关于 Windows SharePoint Services 3.0 的安全功能

转自：http://office.microsoft.com/zh-cn/sharepointtechnology/HA100215782052.aspx?pid=CH100649862052

 

您作为网站的所有者，使用 Microsoft Windows SharePoint Services 3.0 所提供的安全功能将有助于控制对网站的访问以及在网站上进行授权。通过使用这些安全功能，将由网站所有者 - 而不是服务器管理员 - 来控制哪些人可访问网站，而且由网站所有者指定为特定实体的用户分配哪些权限。  

 注释   网站集管理员有权访问网站集中的所有网站并对其进行控制。这意味着他们可以执行与网站所有者相同的操作，不过是在网站集中的任何网站上执行。

无论什么类型的网站，网站的安全性和权限均包括以下要素。

• 用户  拥有用户帐户的人，该用户帐户可通过 Web 服务器上所用的验证方法进行验证。用户可以被直接添加到安全对象，或者将用户添加到将要添加到安全对象的 SharePoint 组，从而间接地将用户添加到安全对象。虽然用户无需一定是 SharePoint 组的成员，但管理 SharePoint 组的权限与管理大量用户的权限相比要简便的多。另一方面，您可能会发现直接管理少量用户的权限要比管理 SharePoint 组更为方便。
• 域组  由验证系统定义的组。例如，用于 Windows 身份验证的 Windows 安全组以及用于 Forms 身份验证的 ASP.NET 角色管理器组即为两种类型的域组。
• SharePoint 组  可以在 SharePoint 网站上创建的用户组，用于管理对网站的权限以及为网站成员提供电子邮件通讯组列表。所有 SharePoint 组均创建于网站集级别并可用于网站集中的任何子网站。但是您也可以选择创建仅对特定子网站具有权限的 SharePoint 组。SharePoint 组可以包含 Windows 安全组（如 Department_A）、ASP.NET Forms 身份验证组（如 All_Managers）以及具有本地服务器或 Windows 域上的用户名的单个用户。虽然基于 Windows SharePoint Services 构建的网站通常有附加的默认 SharePoint 组，但 Windows SharePoint Services 3.0 提供了三个默认 SharePoint 组，即网站名称 Owners、网站名称 Members 和网站名称 Readers。其中每个 SharePoint 组均与一个默认权限级别相关联，但是您可以根据需要更改任一 SharePoint 组的权限级别。任何用户只要被分配了包含“创建组”权限的权限级别就可以创建自定义 SharePoint 组。

  较之子网站的网站所有者，顶级网站的网站名称 Owners 组成员可以控制更多的选项。例如，他们可执行诸如指定 Web 文档讨论或通知的设置及查看使用率和配额数据之类的操作。

  默认情况下，Windows SharePoint Services 3.0 创建三个 SharePoint 组，这些组具有对顶级网站的默认权限。网站名称 Owners SharePoint 组的成员有“完全控制”权限，网站名称 Members SharePoint 组的成员有“参与”权限，Site name Visitors SharePoint 组的成员有“读取”权限。

  通常，使用 SharePoint 组来管理权限要比直接管理每个用户的权限更为简便。例如，可以将组织里所有的经理添加到您创建的 Managers SharePoint 组中。您希望这些经理具有子网站 1 的读写权限、子网站 2 的只读权限以及对子网站 3 的完全控制权限。为此，您可以分别在每个子网站上分配 Managers SharePoint 组所需的权限。请注意，这些权限分配只需执行一次。由于 SharePoint 组处于网站集级别，所以可以在同一位置添加或删除某个特定 SharePoint 组的用户。当有经理加入工作组时，可以将他们添加到 Managers SharePoint 组，而不必为其指定不同网站上的权限，因为您已经分配了此 SharePoint 组在全部三个网站上所需的权限。另一方面，如果选择将每个经理直接添加到网站，而不使用 SharePoint 组，那么您必须为每个经理分配对三个网站的适当权限。

   注释   在 Windows SharePoint Services 的早期版本中，“SharePoint 组”称作“跨网站组”。

• 权限  授权执行特定操作，如查看页面、打开项目及创建子网站。 Windows SharePoint Services 3.0 提供 33 个预定义权限，您可以使用这些权限来允许用户执行特定操作。例如，分配了“查看项目”权限的用户可以查看列表中的项目。每个权限均具有如下特征之一：列表、网站或个人。权限不是直接分配给用户或 SharePoint 组。相反，权限是分配给一个或多个权限级别，这些权限级别再依次分配给用户和 SharePoint 组。每个权限均可包含在多个权限级别中。

   注释   服务器管理员可以通过管理中心限制网站集中可用的权限。如果网站上某个特定权限不可用，请咨询服务器管理员。

   注释   在 Windows SharePoint Services 的早期版本中，“权限”称作“权利”。

• 权限级别  可在安全对象（如网站、库、列表、文件夹、项目或文档）上授予用户或 SharePoint 组的一组权限。使用权限级别可以将一组权限分配给用户和 SharePoint 组，使其可以在网站上执行特定操作。使用权限级别，您可以控制在网站上要授予用户和 SharePoint 组的权限。例如，默认情况下，“读取”权限级别包括的权限有“查看项目”、“打开项目”、“查看页面”以及“查看版本”（及其他），其中所有权限都是在 SharePoint 网站上读取文档、项目和页面所必需的。

  默认情况下提供以下权限级别：完全控制、设计、参与、读取、受限访问。任何人只要被分配了包含“管理权限”权限的权限级别就可以自定义权限级别（除“完全控制”和“受限访问”权限级别之外）或创建新的权限级别。网站所有者默认具有“管理权限”权限。

   注释   在 Windows SharePoint Services 的早期版本中，“权限级别”称作“网站组”。

• 安全对象  可在其上配置权限的对象，如网站、列表、库、列表或库内的文件夹、列表项目或文档。可将用户和 SharePoint 组的权限分配到特定安全对象。默认情况下，SharePoint 组和用户被分配网站级别的权限，而级别较低的安全对象（列表、库、列表或库内的文件夹、列表项目和文档）从网站级别继承权限。任何人只要被分配了包含“管理权限”权限的权限级别就可以编辑任何安全对象的权限。网站所有者默认具有此权限。