セキュリティ グループを選択する (SharePoint Foundation 2010)
適用先: SharePoint Foundation 2010
ここでは、Active Directory ドメイン サービス (ADDS) を構成するセキュリティ グループと配布グループについて説明します。また、これらのグループを SharePoint サイトのユーザーの整理に使用する上での推奨事項も示します。
この記事の内容 :
セキュリティ グループを追加するかどうかを決定する
サイトへのアクセスの許可に使用するセキュリティ グループを決定する
すべての認証されたユーザーにアクセスを許可するかどうかを決定する
匿名ユーザーにアクセスを許可するかどうかを決定する
概要
個々のユーザーにではなくグループにアクセス許可レベルを割り当てると、SharePoint サイトのユーザー管理が簡単になります。SharePoint グループは個別ユーザーのセットであり、Active Directory グループを含むこともできます。Active Directory ドメイン サービス (ADDS) では、以下のグループがユーザーの整理に一般に使用されます。
配布グループ 電子メールの配布にのみ使用される、セキュリティ保護されていないグループです。配布グループは、リソースとオブジェクトのアクセス権の定義に使用される随意アクセス制御リスト (DACL) に入れることはできません。
セキュリティ グループ 随意アクセス制御リスト (DACL) に入れることができるグループです。セキュリティ グループは電子メール エンティティとしても使用できます。
セキュリティ グループを使用すると、セキュリティ グループを SharePoint グループに追加し、SharePoint グループにアクセス許可を付与することで、サイトのアクセス許可を制御できます。SharePoint グループに配布グループを追加することはできませんが、配布グループを拡張し、個々のメンバーを SharePoint グループに追加することはできます。この方法を使用する場合、SharePoint グループと配布グループとの同期を手動で維持する必要があります。セキュリティ グループを使用する場合、SharePoint アプリケーションで個々のユーザーを管理する必要はありません。グループの個々のメンバーではなくセキュリティ グループ自体を指定しているため、ユーザーは AD°DS によって管理されます。
注意
セキュリティ管理を容易にするため、Active Directory グループの管理で以下のことはお勧めできません。
-
Active Directory グループにアクセス許可レベルを直接割り当てる。
-
入れ子になったセキュリティ グループ、連絡先、または配布リストが含まれるセキュリティ グループを追加する。
セキュリティ グループを追加するかどうかを決定する
セキュリティ グループを SharePoint グループに追加すると、グループとセキュリティを集中管理できます。セキュリティ グループのみで個別のユーザーを管理します。SharePoint グループにセキュリティ グループを追加した後は、その SharePoint グループでセキュリティ グループのメンバーシップを管理する必要はありません。ユーザーがセキュリティ グループから削除されると、ユーザーは SharePoint グループから自動的に削除されます。
ただし、SharePoint サイトでセキュリティ グループを使用すると、発生するすべてのことを認識することはできません。たとえば、特定のサイトについて SharePoint グループにセキュリティ グループが追加されたとき、ユーザーの個人用サイトにはそのサイトは表示されません。個別のユーザーがサイトに関与するまで、ユーザー情報リストには個別のユーザーは表示されません。さらに、深い入れ子構造のセキュリティ グループは、SharePoint サイトを壊す可能性があります。
前記の利点と欠点を考慮した推奨事項を次に示します。
ユーザーによって広くアクセスされるイントラネット サイトの場合は、イントラネット サイトのホーム ページにアクセスした個別ユーザーについて注意を払う必要がないので、セキュリティ グループを使用します。
小さなユーザー グループでアクセスされるグループ作業サイトの場合は、SharePoint グループにユーザーを直接追加します。この場合は、グループのメンバーが相互の電子メール アドレスや連絡方法を知ることができるように、メンバーについてより多くの情報が必要です。
サイトへのアクセスの許可に使用するセキュリティ グループを決定する
各組織では、セキュリティ グループの設定が異なります。権限管理を簡単にするため、次のようなセキュリティ グループを選択します。
SharePoint サイトに絶えず新しいセキュリティ グループを追加しなくて済む程度に大きく安定している。
適切なアクセス権の割り当てができる程度に小さい。
たとえば、"ビル 2 の全ユーザー" というセキュリティ グループは、ビル 2 のすべてのユーザーが売掛金担当者など、同じ職務についているのではない限り、アクセス権を割り当てるには大きすぎる可能性が高くなります。このような場合には、"売掛金" など、より小さくて限定されたグループを探す必要があります。
すべての認証されたユーザーにアクセスを許可するかどうかを決定する
ドメイン内のすべてのユーザーがサイトのコンテンツを表示できるようにする場合、すべての認証されたユーザー (Domain Users Windows セキュリティ グループ) にアクセスを許可することを検討してください。この特殊グループを使用すると、ドメインのすべてのメンバーは (指定したアクセス許可レベルで) Web サイトにアクセスできます。この際、匿名アクセスを有効にする必要はありません。
匿名ユーザーにアクセスを許可するかどうかを決定する
匿名アクセスを有効にすると、ユーザーはページを匿名で閲覧できます。ほとんどのインターネット Web サイトではサイトを匿名で閲覧できますが、サイトを編集したり、ショッピング サイトで商品を購入する場合は、認証が求められます。匿名アクセスは既定では無効になっており、Web アプリケーションの作成時に Web アプリケーション レベルで許可する必要があります。
Web アプリケーションへの匿名アクセスを許可する場合、サイト管理者はサイトに対して、またはサイトのコンテンツに対して匿名アクセスを許可できます。
匿名アクセスは、Web サーバー上の匿名ユーザー アカウントに依存します。このアカウントの作成と管理は、SharePoint サイトではなく、Microsoft インターネット インフォメーション サービス (IIS) によって行われます。IIS の既定の匿名ユーザー アカウントは IUSR です。匿名アクセスを有効にすると、このアカウントは実際に SharePoint サイトにアクセスできるようになります。サイトへのアクセス、またはリストとライブラリへのアクセスを許可すると、匿名ユーザー アカウントにアイテムの表示権限が付与されます。ただし、アイテムの表示権限があっても、匿名ユーザーには制限があります。匿名ユーザーは以下の操作を行うことができません。
Microsoft Office SharePoint Designer でサイトを開いて編集すること。
[マイ ネットワーク] にサイトを表示すること。
Wiki ライブラリを含むドキュメント ライブラリのドキュメントのアップロードまたは編集。
重要
サイト、リスト、またはライブラリのセキュリティを強化するには、匿名アクセスを有効にしないでください。匿名アクセスを有効にすると、ユーザーがリスト、ディスカッション、アンケートに投稿することができ、サーバーのディスク容量やその他のリソースが使い果たされる可能性があります。さらに、匿名アクセスにより、匿名ユーザーがユーザーの電子メール アドレスやリスト、ライブラリ、ディスカッションに投稿した内容など、サイトの情報を検出することが可能になります。
アクセス許可ポリシーは、Web アプリケーションの一部のユーザーやグループだけに適用される一連の権限を構成および管理するための一元的な手段となります。匿名ユーザーに対するアクセス許可ポリシーは、Web アプリケーションに対する匿名アクセスを有効または無効にすることで管理できます。Web アプリケーションへの匿名アクセスを有効にした場合は、サイト管理者がサイト コレクション、サイト、またはアイテム レベルで匿名アクセスを許可または拒否できます。 Web アプリケーションへの匿名アクセスを無効にした場合は、匿名ユーザーはその Web アプリケーション内のどのサイトにもアクセスできなくなります。
なし ポリシーはありません。これが既定値です。サイトの匿名ユーザーにさらに権限の制限や追加は適用されません。
書き込み拒否 サイト管理者が匿名ユーザー アカウントに書き込み権限を特別に付与しようとしても、匿名ユーザーはコンテンツを書き込むことができません。
すべて拒否 サイト管理者が匿名ユーザー アカウントにサイトへのアクセスを特別に許可しようとしても、匿名ユーザーはアクセスできません。
アクセス許可ポリシーの詳細については、「Web アプリケーションのアクセス許可ポリシーを管理する (SharePoint Foundation 2010)」を参照してください。