授权、用户和组
上次修改时间: 2010年4月14日
适用范围: SharePoint Foundation 2010
在 Microsoft SharePoint Foundation 中,通过基于角色的成员身份系统控制对网站、列表、文件夹和列表项的访问,此系统向用户分配授权他们访问 SharePoint Foundation 对象的角色。
若要向用户授予对象访问权限,可通过两种方法来实现:一是将用户添加到已经拥有该对象权限的组中,二是创建一个角色分配对象,为该角色分配设置用户,然后可以选择将该角色分配与具有基本权限的适当角色定义绑定,最后将该分配添加到列表项、文件夹、列表或网站的角色分配集合中。如果向用户分配角色时没有将角色分配与角色定义绑定,则用户没有权限。
SharePoint Foundation 提供了下列方式来控制对其对象的访问:
对象可以使用与父网站、列表或文件夹相同的权限,并继承父对象上可用的角色和用户,对象也可以使用独有权限。
网站、列表、文件夹和项目各自提供角色分配集合,从而可以精细管理用户对对象的访问。
组由用户组成,可能分配也可能没有分配角色。默认情况下,SharePoint Foundation 包括以下三个组:
owners(管理员)
members(参与者)
visitors(读者)
在通过用户界面创建具有独有权限的网站时,您将被定向到一个页面,您可以在其中将用户分配给这些组,作为设置网站的一部分。
利用匿名访问,用户可以匿名参与列表和调查或者匿名查看页面。您还可以向"所有已验证用户"授予访问权,以允许域中的所有成员访问网站,而不必启用匿名访问。
网站创建权限(CreateSSCSite 和 ManageSubwebs)控制用户能否创建首要网站、子网站或工作区。
用户间接通过具有角色分配的组、或者直接通过角色分配成为 SharePoint 对象的成员。此外,用户还可以是添加到某个组或角色中的 Microsoft Windows NT 域组的成员。角色定义将用户或组与对应于 Microsoft.SharePoint.SPBasePermissions 枚举值的单个权限或权限组相关联。每个用户或组都具有唯一成员 ID。
可以使用对象模型来创建或修改角色分配和定义,这与通过 addrole.aspx 和 editrole.aspx 文件执行操作不同。与用户界面中呈现的这些页面不同,对象模型不强制权限依赖性,因此您可以使用任意权限组合来创建角色定义。但是,在使用对象模型自定义角色定义和权限时,一定要周密规划,因为构思粗糙的角色定义和不适当的权限分配会导致不愉快的用户体验。
有关 SharePoint Foundation 权限的详细信息,请参阅 SPBasePermissions。
安全策略
安全策略提供了一种强制 Web 应用程序(虚拟服务器)内所有网站集的安全性保持一致的手段。通过策略,您可以向各个 SharePoint Foundation 用户以及使用 Windows 身份验证或可插入验证系统的域组分配角色或权限集,但不能向 SharePoint 组分配。每个策略项可为 Web 应用程序中的用户或组指定权限。
可在逻辑 Web 应用程序级别或区域级别设置策略。例如,用户可以在 https://Server 和 http://Server.extranet.microsoft.com 上设置不同的策略,即使这两个 Web 应用程序具有相同的内容也是如此。
可以通过策略来授予或拒绝权限。授予权限会将该权限授予 Web 应用程序内所有安全对象上的用户或组,而不管对象上的本地权限是什么。拒绝权限优先于授予权限,它主动阻止 Web 应用程序内所有安全对象上的用户或组的该权限。拒绝用户的所有权限会阻止该用户访问任何内容,即使该用户拥有特定内容的显式权限:策略优先于网站级别权限。
在策略角色中,用户和组由其安全标识符 (SID) 和登录名或用户名标识。应用策略角色类似于管理网站、列表、文件夹或文档的权限:添加用户或组,然后将其分配给一个或多个角色定义。每个 Web 应用程序都有自己的策略角色。策略角色与管理权限之间的另一个区别是中心管理员可以拒绝整个 Web 应用程序中某个用户的某种权限。
备注
集中管理策略角色不同于网站集的角色定义。