.png "Model zabezpieczeń SharePoint cz.1"){kind=icon}
.png "Bezpieczna platforma SharePoint")
.png "Model zabezpieczeń SharePoint cz.3"){kind=icon}
Model zabezpieczeń SharePoint cz.2 .png "Udostępnij na: Facebook")
Autor: Łukasz Falaciński, Łukasz Zajączkowski
Opublikowano: 2012-04-26
W pierwszym artykule przedstawiliśmy schemat wbudowanego modelu uprawnień na platformie SharePoint 2010, wskazaliśmy również, jakie obiekty wchodzą w jego skład. W tym artykule omówimy jeden z elementów modelu zabezpieczeń – grupy. Jak widać na Rys. 1., grupy należą do obiektów, którym nadajemy uprawnienia.
.jpg "Grupy w modelu zabezpieczeń SharePoint")
Rys. 1. Grupy w modelu zabezpieczeń SharePoint.
W poprzednim artykule wspomnieliśmy o różnicach pomiędzy grupami w usłudze Active Directory, które w tym modelu możemy wykorzystać, a grupami SharePoint. Poniżej opiszemy rodzaje grup SharePoint.
Grupy wbudowane
Po utworzeniu kolekcji witryn lub kolejnej witryny na portalu będziemy mieć do dyspozycji kilka wbudowanych grup, pozwalających nadać użytkownikom najczęściej używane poziomy dostępu do obiektów. Grupy, które są tworzone niezależnie od wybranego szablonu witryny:
- odwiedzający witrynę (Visitors). Grupa nadająca uprawnienia odczytu witryny – użytkownicy mogą czytać strony, otwierać elementy list oraz dokumenty w bibliotekach,
- członkowie witryny (Members). Grupa nadająca uprawnienia modyfikacji – użytkownicy mogą czytać strony, otwierać i modyfikować (dodawać, edytować, usuwać) elementy list oraz dokumenty w bibliotekach,
- właściciele witryny (Owners). Grupa nadająca uprawnienia pełnej kontroli – użytkownicy mogą modyfikować strony, a także zmieniać uprawnienia.
Korzystając z różnych szablonów witryn zauważymy, że niektóre z nich będą korzystać z dodatkowych grup. Jeśli wybierzemy szablon z grupy witryn publikowania, do dyspozycji będziemy mieć dodatkowo następujące grupy:
- osoby odwiedzające (Viewers) – uczestnicy mogą czytać strony, elementy list i dokumenty w bibliotekach,
- osoby zatwierdzające (Approvers) – uczestnicy mogą zatwierdzać i zmieniać elementy podczas publikacji,
- projektanci (Designers) – uczestnicy mogą modyfikować strony, korzystając z przeglądarki lub aplikacji SharePoint Designer,
- czytelnicy biblioteki stylów (Style Resource Readers) – uczestnicy tej grupy mogą tylko czytać strony wzorcowe i bibliotekę stylów.
- użytkownicy funkcji Szybkiego Rozmieszczania (Quick Deploy Users) - uczestnicy tej grupy mogą planować zadania szybkiego rozmieszczania, czyli uproszczonego publikowania treści,
- menedżerowie hierarchii (Hierarchy Managers) – uczestnicy mogą tworzyć foldery, listy i biblioteki (także mogą nimi zarządzać),
- czytelnicy z ograniczeniami (Restricted Users) – uczestnicy mogą czytać tylko wybrane elementy strony, list czy bibliotek.
Grupy niestandardowe
W wielu przypadkach okaże się, że grupy wbudowane są niewystarczające. Mamy wtedy możliwość utworzenia grup niestandardowych. Scenariusze, w których grupy niestandardowe mogą okazać się przydatne, to sytuacje, gdy:
- mamy więcej ról użytkowników niż rodzajów grup wbudowanych,
- chcemy nieznacznie zmodyfikować poziomy uprawnień (np. chcemy odebrać tylko możliwość usuwania dokumentów z bibliotek, pozostawiając użytkownikom możliwość dodawania i edytowania dokumentów), a nie chcemy modyfikować uprawnień dla wbudowanych grup,
- chcemy zachować relację jeden do jednego grup Active Directory (przez które de facto będziemy nadawać uprawnienia) do grup SharePoint.
Grupy administracyjne
Platforma SharePoint 2010 pozwala również na przypisanie użytkowników do tzw. grup administracyjnych. Trzy rodzaje grup tego typu, które możemy wyróżnić, to:
administratorzy zbioru witryn (Site Collection Administrators). Podczas tworzenia zbioru witryn wskazujemy głównego administratora (istnieje również możliwość podania drugiej osoby, jako alternatywnego administratora kolekcji). Administratorzy zbioru witryn mają następujące uprawnienia:
— pełna kontrola do witryn w zbiorze,
— pełna kontrola do wszystkich elementów na witrynach (listy, biblioteki),
— nadawanie uprawnień, tworzenie poziomów uprawnień oraz tworzenie grup SharePoint.Powyższych uprawnień nie można nadpisać (odebrać) na poziomie zarządzania witrynami, np. osoba, która ma przypisane uprawnienia pełnej kontroli do portalu (dzięki temu, że znajduje się w grupie Właścicieli Portalu), nie może zablokować uprawnień administratora zbioru witryn z poziomu wybranej witryny w kolekcji - można to zrobić jedynie z poziomu witryny Centralnej Administracji,
administratorzy farmy (SharePoint Farm Administrators). Grupa, do której dodajemy użytkowników z poziomu witryny Centralnej Administracji (domyślnie znajduje się w niej konto użytkownika instalującego pierwszy serwer w farmie). Administratorzy farmy posiadają następujące uprawnienia:
— dodawanie/usuwanie serwerów w farmie,
— uruchamianie usług na serwerach w farmie,
— tworzenie aplikacji Web,
— tworzenie kolekcji witryn.Administratorzy farmy nie posiadają domyślnie uprawnień do informacji zawartych w zbiorach witryn (oczywiście mogą zarządzać grupami administratorów zbioru witryn, a tym samym w sytuacjach awaryjnych nadać sobie lub komuś uprawnienia administracyjne),
administratorzy Systemu Windows (Windows Administrators). Do tej grupy należą użytkownicy posiadający uprawnienia lokalnego administratora na serwerach systemu SharePoint, należących do farmy. Administratorzy Systemu Windows posiadają następujące uprawnienia:
— mogą wykonywać te same akcje, które przypisane są do grupy Administratorów Farmy,
— mogą instalować nowe produkty i aplikacje na serwerze (aktualizacje, oprogramowanie antywirusowe, etc.),
— mogą dodawać komponenty do Global Assembly Cache (GAC),
— mogą korzystać z SharePoint Management Shell (oraz z stsadm).
Podsumowanie
W tym artykule poznaliśmy rodzaje grup SharePoint, za pomocą których możemy nadawać uprawnienia. Nauczyliśmy się również odróżniać grupy wbudowane oraz grupy administracyjne od grup niestandardowych, które możemy sami utworzyć.
W kolejnym artykule nauczymy się zarządzać uprawnieniami – opiszemy różnice pomiędzy uprawnieniami jednostkowymi i poziomami uprawnień, powiemy jak przypisywać uprawnienia do użytkowników i grup oraz pokażemy, jak tworzyć niestandardowe poziomy uprawnień.