最近正在研究Moss 2007,发现一个很有意思的权限问题,实际上是使用者和设计者理解不同造成的,现在分享一下:
问题描述:
背景:父站点A---子站点B--孙子站点C 采用了缺省集成的关系
现象:如果在A、B、C 任何site 修改了用户和组的成员,你会发现,在A、B、C 中都能看到相同的组成员;
问题: 使用者都是希望,A、B、C 应该有不同的访问者,比如 甲部门的人不能访问乙部门的门户,而这种继承关系,会让你非常的苦恼,因为同步变化了。
解析: 其实这个现象造成的困惑,是因为大家继承了NTFS权限的使用习惯,子目录可以继承父目录的权限,但可以定制;
但Sharepoint 的设计者,不是这么设计的!
我的理解: Moss中的组都是Globle 组,只要是继承关系,Global组的成员是不会因为site 的层级关系而可以定制!
比如,你不可能实现 A site 的 访问者是 domain users ,B site 的访问者是 It-depart-Group ;
那应该怎么做呢?
正确的做法:
1. 打断继承关系 ,通过 Site Actions ->Site Settings ->Users and Permissions ->Advanced permissions ----|---- Actions --> Edit Permissions ---> 这里可以实现打断
2. 然后你可以应该创建自己的权限组,比如B站点,只希望IT部门的人访问,你就建立一个 IT部门组,其成员为AD中的IT部;然后赋权;
3. 在 网站权限 这一级别 删除系统缺省那些用户组的设置;
4。添加以刚才的那个创建的组,这样就可以实现权限单独分配了!如:
(删掉系统缺省的这些global的组, 保留或者添加你自建的组,,实现有效权限管理)
总结一下,moss 2007 的权限确实比较丰富和复杂,用起来还需要好好理解!
推荐做法: 建立站点的时候就不选择继承,你会发现sharepoint 的设计者已经为你确实创建了你需要的角色组! 呵呵