最近和一些搞SharePoint的朋友在一起交流了一些关于SharePoint2013权限控制的东西,发现很多朋友对于SharePoint的权限控制,认识的不是很清晰,比如说如何通过SharePoint实现,用户可以查看但是不能下载,很多人会说,需要结合ADRMS才能做吧?但实际上,通过SharePoint默认的权限控制,定制一个权限级别,就可以实现这种功能,所以菜鸟我准备写下关于SharePoint权限控制的一些基本知识,以及设置方法,希望可以抛砖引玉,为各位提供思路。
首先我们看一下SharePoint的权限设置都有哪些,通常情况下,我会把SharePoint权限控制,分为两个大的维度。
第一个维度是SharePoint管理中心权限
第二个维度是SharePoint网站集权限
在SharePoint管理中心权限中,大体包括以下权限
Form Administrators:此权限组的用户对于SharePoint管理中心网站,具备完全控制权限,相当于SharePoint管理中心的最大管理员,所有SharePoint服务应用程序,都会继承Form Administrators的权限设置,默认情况下,在我们安装SharePoint运行产品配置向导的时候,会有一个地方让我们设置场管理员,那个场管理员默认就属于Form administrators。
此权限组对于SharePoint管理中心,包括管理中心的设置,备份,监控,迁移,Web应用程序的创建等等执行管理操作,都具备了完全控制的权限,如果需要在SharePoint管理中心注册一个解决方案包,或者和其它微软产品做集成,都需要Form administrators组的权限,但是Form administrators组的账户会对所有网站集具备权限吗?
不会,如果网站集管理员,没有为Form administrators配置网站集权限,那么即使是Form administrators 也不能访问网站集。
在正常情况下,Form administraors可以通过第一次运行产品配置向导设置,或者在SharePoint管理中心 --- 安全性--- 管理服务器场管理员组 中,将人员添加到Form Administrators。
Delegated Administrators:此权限组的用户,对于SharePoint管理中心网站,具备了参与讨论的权限,即被委派的管理中心管理员,具备了有限的管理中心权限。该权限组的成员,可以在SharePoint管理中心 --- 安全性 --- 网站权限 中进行添加。
以上两个权限为SharePoint管理中心的管理账户,SharePoint管理中心中,也可以针对于管理账户执行自动密码修改动作,密码过期通知动作,例如,您对SharePoint的服务应用程序设置了单独的服务账户,一旦服务账户密码过期,或者密码修改了,服务应用程序可能就会停止使用,这个时候,您就可以起提前创建一个密码更改计划,密码过期由SharePoint自动更改密码。
这里有一点需要说明,如果SharePoint管理员希望委派另外一个管理员来管理SharePoint场,除了要赋予场管理,额外还要在指定的Web应用程序中赋予完全控制权限,以及网站集管理员。否则管理员只可以管理SharePoint管理中心而不可以管理网站集。
以上简单的介绍了一下SharePoint管理中心相关权限,那么网站集权限呢?
在SharePoint的网站体系架构中,最上层是SharePoint 应用程序,下一层是网站集,网站集是一个类似于根网站的级别,可以在网站集下面再建立多个网站,在每一个网站中,又可以建立多个库,列表,webpart。
所以,在SharePoint中,如果管理员针对于网站集进行了授权,那么这个权限会继承到网站,网站的权限又会继承到下面的,库,列表,webpart。
那么,是不是说,每一个库,列表,webpart,都需要有单独的权限配置呢,因为在库中的权限类肯定和网站类不一样。其实在SharePoint的网站权限设置过程中,网站权限的内容,就直接包括了,下面的库权限,例如网站权限设置为仅读取,那么对应到库权限,可能就是查看项目,查看应用程序。
在SharePoint中,除了库权限,列表权限,还有一个比较特殊的权限是webpart权限,自从SharePoint 2007 开始,就有了一种特殊的权限设置方法,成为 访问群体,举个例子,我可以针对于一个webpart或者一个文档库,设置一个访问群体,例如,我的这个webpart,只允许IT部门查看,我就可以在webpart里面,添加IT部门的群体,添加好了之后,只有IT部门的人员登录后,才可以看到这个webpart 所谓目标访问群体,我的理解,就是根据规则,定义出来一个特征,凡是符合这个特征的,就自动进入这个群体,SharePoint会根据timejob定期去搜索符合条件的目标,然后加入到群体中。有了这个群体后,SharePoint管理人员就可以在网站集中,针对于这个目标访问群体,来进行特定的授权,而不仅仅是添加安全组这样简单,后续的文章中,我也会为大家实际讲解目标访问群体的用法。
最后提一下个人权限,在SharePoint2010开始,SharePoint支持每个用户可以创建自己的自助网站,个人网站,个人webpart,所谓个人webpart,也就是说,添加了webpart之后,只有自己能看见,别人是看不到的。也就是相当于赋予了用户diy自己网站的视觉权利。而且用户在个人网站视图,个人webpart编辑的内容,不会影响到别人,以及网站的使用。
关于SharePoint权限的详情请参考https://technet.microsoft.com/zh-cn/library/cc721640.aspx
105
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
