Обзор разрешений сайта в SharePoint Server

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint в Microsoft 365

В данной статье рассматривается концепции внедрения управления доступом в семействе веб-сайтов и на последующих уровнях: сайта, дочернего сайта и контента сайта (списка или библиотеки, папки, элемента или документа).

Введение

Доступом к сайту и контенту сайта можно управлять, назначая пользователям или группам разрешения для доступа к определенному сайту или контенту сайта на следующих уровнях в семействе сайтов:

  • на уровне сайта;

  • на уровне библиотеки или списка;

  • на уровне папки;

  • на уровне документа или элемента.

При разработке плана доступа к сайту и контенту следует ответить на следующие вопросы:

  • Какая степень контроля за разрешениями для сайта и его контента требуется? Например, можно управлять доступом на уровне сайта или использовать более строгие параметры безопасности для определенного списка, папки или элемента.

  • Как использовать группы SharePoint для определения категорий пользователей и управления ими? У групп нет никаких разрешений, пока им не будет назначен уровень разрешений для определенного сайта или контента сайта. При назначении уровней разрешений группам SharePoint на уровне семейства веб-сайтов по умолчанию все сайты и весь контент наследуют эти уровни разрешений.

Дополнительные сведения об использовании групп для управления разрешениями см. в статье Обзор групп безопасности в SharePoint Server.

Разрешения сайтов

Перед составлением плана предоставления разрешений следует усвоить следующие понятия:

  • Разрешения Разрешения предоставляют пользователю возможность выполнять определенные действия. Например, разрешение на просмотр элементов позволяет пользователю просматривать элементы в списке или папке, но не позволяет добавлять или удалять элементы. Разрешения могут предоставляться отдельным пользователям на уровне сайта или контента сайта.

    Дополнительные сведения о доступных разрешениях см. в разделе User permissions and permission levels (SharePoint Server 2010).

  • Детализированные разрешения Точные разрешения — это уникальные разрешения на защищаемые объекты, которые находятся на более низком уровне иерархии сайта, например разрешения на список или библиотеку, папку, элемент или документ. Детальные разрешения предоставляют более точный уровень детальности разрешений пользователя в семействе сайтов.

  • Уровень разрешений Уровни разрешений — это коллекции разрешений, которые позволяют пользователям выполнять набор связанных задач. Например, уровень разрешений "Чтение" включает разрешения "Просмотр элементов", "Открытые элементы", "Просмотр страниц" и "Просмотр версий" (и т. д.), которые необходимы для просмотра страниц, документов и элементов на сайте SharePoint. Разрешения могут быть включены в несколько уровней разрешений одновременно.

    Уровни разрешений определяются на уровне семейства сайтов и могут настраиваться любым пользователем или группой, уровень разрешения которых включает разрешение на управление разрешениями. Дополнительные сведения о настройке уровней разрешений см. в статье Настройка пользовательских разрешений в SharePoint Server.

    Уровни разрешений по умолчанию: "Ограниченный доступ", "Чтение", "Участие", "Разработка" и "Полный доступ". Сведения об уровнях разрешений по умолчанию и о включенных в них разрешениях см. в разделе User permissions and permission levels (SharePoint Server 2010).

  • Группа SharePoint Группа SharePoint — это группа пользователей, определяемых на уровне семейства веб-сайтов для простого администрирования разрешений. Для каждой группы SharePoint назначается уровень разрешений по умолчанию. Например, по умолчанию в SharePoint имеются группы "Владельцы", "Посетители" и "Участники" с уровнями разрешений "Полный доступ", "Чтение" и "Участие" соответственно. С разрешением "Полный доступ" можно создавать пользовательские группы.

  • Пользователя Пользователь может быть пользователем с учетной записью пользователя из любого поставщика проверки подлинности, поддерживаемого веб-приложением. Рекомендуется назначать разрешения не отдельным пользователям, а группам, хотя можно и напрямую назначать отдельным пользователям разрешения на определенные сайты или контент. Следует учитывать, что управление учетными записями отдельных пользователей неэффективно, поэтому рекомендуется назначать разрешения отдельным пользователям только в исключительных случаях.

  • Защищаемый объект Защищаемый объект — это сайт, список, библиотека, папка, документ или элемент, для которых пользователям или группам могут быть назначены уровни разрешений. По умолчанию все списки и библиотеки на сайте наследуют разрешения от сайта. Для более детального контроля пользователей, которым разрешено просматривать контент сайта и взаимодействовать с ним, используются разрешения на уровне списков, папок и элементов. Чтобы назначить разрешения защищаемому объекту или изменить их, необходимо отменить наследование разрешений. Можно в любое время возобновить наследование разрешений из родительского списка.

Можно назначать разрешения пользователям или группам для конкретных защищаемых объектов. Отдельные пользователи или группы могут иметь различные разрешения для разных защищаемых объектов. На следующей схеме демонстрируются взаимосвязи между разрешениями, пользователями, группами и защищаемыми объектами.

Взаимосвязи между разрешениями, пользователями, группами и защищаемыми объектами.

Отображение определенных уровней разрешений в SharePoint Server

Наследование разрешений

Разрешения для защищаемых объектов на сайте по умолчанию наследуются от родительского объекта. Наследование можно отменить и использовать детальные разрешения (уникальные разрешения на уровне списков, библиотек, папок, элементов или документов) для более точного управления действиями, которые пользователи имеют право выполнять на сайте.

При остановке наследования происходит копирование групп, пользователей и уровней разрешений из родительского объекта в дочерний, а затем наследование отменяется. Удаление разрешений пользователя также затронет и дочерний объект. Оно распространяется независимо от статуса наследования. При восстановлении унаследованных разрешений дочерний объект наследует группы пользователей и уровни разрешений от родительского, а уникальные для дочернего объекта пользователи, группы или уровни разрешения будут утеряны.

Для упрощения администрирования используйте наследование разрешений, где это возможно.

Совет

В случае отмены наследования и использования детальных разрешений рекомендуется применять группы, что позволит избежать необходимости отслеживать разрешения для отдельных пользователей. Например, пользователи могут переходить из группы в группу, их служебные обязанности могут часто изменяться, а это влечет за собой необходимость отслеживать эти изменения и постоянно обновлять разрешения для уникальных защищенных объектов; на подобные действия обычно уходит много времени (и повышается риск совершить ошибку).