最近和一些搞SharePoint的朋友在一起交流了一些關於SharePoint2013權限控制的東西,發現很多朋友對於SharePoint的權限控制,認識的不是很清晰,比如說如何通過SharePoint實現,用戶可以查看但是不能下載,很多人會說,需要結合ADRMS才能做吧?但實際上,通過SharePoint默認的權限控制,定製一個權限級別,就可以實現這種功能,所以菜鳥我準備寫下關於SharePoint權限控制的一些基本知識,以及設置方法,希望可以拋磚引玉,爲各位提供思路。
首先我們看一下SharePoint的權限設置都有哪些,通常情況下,我會把SharePoint權限控制,分爲兩個大的維度。
第一個維度是SharePoint管理中心權限
第二個維度是SharePoint網站集權限
在SharePoint管理中心權限中,大體包括以下權限
Form Administrators:此權限組的用戶對於SharePoint管理中心網站,具備完全控制權限,相當於SharePoint管理中心的最大管理員,所有SharePoint服務應用程序,都會繼承Form Administrators的權限設置,默認情況下,在我們安裝SharePoint運行產品配置嚮導的時候,會有一個地方讓我們設置場管理員,那個場管理員默認就屬於Form administrators。
此權限組對於SharePoint管理中心,包括管理中心的設置,備份,監控,遷移,Web應用程序的創建等等執行管理操作,都具備了完全控制的權限,如果需要在SharePoint管理中心註冊一個解決方案包,或者和其它微軟產品做集成,都需要Form administrators組的權限,但是Form administrators組的賬戶會對所有網站集具備權限嗎?
不會,如果網站集管理員,沒有爲Form administrators配置網站集權限,那麼即使是Form administrators 也不能訪問網站集。
在正常情況下,Form administraors可以通過第一次運行產品配置嚮導設置,或者在SharePoint管理中心 --- 安全性--- 管理服務器場管理員組 中,將人員添加到Form Administrators。
Delegated Administrators:此權限組的用戶,對於SharePoint管理中心網站,具備了參與討論的權限,即被委派的管理中心管理員,具備了有限的管理中心權限。該權限組的成員,可以在SharePoint管理中心 --- 安全性 --- 網站權限 中進行添加。
以上兩個權限爲SharePoint管理中心的管理賬戶,SharePoint管理中心中,也可以針對於管理賬戶執行自動密碼修改動作,密碼過期通知動作,例如,您對SharePoint的服務應用程序設置了單獨的服務賬戶,一旦服務賬戶密碼過期,或者密碼修改了,服務應用程序可能就會停止使用,這個時候,您就可以起提前創建一個密碼更改計劃,密碼過期由SharePoint自動更改密碼。
這裏有一點需要說明,如果SharePoint管理員希望委派另外一個管理員來管理SharePoint場,除了要賦予場管理,額外還要在指定的Web應用程序中賦予完全控制權限,以及網站集管理員。否則管理員只可以管理SharePoint管理中心而不可以管理網站集。
以上簡單的介紹了一下SharePoint管理中心相關權限,那麼網站集權限呢?
在SharePoint的網站體系架構中,最上層是SharePoint 應用程序,下一層是網站集,網站集是一個類似於根網站的級別,可以在網站集下面再建立多個網站,在每一個網站中,又可以建立多個庫,列表,webpart。
所以,在SharePoint中,如果管理員針對於網站集進行了授權,那麼這個權限會繼承到網站,網站的權限又會繼承到下面的,庫,列表,webpart。
那麼,是不是說,每一個庫,列表,webpart,都需要有單獨的權限配置呢,因爲在庫中的權限類肯定和網站類不一樣。其實在SharePoint的網站權限設置過程中,網站權限的內容,就直接包括了,下面的庫權限,例如網站權限設置爲僅讀取,那麼對應到庫權限,可能就是查看項目,查看應用程序。
在SharePoint中,除了庫權限,列表權限,還有一個比較特殊的權限是webpart權限,自從SharePoint 2007 開始,就有了一種特殊的權限設置方法,成爲 訪問羣體,舉個例子,我可以針對於一個webpart或者一個文檔庫,設置一個訪問羣體,例如,我的這個webpart,只允許IT部門查看,我就可以在webpart裏面,添加IT部門的羣體,添加好了之後,只有IT部門的人員登錄後,纔可以看到這個webpart 所謂目標訪問羣體,我的理解,就是根據規則,定義出來一個特徵,凡是符合這個特徵的,就自動進入這個羣體,SharePoint會根據timejob定期去搜索符合條件的目標,然後加入到羣體中。有了這個羣體後,SharePoint管理人員就可以在網站集中,針對於這個目標訪問羣體,來進行特定的授權,而不僅僅是添加安全組這樣簡單,後續的文章中,我也會爲大家實際講解目標訪問羣體的用法。
最後提一下個人權限,在SharePoint2010開始,SharePoint支持每個用戶可以創建自己的自助網站,個人網站,個人webpart,所謂個人webpart,也就是說,添加了webpart之後,只有自己能看見,別人是看不到的。也就是相當於賦予了用戶diy自己網站的視覺權利。而且用戶在個人網站視圖,個人webpart編輯的內容,不會影響到別人,以及網站的使用。
關於SharePoint權限的詳情請參考https://technet.microsoft.com/zh-cn/library/cc721640.aspx
