Scegliere i gruppi di sicurezza (SharePoint Server 2010)

  • Articolo

 

Si applica a: SharePoint Foundation 2010, SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

In questo articolo vengono illustrati i gruppi di sicurezza e di distribuzione inclusi in Servizi di dominio Active Directory®. Vengono inoltre forniti suggerimenti sull'utilizzo di tali gruppi per organizzare gli utenti dei siti di SharePoint.

Contenuto dell'articolo:

  • Decidere se aggiungere gruppi di sicurezza

  • Determinare i gruppi di sicurezza da utilizzare per concedere l'accesso ai siti

  • Decidere se consentire l'accesso a tutti gli utenti autenticati

  • Decidere se consentire l'accesso agli utenti anonimi

Introduzione

Per semplificare la gestione degli utenti dei siti di SharePoint, è possibile assegnare i livelli di autorizzazioni a gruppi anziché a singoli utenti. Un gruppo di SharePoint è un insieme di singoli utenti e può includere anche gruppi di Active Directory. In Servizi di dominio Active Directory vengono in genere utilizzati i gruppi seguenti per organizzare gli utenti:

  • Gruppo di distribuzione   Gruppo senza sicurezza abilitata utilizzato esclusivamente per la distribuzione di posta elettronica. I gruppi di distribuzione non possono essere inclusi negli elenchi di controllo di accesso discrezionale (DACL, Discretionary Access Control List) utilizzati per definire le autorizzazioni per risorse e oggetti.

  • Gruppo di sicurezza   Gruppo che può essere incluso negli elenchi di controllo di accesso discrezionale (DACL, Discretionary Access Control List). Un gruppo di sicurezza può inoltre essere utilizzato come entità di posta elettronica.

Per definire le autorizzazioni per il sito, è possibile aggiungere gruppi di sicurezza ai gruppi di SharePoint e concedere le autorizzazioni a questi ultimi. I gruppi di distribuzione non possono invece essere aggiunti ai gruppi di SharePoint, tuttavia è possibile espandere un gruppo di distribuzione e aggiungere i singoli membri a un gruppo di SharePoint. Se si utilizza questo metodo, è necessario sincronizzare manualmente il gruppo di SharePoint con il gruppo di distribuzione. Se si utilizzano i gruppi di sicurezza, non è necessario gestire i singoli utenti nell'applicazione SharePoint. Poiché viene incluso il gruppo di sicurezza anziché i singoli membri del gruppo, gli utenti verranno gestiti automaticamente in Servizi di dominio Active Directory.

Nota

Per semplificare la gestione della sicurezza, le operazioni seguenti non sono consigliate nell'ambito della gestione dei gruppi di Active Directory:

  • Assegnare livelli di autorizzazione direttamente ai gruppi di Active Directory.

  • Aggiungere gruppi di sicurezza che contengono contatti, liste di distribuzione o gruppi di sicurezza annidati.

Decidere se aggiungere gruppi di sicurezza

L'aggiunta di gruppi di sicurezza ai gruppi di SharePoint consente la gestione centralizzata dei gruppi e della sicurezza. Il gruppo di sicurezza è l'unica posizione in cui vengono gestiti i singoli utenti. Dopo l'aggiunta del gruppo di sicurezza a un gruppo di SharePoint, non sarà necessario gestire i membri del gruppo di sicurezza nel gruppo di SharePoint. Se un utente viene rimosso dal gruppo di sicurezza, verrà automaticamente rimosso anche dal gruppo di SharePoint.

L'utilizzo dei gruppi di sicurezza nei siti di SharePoint, tuttavia, non offre una completa visibilità sugli eventi. Ad esempio, quando un gruppo di sicurezza viene aggiunto a un gruppo di SharePoint relativo a un sito specifico, tale sito non verrà visualizzato nei siti personali degli utenti. I singoli utenti non verranno visualizzati in Elenco informazioni utente finché non contribuiranno al sito. Inoltre, i gruppi di sicurezza che presentano una struttura con vari livelli di annidamento potrebbero interrompere l'esecuzione dei siti di SharePoint.

Considerati i vantaggi e gli svantaggi illustrati in precedenza, di seguito vengono forniti alcuni suggerimenti:

  • Per i siti Intranet visitati su vasta scala dagli utenti utilizzare i gruppi di sicurezza, dal momento che non è importante monitorare i singoli utenti che accedono alla home page del sito Intranet.

  • Per i siti di collaborazione a cui accede un piccolo gruppo di utenti, aggiungere direttamente gli utenti ai gruppi di SharePoint. In questo caso esiste una maggiore necessità di identificare i singoli membri, in modo che ogni membro del gruppo conosca l'indirizzo di posta elettronica degli altri membri e sappia come contattarli.

Determinare i gruppi di sicurezza da utilizzare per concedere l'accesso ai siti

I gruppi di sicurezza vengono configurati in modo diverso in ogni organizzazione. Per semplificare la gestione delle autorizzazioni, è consigliabile che i gruppi di sicurezza siano:

  • Abbastanza grandi e stabili da non richiedere l'aggiunta continua di altri gruppi di sicurezza ai siti di SharePoint.

  • Abbastanza piccoli da consentire l'assegnazione delle autorizzazioni appropriate.

Ad esempio, un gruppo di sicurezza denominato "tutti gli utenti dell'edificio 2" non è probabilmente abbastanza piccolo per consentire l'assegnazione delle autorizzazioni appropriate, a meno che tutti gli utenti dell'edificio 2 non svolgano lo stesso ruolo professionale, ad esempio addetti alla contabilità clienti. Essendo questa un'eventualità rara, è consigliabile individuare un set di utenti più piccolo e specifico, ad esempio "Contabilità clienti".

Decidere se consentire l'accesso a tutti gli utenti autenticati

Se si desidera consentire a tutti gli utenti del dominio di visualizzare il contenuto del sito, concedere l'accesso a tutti gli utenti autenticati (gruppo di sicurezza Domain Users di Windows). Questo gruppo speciale consente a tutti i membri del dominio di accedere a un sito Web con il livello di autorizzazione scelto, senza che sia necessario abilitare l'accesso anonimo.

Decidere se consentire l'accesso agli utenti anonimi

È possibile abilitare l'accesso anonimo per consentire agli utenti di visualizzare le pagine in modo anonimo. La maggior parte dei siti Web Internet consente la visualizzazione anonima del sito, ma potrebbe richiedere l'autenticazione per modificare il sito o effettuare un acquisto in un sito per gli acquisti. L'accesso anonimo è disabilitato per impostazione predefinita e deve essere concesso a livello dell'applicazione Web al momento della creazione dell'applicazione stessa.

Se per l'applicazione Web è abilitato l'accesso anonimo, gli amministratori del sito possono decidere se consentire l'accesso anonimo a un sito o a determinati contenuti di tale sito.

L'accesso anonimo si basa sull'account utente anonimo nel server Web. Questo account viene creato e gestito in Internet Information Services (IIS) e non nel sito di SharePoint. Per impostazione predefinita, in IIS l'account utente anonimo è IUSR. Quando si abilita l'accesso anonimo, si concede all'account l'accesso al sito di SharePoint. La concessione dell'accesso a un sito oppure a elenchi e raccolte determina l'assegnazione dell'autorizzazione Visualizzazione elementi all'account utente anonimo. Anche con l'autorizzazione Visualizzazione elementi, esistono tuttavia limitazioni alle azioni che possono essere eseguite dagli utenti anonimi. Gli utenti anonimi non possono eseguire le operazioni seguenti:

  • Aprire siti per la modifica in Microsoft Office SharePoint Designer.

  • Visualizzare siti in Risorse di rete.

  • Caricare o modificare documenti nelle raccolte documenti, incluse le raccolte Wiki.

    Importante

    Per migliorare il livello di sicurezza di siti, elenchi o raccolte, è preferibile non abilitare l'accesso anonimo. Quando si abilita l'accesso anonimo, gli utenti possono collaborare ad elenchi, partecipare a discussioni, rispondere a sondaggi, consumando lo spazio su disco del server e altre risorse. L'accesso anonimo consente inoltre agli utenti anonimi di individuare informazioni del sito, inclusi indirizzi di posta elettronica degli utenti e contenuti inseriti in elenchi, raccolte e discussioni.

I criteri di autorizzazioni offrono una posizione centralizzata per la configurazione e la gestione di un set di autorizzazioni valido solo per un sottoinsieme di utenti o gruppi in un'applicazione Web. È possibile gestire i criteri di autorizzazioni per gli utenti anonimi abilitando o disabilitando l'accesso anonimo per un'applicazione Web. Se si abilita l'accesso anonimo per un'applicazione Web, gli amministratori di siti potranno concedere o negare l'accesso anonimo a livello di raccolta siti, sito o elemento. Se l'accesso anonimo è disabilitato per un'applicazione Web, nessun sito all'interno di tale applicazione Web sarà accessibile da parte di utenti anonimi.

  • Nessuno   Nessun criterio. È l'opzione predefinita. Non sono previste limitazioni né estensioni per le autorizzazioni degli utenti anonimi di un sito.

  • Nega scrittura   Gli utenti anonimi non possono scrivere contenuto, anche se l'amministratore del sito tenta di concedere tale autorizzazione specifica all'account utente anonimo.

  • Nega tutto   Gli utenti anonimi non dispongono di alcun accesso, anche se gli amministratori dei siti tentano di concedere l'accesso ai siti all'account utente anonimo.

Per ulteriori informazioni sui criteri di autorizzazioni, vedere Manage permission policies for a Web application (SharePoint Server 2010).