
Control total: incluye todos los permisos.
Determinación de la necesidad de grupos o niveles de permisos adicionales
Los grupos y niveles de permisos predeterminados proporcionan un marco general para los permisos, y abarcan numerosos tipos distintos de organizaciones y los roles incluidos en ellas. Sin embargo, es posible que éstos no se asocien exactamente con el modo en que los usuarios están organizados o con la variedad de tareas distintas que los usuarios realizan en los sitios. Si los grupos y niveles de permisos predeterminados no se adaptan a su organización, puede crear grupos personalizados, cambiar los permisos incluidos en los niveles de permisos específicos o crear niveles de permisos personalizados.
¿Necesita grupos personalizados?
La decisión de crear grupos personalizados es bastante sencilla y afecta mínimamente a la seguridad del sitio. Básicamente, deberá crear grupos personalizados en lugar de usar los grupos predeterminados si se aplica alguna de las siguientes situaciones:
Tendrá más (o menos) roles de usuario dentro de la organización de los que aparecen en los grupos predeterminados. Por ejemplo, si, además de los diseñadores, tiene un conjunto de personas que tienen la obligación de publicar contenido en el sitio, es recomendable que cree un grupo de editores.
Existen nombres conocidos para roles exclusivos en la organización que realizan tareas muy distintas en los sitios. Por ejemplo, si va a crear un sitio público para vender los productos de su organización, puede ser conveniente crear un grupo Clientes que reemplace los grupos Visitantes u Observadores.
Se desea conservar la relación de uno a uno entre los grupos de seguridad de Windows y los grupos de SharePoint. (Por ejemplo, su organización cuenta con un grupo de seguridad para Administradores del sitio web, y desea usar este nombre como nombre de grupo para simplificar la identificación al administrar el sitio).
Se prefiere usar otros nombres de grupo.
¿Necesita niveles de permisos personalizados?
La decisión de personalizar niveles de permisos es menos sencilla que la de personalizar grupos de SharePoint. Cuando personaliza los permisos asignados a un nivel de permisos, debe realizar un seguimiento de este cambio, comprobar que funcione para todos los grupos y sitios afectados por el cambio, y asegurarse de que el cambio no afecte negativamente la seguridad ni la capacidad y el rendimiento del servidor.
Por ejemplo, con respecto a la seguridad, si personaliza el nivel de permisos Colaborar para incluir el permiso Crear subsitios que normalmente es parte del nivel de permiso Control total, los colaboradores podrán crear sus propios subsitios, potencialmente invitar a los usuarios malintencionados a sus subsitios o publicar contenido no aprobado. Como alternativa, con respecto a la capacidad, si cambia el nivel de permiso de lectura para incluir el permiso Crear alertas que normalmente forma parte del nivel de permiso Colaborar, todos los miembros del grupo Visitantes podrán crear alertas, lo cual podría sobrecargar los servidores.
Deberá personalizar los niveles de permisos predeterminados si se aplica alguna de las siguientes situaciones:
Un nivel de permisos predeterminado incluye todos los permisos excepto uno que los usuarios necesitan para realizar sus tareas, y se desea agregar este permiso.
Un nivel de permisos predeterminado incluye un permiso que los usuarios no necesitan.
Nota
No se deben personalizar los niveles de permisos predeterminados si existen dudas respecto de la seguridad de un permiso en particular o de otro tipo, y se desea deshabilitar dicho permiso para todos los usuarios asignados a los niveles de permisos en los que éste se incluye. En tal caso, debe desactivar el permiso para todas las aplicaciones web de la granja de servidores en lugar de cambiar todos los niveles de permisos.
Si desea realizar varios cambios en un nivel de permisos determinado, es preferible crear un nivel de permisos personalizado que incluya todos los permisos necesarios.
Es conveniente crear niveles de permisos adicionales si se aplica alguna de las siguientes situaciones:
Se desea excluir diversos permisos de un nivel de permisos determinado.
Se desea definir un conjunto exclusivo de permisos para un nuevo nivel de permisos.
Para crear un nivel de permisos, puede copiar un nivel de permisos existente y luego realizar cambios. También puede crear un nivel de permisos y luego seleccionar los permisos que desea incluir.
Nota
Algunos permisos dependen de otros. Si se borra un permiso del cual depende otro permiso, éste también se borrará.