Керування доступом до вузлів та до вмісту вузлів

В цій статті

Простий адміністрування починаються за допомогою стандартних груп SharePoint (які власники сайтів ім'я, ім'я учасників сайту та відвідувачі ім'я вузла) та призначення дозволів на рівні сайту. Рекомендовано використовувати більшість користувачів членами ім'я відвідувачі сайту або сайту групи SharePoint учасники ім'я. Не додайте кожному користувачеві ім'я вузла як учасник групи власників SharePoint. За промовчанням учасники сайту можуть доступ до сайту, додавши або видаляючи елементи або документи, але не можуть змінювати структуру сайту та змінити параметри сайту або зовнішнього вигляду. Якщо вам потрібна дозволяє контролювати дії, які користувачі можуть користуватися, можна створити додаткові групи SharePoint і рівні дозволів.

Якщо вказано якісь списки, бібліотеки, папки, елементи списку або документи, які містять конфіденційні дані, які повинні бути ще безпечнішими, детально налаштовані дозволи можна використовувати для надання дозволів для певної групи SharePoint або окремих користувачів. Зверніть увагу, що управління індивідуально налаштованих дозволів може бути багато часу завдання.

Призначення елементів безпеки об'єктам, що захищаються

Ви можете надати окремим користувачам і групам SharePoint окремі дозволи для об'єкта, що захищається, наприклад сайту, списку, бібліотеки, папки, елемента або документа. Так як це неефективний Веде облікові записи користувачів безпосередньо використовуйте максимально для керування користувачами групи SharePoint.

вузлів

Один користувач може бути безпосередньо призначено дозвіл без необхідності входити до групи SharePoint.

Призначення дозволів створюється на певнийоб'єкт, що захищається. У тому числі цього призначення дозволів користувача або групи SharePoint та рівня дозволів. Кожен рівень дозволів має низку окремих дозволів.

Різні рівні дозволів для певного сайту, списку, бібліотеки, папки, списку або документа можна призначати різні користувачі та групи SharePoint. Окремі користувачі або групи SharePoint можуть мати різні рівні дозволів для різних об'єктів, що захищаються.

Будь-який користувач, який має дозволи «Керування дозволами», може створювати групи SharePoint і призначати рівні дозволів для сайту в цілому. Однак зверніть увагу, що вони не можуть додавати або видаляти користувачів або доменні групи в групі SharePoint. У адміністраторів сімейства веб-вузлів та власників вузла такий дозвіл є за замовчуванням.

Адміністратори списків і бібліотек можуть задавати доступ до своїх списків або бібліотек (або папок списків або бібліотек), додаючи або видаляючи користувачів із груп SharePoint, або змінюючи рівні дозволів для користувачів або груп SharePoint.

Список творців елемента або документа можна встановити більше або менше жорстких обмежень дозволу для окремого елемента або документа шляхом додавання або видалення користувачів або груп SharePoint або змінивши рівні дозволів для користувачів або груп SharePoint.

Ієрархія та успадкування

За промовчанням дозволи для списків, бібліотек, папки, елементи та документи успадковуються від батьківського сайту. Проте можна припинити це успадкування будь-який об'єкт, що захищається на більш низькому рівні в ієрархії шляхом зміни дозволів на цей об'єкт, що захищається (який створює призначення унікальних дозволів). Наприклад, можна змінити дозволи длябібліотеки документів, що порушує успадкування дозволів із сайту.

Веб-вузол являє собою об'єкт, що захищається, для якого можна призначити дозволи. Власник вузла може налаштовувати дочірні вузли, включаючи успадкування дозволів від батьківського вузла або відключаючи успадкування та створюючи власні дозволи для певного вузла. Спадкування дозволів є найпростішим способом для керування групою веб-сайтів. Проте, якщо дочірній вузол успадковує дозволи від свого батьківського вузла, цей набір дозволів є загальним.

Власники дочірніх вузлів, які успадковують дозволи батьківського вузла, можуть змінювати дозволи батьківського вузла. Переконайтеся, що всі зміни, які відбуваються з дозволами на батьківському вузлі, придатні для батьківського вузла та всіх дочірніх вузлів, які успадковують ці дозволи.

На наступному малюнку показана ієрархія сімейства вузлів з веб-вузлом верхнього рівня та дочірніми вузлами, що успадковують дозволи від свого батьківського вузла, а також дочірнім вузлом із власними дозволами.

керування

На цьому малюнку 1 дочірній сайт успадковує дозволи від веб-сайту верхнього рівня. Це означає, що зміни, внесені до групи SharePoint та рівнів дозволів на сайті верхнього рівня, також вплинути на дочірній сайт 1.

Дочірній сайт 2 також успадкування дозволів батьківського елемента (дочірній сайт 1). Тим не менш, оскільки дочірній сайт 1 також успадкування дозволів від батьківського елемента, зміни, внесені до групи SharePoint і рівнів дозволів на сайті верхнього рівня впливає на обидва дочірній сайт 1 і 2 дочірнього вузла. Це тому не може керувати дозволами на дочірній сайт, який успадкування дозволів. Натомість ви або управліннядозволами батьківського (який веб-сайту верхнього рівня для дочірній сайт 1 та дочірнього вузла 2) або можна скасувати успадкування та створити унікальні дозволи.

Зверніть увагу, що дочірній вузол 3 має власні дозволи. Це означає, що він не успадковує дозволи від свого батьківського вузла. Тому будь-які зміни, зроблені з рівнями дозволів та групами SharePoint на дочірньому вузлі 3, не впливають на батьківський вузол. Оскільки дочірній вузол 4 успадковує дозволи від дочірнього вузла 3, будь-які зміни, зроблені з рівнями дозволів або групами SharePoint на дочірньому вузлі 3, зачіпають обидва вузли.

Кожен сайт містить додаткові об'єктів, що захищаються, які містять певне місце в ієрархії сайту, як показано на наведеному нижче малюнку:

доступом

Об'єкти нижнього рівня, що захищаються, автоматично успадковують дозволи від своїх батьківських об'єктів. Наприклад, список або бібліотека успадковують дозволи від вузла, а елементи списку та документи успадковують дозволи від списку, бібліотеки або папки, в якій вони містяться. Це успадкування можна скасувати будь-де ієрархії і призначити об'єкту власні дозволи. При скасуванні спадкування від батьківського об'єкта об'єкт, що захищається, отримує копію батьківських дозволів. Потім ці дозволи можна відредагувати, при цьому будь-які зміни дозволів об'єкта, що захищається, не будуть впливати на батьківський об'єкт.

План наслідування дозволів

Простіше керувати дозволами на рівні сайту, якщо це можливо. Це означає, що слід створити ієрархію сайту способом, який дозволяє призначати дозволи для сайтів, які підходять для всіх об'єктів, що захищаються в межах сайту, наприклад списки, бібліотеки, папки, документи та елементи. Незважаючина те, що можна призначити унікальні дозволи на будь-який об'єкт, що захищається в ієрархії сайтів, можна зробити більш громіздкими ніж успадкування дозволів. При плануванні сайтів SharePoint необхідно оцінити вимоги безпеки своєї організації та складності управління унікальні дозволи на декількох об'єктів, що захищаються.

Управління дозволами стає складніше, коли деякі списки або бібліотеки на сайті має детально налаштовані дозволи застосований, а деякі сайти включають діапазон дочірні сайти з унікальним набором дозволів і системи успадкування. Коли це можливо, спробуйте налаштувати сайти, дочірні сайти, списки та бібліотеки, щоб вони могли успадковувати дозволи для більшості. За потреби помістіть конфіденційні дані в окремі дочірні сайти, списки або бібліотеки.

Наприклад буде простіше керувати дозволами за допомогою ієрархії, як показано в наведеному нижче прикладі, ніж було б змішувати конфіденційні і не конфіденційні дані в той же сайтів, списків і бібліотек.

Вузол AДомашня сторінка групи

Список AНе конфіденційні дані (успадковує дозволи сайту A)

Бібліотека документів AНе конфіденційні дані (успадковує дозволи сайту A)

Дочірній вузол BСекретні дані (власні дозволи)

Список BКонфіденційні дані (успадковує дозволи від дочірнього сайту B)

Бібліотека документів BКонфіденційні дані (успадковує дозволи від дочірнього сайту B)

Зверніть увагу, що список та бібліотека на вузлі A містить несекретні дані, а створений під вузлом A дочірній вузол B містить список та бібліотеку для зберігання секретних даних. У цьому сценарії власник вузла може призначати дозволи вузлу A,придатні для списку A та бібліотеки документів A, а також створювати власні дозволи на дочірньому вузлі B, які потрібні для списку B та бібліотеки документів B.