使用するアクセス許可レベルおよびグループを決定する (SharePoint Server 2010)

  • [アーティクル]

 

適用先: SharePoint Foundation 2010, SharePoint Server 2010

トピックの最終更新日: 2016-11-30

ここでは、既定のグループおよびアクセス許可レベルについて説明します。この説明を参考にして、それらをそのまま使用するか、カスタマイズするか、別のグループおよびアクセス許可レベルを作成するかを決定します。

この記事の内容:

  • 使用可能な既定のグループを確認する

  • 使用可能なアクセス許可レベルを確認する

  • 追加のアクセス許可レベルやグループが必要かどうかを判断する

Microsoft SharePoint Server 2010 でサイトおよびコンテンツのセキュリティに関して行う最も重要な決定は、ユーザーをどのように分類し、どのアクセス許可レベルを割り当てるのかを決定することです。

使用可能な既定のグループを確認する

SharePoint グループでは、個別のユーザーではなく、ユーザーをグループとして管理できます。SharePoint グループには多数の個人ユーザーを含めることができます。また、Active Directory ドメイン サービス (AD DS)、LDAPv3 ベースのディレクトリ、アプリケーション固有のデータベース、LiveID をはじめとする新しいユーザー中心の ID モデルなど、任意の企業 ID システムについて、そのコンテンツを含めることもできます。SharePoint グループは、サイトに対して特定の権限を付与するものではなく、ユーザー グループを指定する手段です。組織や Web サイトの規模と複雑さに応じて、複数のユーザーをいくつかのグループに整理できます。SharePoint グループを入れ子にすることはできません。

SharePoint Server 2010 でチーム サイトに対して作成されている既定のグループを、次の表に示します。

グループ名 既定のアクセス許可レベル

Viewers

表示のみ

閲覧者

読み取り

Members

投稿

編集者

デザイン

Owners

フル コントロール

チーム サイト テンプレート以外のサイト テンプレートを使用する場合は、既定の SharePoint グループの別のリストが表示されます。たとえば、次の表は、発行サイト テンプレートによって提供される追加のグループを示しています。

グループ名 既定のアクセス許可レベル

制限付き閲覧者

サイトに対する制限付き読み取り、および特定のリストへの制限付きアクセス

スタイル リソース閲覧者

マスター ページ ギャラリーに対する読み取り、およびスタイル ライブラリに対する制限付き読み取り

簡易展開ユーザー

簡易展開アイテム ライブラリへの投稿、およびサイトのその他の場所への制限付きアクセス

承認者

承認、および制限付きアクセス

階層管理者

階層の管理、および制限付きアクセス

また、高度な管理タスクには、以下の特殊なユーザーとグループを使用できます。

  • サイト コレクションの管理者   サイト コレクションの管理者および代理の管理者として、1 人以上のユーザーを指定できます。これらのユーザーは、サイト コレクションの問い合わせ先としてデータベースに記録され、サイト コレクション内のすべてのサイトに対するフル コントロールを持ち、すべてのサイト コンテンツを監査でき、管理上の通知 (サイトが使用中かどうかの確認など) を受信します。サイト コレクションの管理者はサイトの作成時に指定されますが、サーバーの全体管理サイトまたはサイト コレクションの [サイトの設定] ページを使用して必要に応じて変更することもできます。サイト コレクションの管理者として AD DS のグループおよびロールを追加することはできません。

    注意

    サイト コレクションの管理者は、サイト コレクション内のすべてのサイトに対して、無制限の権限を持っています。管理者はサイトの追加や削除、サイト コレクション内の任意のサイトに対する設定の変更を行うことができます。また、それらのサイト内のすべてのコンテンツの表示、追加、削除、または変更を行うこともできます。さらに、サイトのユーザーを追加または削除したり、それらのサイトに招待状を送信したりすることもできます。サイト コレクションの所有者は、イベント (非アクティブなサイトの自動削除の保留など) に関する電子メール通知を受け取る唯一のユーザーです。既定では、サイト コレクションの所有者は、アクセスが拒否されているユーザーからアクセス要求も受け取ります。

  • ファームの管理者   このグループは、サーバーおよびサーバー ファームの設定を管理できるユーザーを制御します。ファームの管理者は、既定ではサイト コンテンツへのアクセス権を持っていないため、コンテンツを表示するにはサイトの所有権を取得する必要があります。ファームの管理者グループは、サーバーの全体管理でのみ使用され、サイトに対しては使用できません。

  • 管理者 (Administrators)   ローカル サーバー上の Administrators グループのメンバーは、ファームの管理者が行うすべての操作に加えて、以下の操作を実行できます。

    • 新しい製品またはアプリケーションをインストールする。

    • Web パーツおよび新機能をグローバル アセンブリ キャッシュに展開する。

    • 新しい Web アプリケーションと新しい IIS Web サイトを作成する。

    • サービスを開始する。

    ファームの管理者グループと同様に、ローカル サーバーの Administrators グループのメンバーには、既定ではサイト コンテンツへのアクセス権がありません。

必要なグループが決まったら、サイト上の各グループに割り当てるアクセス許可レベルを決定します。

使用可能なアクセス許可レベルを確認する

サイトを表示、変更、または管理できるかどうかは、ユーザーまたはグループに割り当てるアクセス許可レベルによって決まります。このアクセス許可レベルにより、サイトと、サイトの権限を継承するサブサイト、リスト、ドキュメント ライブラリ、フォルダー、アイテムまたはドキュメントに対するすべての権限が制御されます。適切なアクセス許可レベルが設定されていないと、ユーザーが自分のタスクを実行できない場合や、管理者が意図していないタスクを実行できてしまう場合があります。

既定では、以下のアクセス許可レベルを使用できます。

  • **制限付きアクセス   **サイトのすべての要素へのアクセス権が付与されなくても、ユーザーが特定のリスト、ドキュメント ライブラリ、リスト アイテム、フォルダー、またはドキュメントを表示できる権限が含まれています。このアクセス許可レベルは直接は編集できません。

    注意

    このアクセス許可レベルが削除されると、グループのメンバーがサイト内のアイテムに対する適切なアクセス許可を持っている場合でも、サイト内を移動してアイテムにアクセスできなくなる可能性があります。

  • **読み取り   **ユーザーがサイト ページのアイテムを表示できる権限が含まれています。

  • **投稿   **ユーザーがサイト ページ、リスト、ドキュメント ライブラリのアイテムを追加または変更できる権限が含まれています。

  • **デザイン   **ユーザーがブラウザーまたは Microsoft SharePoint Designer 2010 を使用してサイト ページのレイアウトを変更できる権限が含まれています。

  • **フル コントロール   **すべての権限が含まれています。

既定では、発行テンプレートには以下のアクセス許可レベルが追加されています。

  • **表示のみ   **ユーザーがページ、リスト アイテム、およびドキュメントを表示できるアクセス許可が含まれています。

  • **承認   **ページ、リスト アイテム、およびドキュメントを編集および承認できる権限が含まれています。

  • **階層の管理   **サイト、ページ、リスト アイテム、およびドキュメントを編集できる権限が含まれています。

  • **制限付き読み取り   **ページとドキュメントを表示できる権限が含まれていますが、過去のバージョンやユーザー権限情報は表示できません。

追加のアクセス許可レベルやグループが必要かどうかを判断する

既定のグループおよびアクセス許可レベルは、権限の一般的なフレームワークを提供し、多数のさまざまな組織の種類と、それらの組織内のさまざまな役割に対応しています。ただし、ユーザーのグループ分けや、ユーザーがサイトで実行する多数のさまざまなタスクに、これらが完全に適合するとは限りません。既定のグループおよびアクセス許可レベルが組織に適していない場合は、カスタム グループを作成したり、特定のアクセス許可レベルに含まれている権限を変更したり、カスタム アクセス許可レベルを作成したりできます。

カスタム グループが必要かどうかの判断

カスタム グループを作成するかどうかの判断は非常に簡単で、サイトのセキュリティにほとんど影響を与えません。以下のいずれかの状況に該当する場合は、既定のグループを使用する代わりにカスタム グループを作成する必要があります。

  • 組織内のユーザーの役割が、既定のグループにあるユーザーの役割より多い (または少ない)。たとえば、承認者、編集者、および階層管理者以外に、サイトへのコンテンツ発行を担当する社員がいる場合は、発行者グループを作成するとよいでしょう。

  • 組織内に、サイトでさまざまなタスクを実行する、既知の名前の独自の役割がある場合。たとえば、組織の製品を販売するためのパブリック サイトを作成する場合は、閲覧者や Viewers の代わりに、顧客グループを作成すると便利です。

  • Windows セキュリティ グループと SharePoint グループの間で一対一の関係を維持する場合。たとえば、Web Site Managers という名前のセキュリティ グループが設定されている組織では、サイトを管理するときに識別しやすいようにその名前を SharePoint グループ名として使用できます。

  • 他のグループ名を使用する場合。

カスタム アクセス許可レベルが必要かどうかの判断

アクセス許可レベルをカスタマイズするかどうかの判断は、SharePoint グループのカスタマイズの判断に比べると複雑です。アクセス許可レベルに割り当てられている権限をカスタマイズする場合は、変更内容を記録し、変更の影響を受けるすべてのグループおよびサイトで変更したアクセス許可レベルが機能していることを確認し、変更によってセキュリティ、サーバーの容量、またはパフォーマンスに悪影響が及ばないことを確認する必要があります。

たとえば、投稿のアクセス許可レベルに、通常はフル コントロールのアクセス許可レベルの一部であるサブサイトの作成権限を含むようにカスタマイズすると、投稿者グループのメンバーがサブサイトを作成および所有できるようになります。しかし同時に、サブサイトに悪意のあるユーザーがアクセスできるようになり、未承認のコンテンツが投稿されるおそれもあります。通常はフル コントロールのアクセス許可レベルに含まれる利用状況データの表示権限を、読み取りアクセス許可レベルに含むようにカスタマイズした場合は、閲覧者のすべてのメンバーが利用状況データを表示できるようになり、パフォーマンスの問題が生じる可能性があります。

以下のどちらかの状況に該当する場合は、既定のアクセス許可レベルをカスタマイズする必要があります。

  • 既定のアクセス許可レベルに、ユーザーが業務を遂行するために必要な権限以外のすべての権限が含まれていて、必要な権限を追加する場合。

  • 既定のアクセス許可レベルに、ユーザーには不要な権限が含まれている場合。

    重要

    アクセス許可レベルの一部である特定の権限に関してセキュリティ上またはその他の考慮事項が組織にある場合は、既定のアクセス許可レベルをカスタマイズしないでください。その権限を含む単一または複数のアクセス許可レベルに割り当てられているすべてのユーザーに対してその権限を無効にする場合は、すべてのアクセス許可レベルを変更する代わりに、サーバー ファーム内のすべての Web アプリケーションに対してこの権限を無効にします。

アクセス許可レベルに対して複数の変更を加える必要がある場合は、必要な権限すべてを含むカスタム アクセス許可レベルを作成します。

以下のどちらかの状況に該当する場合は、アクセス許可レベルを追加して作成します。

  • 特定のアクセス許可レベルから複数の権限を除外する場合。

  • 新しいアクセス許可レベルに対して、固有の複数の権限を定義する場合。

アクセス許可レベルを作成するには、既存のアクセス許可レベルをコピーして変更を加えるか、アクセス許可レベルを作成して必要な権限を選択します。

注意

一部の権限は、他の権限に依存します。他の権限が依存している権限を無効にすると、依存している権限も無効になります。