セキュリティ、ユーザー、グループの概要
SharePoint 製品およびテクノロジ (2003) |
セキュリティ、ユーザー、グループの概要
Microsoft Windows® SharePoint™ Services 2.0 では、Web サイトへのアクセスをメンバシップ システムによって制御します。このメンバシップ システムでは、ユーザーがアクションの実行権限に直接または間接的に関連付けられます。Windows SharePoint Services では、以下に挙げる権限によってサイトへのアクセスを制御することができます。
サイト グループ どのユーザーがどのアクションをサイト内で実行できるかを指定します。各ユーザーが 1 つ以上のサイト グループのメンバとなり、各サイト グループには対応する権限が割り当てられます。サイト グループに割り当てられた権限を変更できるほか、サイト グループを作成して特定の権限を割り当てたり、使用されていないサイト グループを削除したりすることもできます。管理者サイト グループおよびゲスト サイト グループの権限は変更できません。
サイト グループは Web サイトごとに定義します。管理者サイト グループには、特定の Web サイトの管理者だけが属します。サーバー コンピュータ上にあるすべての Web サイトおよび仮想サーバーの設定にかかわる管理タスクを実行できるのは、そのサーバー コンピュータの管理者 (ローカル管理者) または SharePoint 管理者グループのメンバだけです。管理者サイト グループのメンバがそのような管理タスクを実行することはできません。
クロスサイト グループ ユーザーのグループで構成され、サイト コレクションに含まれる Web サイトのサイト グループに割り当てられます。Windows SharePoint Services には、既定のクロスサイト グループは定義されていません。
匿名アクセス ユーザーが匿名でリストやアンケートに投稿したり、ページを匿名で参照したりすることができます。"すべての認証済みのユーザー" へのアクセスを許可することによって、ドメインのすべてのメンバが匿名アクセスを使用せずに Web サイトにアクセスできるようにすることも可能です。
リストごとの権限 固有の権限を設定することによって、リスト単位で細かく権限を管理できます。サイトの場合と異なり、ユーザーを追加するときにリストに対する権限を指定することができます。このときユーザーは、自動的に現在のサイトのゲスト サイト グループに割り当てられます。ただし、これは現在のサイトが親サイトの権限を継承していない固有のサイトである場合です。現在のサイトが親サイトの権限を継承している場合は、上位の固有サイトのゲスト サイト グループに追加されます。
サブサイト 親 Web サイトと同じ権限を使用する (親 Web サイトのサイト グループおよびユーザーを継承する) こともできれば、固有の権限を使用することもできます。
サイト作成権 (CreateSSCSite と ManageSubwebs) ユーザーに対し、トップレベル Web サイト、サブサイト、またはワークスペースの作成を許可または禁止します。
権限とサイト グループの詳細については、「SPRights 列挙型」および「SPRoleType 列挙型」を参照してください。
次の図は、ユーザーがどのようにサイトまたはリストのメンバになるかを示したものです。
この図を見るとわかるとおり、ユーザーはサイト グループに直接または間接的に追加されることによって、サイトのメンバとなります。ユーザーを直接サイト グループに追加することもできれば、サイト グループのメンバであるクロスサイト グループに追加することも可能です。または、サイト グループに追加される Microsoft Windows NT® ドメイン グループのメンバとすることもできます。この図を見ると、特定の権限を指定して、ユーザーをリストに直接追加できることがわかります。ユーザー、サイト グループ、クロスサイト グループには、それぞれ一意なメンバ ID が割り当てられます。
ユーザーまたはグループの権限は、列挙型 SPRights の値に対応する 1 つまたは複数の権限で構成され、これらの権限が "権限マスク" を形成します。詳細については、「PermissionMask プロパティ」を参照してください。SharePoint オブジェクト モデルの型およびメンバを使用するカスタム コードを実行するためには、ユーザー インターフェイスを使用してサイトやリストを操作する場合と同じように、ユーザーおよびグループに適切な権限を割り当てる必要があります。ただし、ユーザー インターフェイスとは異なり、権限はオブジェクト モデル内の他の権限には依存しません。権限は、他の権限との依存関係なしで個別に割り当てることができ、ユーザーおよびグループにどのような組み合わせでも割り当てられます。オブジェクト モデルを使用して権限をカスタマイズする場合は注意が必要です。権限の割り当てが不適切であると、ユーザー エクスペリエンスの質が低下する可能性があるからです。
このようなメンバシップ システムによってサイトへのアクセスを制御できるだけでなく、Windows SharePoint Services では以下のテクニックを使用してサイトのセキュリティを設定することもできます。
ユーザー認証 インターネット インフォメーション サービス (IIS) の認証方式に基づくプロセスであり、Web サイトまたはネットワーク リソースにアクセスしようとしているユーザー アカウントを検証します。
SharePoint 管理者グループ Windows SharePoint Services の管理タスクを実行する権限を与えられた Microsoft Windows ユーザー グループ。Windows SharePoint Services をインストールするためには、サーバー コンピュータのローカル管理者グループのメンバであることが必要です。ただし、ローカル管理者グループだけでなく、Windows SharePoint Services への管理者アクセス権が与えられたドメイン グループを使用することもできます。ローカル管理者グループではなく、このドメイン グループにユーザーを追加することによって、Windows SharePoint Services への管理者アクセス権とローカル サーバー コンピュータへの管理者アクセス権を別にすることができます。
SharePoint 管理者グループのメンバには IIS メタベースへのアクセス権がないため、以下のアクションを実行することはできません。
- 仮想サーバーの拡張。ただし、トップレベル Web サイトの作成や仮想サーバーの設定変更は可能です。
- パスの管理。
- SharePoint 管理者グループの変更。
- 構成データベース設定の変更。
- Stsadm.exe コマンド ライン ツールの使用。
SharePoint 管理者グループとローカル管理者グループのメンバには、それぞれのサーバー上に作成されたすべてのサイトを参照および管理する権限が与えられます。したがって、サーバー管理者は、ドキュメントやリスト アイテムの参照、アンケート設定の変更、サイトの削除ができる他、サイトまたはサイト コレクションの管理者サイト グループのメンバであるユーザーが実行可能なアクションも実行できます。
管理ポート セキュリティ Windows SharePoint Services の管理ポートへのアクセスを制御する手段です。管理ポートをセキュリティで保護するには、SSL (Secure Sockets Layer) を使用するか、ファイアウォールを構築して管理ポートへの外部からのアクセスを拒否します (両方の対策を講じることもできます)。
Microsoft SQL Server™ 接続セキュリティ データを保護する方法の 1 つ。Windows NT 統合認証または SQL Server 認証を使用して、構成データベースおよびコンテンツ データベースに接続します。
ファイアウォール保護 ファイアウォールによって、インターネット上の個人や組織にデータが漏洩することを防止できます。Windows SharePoint Services は組織内だけでなく、ファイアウォール越しでも動作できます。
Windows SharePoint Services のセキュリティに関連するテクノロジの詳細については、「Windows SharePoint Services 管理者ガイド」を参照してください。