Книга: Microsoft Windows SharePoint Services 3.0. Русская версия. Главы 1-8

Управление пользователями и разрешениями узла

Управление пользователями и разрешениями узла

Службы Windows SharePoint обеспечивают безопасность информации на четырех уровнях:

1. уровень узла;

2. уровень списка или библиотеки документов;

3. уровень папки;

4. уровень элемента списка.

По умолчанию все списки наследуют разрешения узла, на котором находятся. Все папки наследуют разрешения списка, который их содержит. Все элементы списка наследуют разрешения папки, в которой находятся. Подробнее о безопасности списков, папок и элементов списков рассказывается в главе 4.

Если оставить переключатель Использовать разрешения родительского узла (Use Same Permissions As Parent Site), установленный по умолчанию, разрешения родительского узла будут проверяться каждый раз, когда пользователь посещает дочерний узел. Вариант Использовать собственные разрешения (Use Unique Permissions) первоначально предоставляет создателю узла единоличный доступ к узлу. Если установлен этот переключатель, первой страницей в процессе создания будет Настройка групп для этого узла (Set Up Groups For This Site).

Службы Windows SharePoint по умолчанию разделяют пользователей на три группы.

1. Посетители – пользователи или группы, которые могут только читать содержимое узла.

2. Члены – пользователи или группы, которые могут создавать и изменять содержимое, но не могут создавать списки и управлять членством в группах пользователей узла.

3. Владельцы – пользователи, отвечающие за все аспекты управления и поддержки узла.

Разрешения узла можно переключать между собственными и унаследованными, щелкнув на ссылке Дополнительные разрешения (Advanced Permissions) на странице Параметры узла (Site Settings) или на ссылке Пользователи и группы (People And Groups) в области быстрого запуска или разделе Пользователи и разрешения (Users And Permissions) на странице Параметры узла (Site Settings), а затем щелкнув на ссылке Разрешения для узла (Site Permissions) в левой панели навигации. На странице Разрешения (Permissions) выберите в меню Действия (Actions) команду Наследовать разрешения (Inherit Permissions), чтобы переключить узел, использующий собственные разрешения, на использование разрешений родительского узла. Перед переключением помнится диалоговое окно с предупреждением.

Если узел использует унаследованные разрешения, в меню Действия (Actions) можно выбрать команду Изменение разрешений пользователя (Edit Permissions), чтобы переключить узел на использование собственных разрешений. Перед переключением появится диалоговое окно с предупреждением.

Узел, использующий собственные разрешения, не имеет привязки к родительскому узлу, поэтому можно добавлять и удалять пользователей узла, независимо от того, имеют ли они разрешения на доступ к каким-либо другим узлам. Пользователи, добавляемые на узел, должны быть либо включены в группу SharePoint, либо связаны как минимум с одним уровнем разрешений.

Внимание! В предыдущих версиях служб Windows SharePoint группы SharePoint назывались межузловыми группами (cross-site groups).

С уровнями разрешений можно связывать не только отдельных пользователей, но и группы Windows (группы Windows NT, группы Active Directory или локальные группы). Это помогает обеспечивать должный уровень безопасности с минимальными усилиями. Однако пользователь может не иметь прав на управление группами Windows в своей организации.

Группы SharePoint поддерживаются на уровне семейства узлов и представляют наборы пользователей или групп с определившим набором разрешений и некоторыми управляющими атрибутами. При добавлении в группу SharePoint новых пользователей или групп пользователей эти пользователи получают разрешения, определенные в этой группе, на доступ к любому узлу.

Уровни разрешений – это именованные наборы разрешений, назначаемые группам и пользователям SharePoint. На любом узле SharePoint доступно пять стандартных уровней разрешений.

1. Чтение (Read) – пользователь может только просматривать информацию.

2. Участие (Contribute) – пользователь может просматривать, добавлять, обновлять и удалять данные.

3. Проектирование (Design) – пользователь может просматривать, добавлять, обновлять, удалять, подтверждать и настраивать.

4. Полный доступ (Full Control) – пользователь имеет полный доступ к узлу.

5. Ограниченный (Limited) – пользователь имеет доступ только к тем спискам, библиотекам документов, папкам, элементам списков или документам, на которые ему явно выданы разрешения.

Внимание! В предыдущих версиях служб Windows SharePoint уровни разрешений (permission levels) назывались группами узлов (site groups). В предыдущих версиях можно было перейти на страницу дополнительных параметров разрешений и выбрать отдельные разрешения для пользователя, группы или межузловой группы. В службах Window SharePoint версии 3.0 можно назначать только именованные уровни разрешений.

Хотя можно создать собственные уровни разрешений и даже изменить все уровни, кроме уровней Полный доступ (Full control) и Ограниченный (Limited), в большинстве случаев достаточно встроенных уровней. Используя стандартные уровни разрешений, Можно предоставить требуемый уровень доступа всем пользованиям узла.

Совет. Если анонимный доступ включен в провайдере аутентификации и не запрещен в политике администрирования, анонимные пользователи смогут получить некоторый уровень доступа ко всему узлу или к отдельным спискам. Это предоставляет центральному администратору возможность решать, следует ли предоставить анонимный доступ к определенному веб-приложению, прежде чем администраторы узла смогут включить эту возможность.

Совет. На странице Добавление пользователей (Add Users) любого узла можно предоставить всем пользователям, прошедшим аутентификацию, уровень доступа по умолчанию.

После того, как всем пользователям и группам назначены различные уровни разрешений, может случиться так, что один пользователь связан с несколькими уровнями. Вместо того, чтобы применять наиболее ограничивающий уровень разрешений, все права объединяются в кумулятивный список уникальных прав. Такое поведение можно переопределить только в политиках, соединяемых на странице центрального администрирования.

В следующем упражнении вы измените разрешения для дочерью узла, поменяв разрешения, унаследованные от родительского узла, на собственные. Затем вы добавите на дочерний узел пользователей, представляющих покупателей компании Wide World Importers, и предоставите им уровень разрешений Участие (Contribute).

Откройте дочерний узел Покупатели (Buyer), созданный в первом упражнении, введя в адресную строку обозревателя адрес http://widewordimporters/buyers. Если потребуется, введите имя пользователя и пароль, после чего щелкните ОК.

Убедитесь, что имеете достаточно прав для изменения разрешений узла. Если сомневаетесь, обратитесь к Приложению.

1. В меню Действия узла (Site Actions) выберите команду Параметры узла (Site Settings), чтобы открыть страницу Параметры узла (Site Settings).

2. В области Пользователи и разрешения (Users and Permissions) щелкните на ссылке Дополнительные разрешения (Advanced permissions), чтобы открыть страницу Разрешения (Permissions).

Заметьте, что в левой области навигации подсвечена ссылка Разрешения для узла (Site Permissions). На открывшейся странице показаны уровни разрешений, назначенные группам, связанным с текущим узлом. Так как этот дочерний узел наследует разрешения у родительского узла, на странице перечислены группы, связанные с родительским узлом.

3. В меню Действия (Actions) выберите команду Изменить разрешения (Edit Permissions), чтобы назначить для этого узла собственные разрешения.

4. Щелкните ОК, чтобы подтвердить изменение.

Обратите внимание, как изменилась страница. Теперь рядом с каждой группой расположены флажки, а в меню появились дополнительные команды. Чтобы вернуться к использованию унаследованных разрешений, нужно выбрать команду меню Наследовать разрешения (Inherit Permissions).

Внимание! Изменение группы SharePoint влияет на все узлы, списки, папки и элементы, которые используют эту группу.

5. В меню Создать (New) выберите команду Новая группа (New Group), чтобы открыть страницу Новая группа (New Group).

6. В текстовое поле Имя (Name) введите имя, например, Покупатели – участники.

7. Если нужно, введите в текстовое поле Обо мне (About Me) описание новой группы.

8. Выберите пользователя или группу в качестве владельца этой группы. По умолчанию выбран текущий пользователь, в нашем примере выбрана Ольга Костерина (Olga Kosterina).

9. Параметры в разделах Параметры группы (Group Settings) и Запросы на изменение состава группы (Membership Requests) оставьте без изменения.

10. Установите флажок Участие (Contribute), чтобы указать уровень разрешений.

11. Щелкните на кнопке Создать (Create), чтобы добавить новую группу.

Билл Мэлоун (Bill Malone) – основной покупатель компании Wide World Importers, поэтому ему нужно предоставить уровень разрешений Полный доступ (Full Control). Всех пользователей из группы Windows с именем Покупатели (Buyers) нужно связать с уровнем разрешений Участие (Contribute). Все остальные группы SharePoint следует удалить.

12. В меню Создать (New) выберите команду Добавление пользователей (Add Users), чтобы открыть страницу Добавление пользователей: Покупатели (Add Users – Buyers)

13. В текстовом поле Пользователи и группы (Users/Groups) введите имя пользователя, которому хотите предоставить полный доступ. В данном случае это пользователь с именем Билл Мэлуон (Bill Malone).

14. Установите переключатель Предоставить следующие разрешения (Give users permission directly).

15. Установите флажок Полный доступ (Full Control). Если службам SharePoint разрешена отправка электронной почты, можно отправить Биллу сообщение о том, что ему предоставлен полный доступ для этого узла.

16. Щелкните ОК, чтобы добавить разрешения пользователя (т.е. Билла) на узел.

17. В меню Создать (New) выберите команду Добавить пользователей (Add Users), чтобы отобразить страницу Добавление пользователей: Покупатели (Add Users – Buyers).

18. В текстовом поле Пользователи и группы (Users/Groups) введите имя группы, которой хотите предоставить разрешения на участие. В данном примере это группа Покупатели (Buyers).

Внимание! Обычно при добавлении пользователей и групп Windows используется формат «имя_доменаимя_пользователя» или «имя_доменаимя_группы», а имя компьютера не указывается. К счастью, службы Windows SharePoint выполняют поиск пользователей и групп Windows на локальном компьютере, даже если имена вводить не в этом рекомендуемом формате.

19. Установите переключатель Добавить (Add users to SharePoint Group).

20. В раскрывающемся списке выберите Покупатели – участники [Участие] (Buyers Members [Contribute]).

21. Щелкните ОК, чтобы добавить разрешения для этой группы (т.е. группы WindowsПокупатели) в группу SharePoint.

22. На левой панели навигации щелкните на ссылке Разрешения для узла (Site Permissions), чтобы вернуться на страницу Разрешения (Permissions).

23. Установите флажки рядом со всеми тремя группами SharePoint родительского узла. В меню Действия (Actions) выберите команду Удаление разрешений пользователя (Remove User Permissions).

24. В открывшемся диалоговом окне щелкните ОК, чтобы подтвердить изменение. Если щелкнуть на кнопке Отмена (Cancel), запрос на удаление будет отклонен.

Совет. На различных дочерних узлах, входящих в набор узлов, рекомендуется связывать каждого пользователя как минимум с уровнем разрешений Чтение (Read) на узле верхнего уровня. Если не связать пользователей хотя бы с одним встроенным уровнем разрешений на узле верхнего уровня, они не смогут использовать шаблоны узлов и списков, импортированные в набор узлов.

Закройте обозреватель.

Оглавление книги