ユーザー、グループ、および承認
Windows SharePoint Services 3.0 では、Web サイト、リスト、フォルダ、およびリスト アイテムへのアクセスは、ロール ベースのメンバシップ システムによって制御されます。このシステムでは、ユーザーにロールを割り当て、それによって Windows SharePoint Services オブジェクトへのアクセスを承認します。
ユーザーにオブジェクトへのアクセス権を与えるには、既にそのオブジェクトのアクセス許可を与えられているグループにそのユーザーを追加するか、ロールの割り当てオブジェクトを作成して、ユーザーにロールの割り当てを設定し、任意でそのロールの割り当てを基本的なアクセス許可を持つ適切なロール定義にバインドしてから、その割り当てを目的のリスト アイテム、フォルダ、リスト、または Web サイトに対するロールの割り当てのコレクションに追加します。ユーザーをロールに割り当てても、そのロールの割り当てをロール定義にバインドしていない場合、ユーザーにはアクセス許可が与えられません。
Windows SharePoint Services では、そのオブジェクトへのアクセスを制御するために以下の方法を提供しています。
オブジェクトには、親オブジェクトで有効なロールとユーザーの両方を継承して、親 Web サイト、リスト、またはフォルダと同じアクセス許可を使用するか、固有のアクセス許可を使用することができます。
各サイト、リスト、フォルダ、およびアイテムはロールに割り当てられたコレクションを提供するので、オブジェクトへのユーザーのアクセスを詳細に管理します。
Windows SharePoint Services 3.0 には、1 種類のグループだけが存在します。これは、従来クロスサイト グループと呼ばれていました。グループはユーザーで構成され、ロールに割り当てられている場合と、割り当てられていない場合があります。Windows SharePoint Services には、既定で以下の 3 つのグループが含まれています。
owners (管理者)
members (投稿者)
visitors (閲覧者)
ユーザー インターフェイスから固有のアクセス許可を持つ Web サイトを作成するときは、サイトの準備の一環として、これらのグループにユーザーを割り当てることのできるページが表示されます。
匿名アクセスを使用すると、ユーザーはリストおよびアンケートに匿名で投稿したり、ページを匿名で表示することができます。"すべての認証されたユーザー" にアクセス権を付与すると、匿名アクセスを有効にしなくても、ドメインのすべてのメンバが Web サイトにアクセスできます。
サイト作成権限 (CreateSSCSite および ManageSubwebs) は、ユーザーが最上位レベルの Web サイト、サブサイト、またはワークスペースを作成できるかどうかを制御します。
ユーザーは、ロールが割り当てられたグループを介して間接的に、またはロールの割り当てによって直接的に SharePoint オブジェクトのメンバになります。さらに、グループまたはロールに追加された Microsoft Windows NT ドメイン グループのメンバにもなれます。ロール定義は、Microsoft.SharePoint.SPBasePermissions 列挙の値に従って、ユーザーまたはグループに 1 つの権限または権限セットを割り当てます。各ユーザーまたはグループは、それぞれ固有のメンバ ID を持ちます。
オブジェクト モデルを使用して、addrole.aspx および editrole.aspx ファイルの機能を使用するのとは別に、ロールの割り当てと定義を作成したり変更したりすることができます。UI で表示されるこれらのページと違って、オブジェクト モデルは、権限の依存関係を強要しないので、権限を自由に組み合わせてロール定義を作成できます。ただし、オブジェクト モデルを使用してロール定義やアクセス許可をカスタマイズするときは注意が必要です。ロール定義に対する考慮が不十分であったり、権限の割り当てが不適切な場合、ユーザーが不愉快な思いをする可能性があります。
Windows SharePoint Services 権限の詳細については、「SPBasePermissions」を参照してください。
セキュリティ ポリシー
セキュリティ ポリシーは、Web アプリケーション (仮想サーバー) 内のすべてのサイト コレクションに一貫したセキュリティを実施する手段です。ポリシーを使用して、ロール、つまり権限のコレクションを、個々の Windows SharePoint Services ユーザーと、Windows 認証またはプラグ可能な認証システムを使用しているドメイン グループ (SharePoint グループを除く) に割り当てることができます。ポリシーの個々のエントリーは、Web アプリケーションのユーザーまたはグループに権限を指定します。
ポリシーは、論理 Web アプリケーションまたはゾーン レベルで設定されます。たとえば、2 つの Web アプリケーションのコンテンツが同じでも、ユーザーは https://Server と http://Server.extranet.microsoft.com に異なるポリシーを持つことができます。
権限は、ポリシーによって付与したり、取り消したりすることができます。権限を付与すると、オブジェクトのローカルなアクセス許可とは関係なく、ユーザーまたはグループに Web アプリケーション内のすべての保護されたオブジェクトに対する権限が与えられます。権限を取り消すと、与えられていた権限が無効になり、Web アプリケーション内のすべての保護されたオブジェクトに対するユーザーまたはグループの権限がブロックされます。あるユーザーの権限をすべて取り消すと、そのユーザーは、明示的なアクセス許可を持っている特殊なコンテンツも含め、すべてのコンテンツへのアクセスを阻止されます。ポリシーは、サイト レベルのアクセス許可を変更します。
ポリシー ロールでは、ユーザーとグループは、セキュリティ識別子 (SID) と、ログイン名またはユーザー名の両方を使用して識別されます。ポリシー ロールの適用方法は、Web サイト、リスト、フォルダ、またはドキュメントに対する許可の管理方法と同じです。ユーザーまたはグループを追加し、それに 1 つ以上のロール定義を割り当てます。ただし、Windows SharePoint Services オブジェクトへのアクセス許可と異なり、ポリシー ロールは、他の Web アプリケーションや、オブジェクトへのアクセス許可を管理するために使用されるコンテンツのロール定義と共用されることはありません。Web アプリケーションごとに、固有のポリシー ロールが存在します。ポリシー ロールとアクセス許可の管理のもう 1 つの相違点は、サーバー全体の管理者がユーザーの Web アプリケーション全体への権限を取り消すことができることです。
注意
サーバーの全体管理のポリシー ロールは、サイト コレクションのロール定義と異なります。