SharePoint 权限说明

SharePoint 权限的目的

SharePoint 权限控制员工、合作伙伴、第三方供应商和其他人对 SharePoint 内容的访问权限。您可以选择谁可以阅读特定信息，谁不能。 SharePoint 权限不仅扩展到列表和文档库中的数据显示，还扩展到搜索结果甚至用户界面。例如，如果您没有特定文档列表的权限，那么在搜索结果中，您将看不到该列表中的任何文档。此权限模型有助于保护敏感数据不被不应查看或分发的人员访问。

SharePoint 管理角色

下图显示了每个主要 SharePoint 管理员角色可以管理哪些系统组件：

以下是 SharePoint 服务器组件和相应的管理角色：

服务器和场角色

• Windows 管理员 - 当 SharePoint 安装在 Window 服务器上时，该服务器上的本地管理员组会自动添加到 SharePoint 场管理员组。因此，这些本地管理员（Windows 管理员）对 SharePoint 场拥有完全控制权限 - 他们可以安装应用程序和软件并管理 Internet 信息服务 (IIS) 网站和 Windows 服务。但是，默认情况下，他们无权访问网站内容。
• 场管理员 — 场管理员组的成员对所有 SharePoint 场拥有完全控制权限；也就是说，他们可以在 SharePoint 管理中心为服务器场执行所有管理任务。例如，他们可以分配管理员来管理服务应用程序、功能和网站集。该组无权访问单个网站、网站集及其内容，但场管理员只需将自己添加到应用程序上网站集的管理员组即可轻松获得任何网站集的所有权并获得对其内容的完全访问权限管理页面。

共享服务角色

• 服务应用程序管理员 - 这些管理员由场管理员选择。他们可以为场中的特定服务应用程序配置设置。但是，他们无法创建服务应用程序、访问场中的任何其他服务应用程序或执行任何场级别的操作，例如拓扑更改。例如，场中搜索应用程序的服务应用程序管理员只能配置该应用程序的设置。
• 功能管理员 - 功能管理员与服务应用程序的一项或多项特定功能相关联。这些管理员可以管理服务应用程序设置的子集，但不能管理整个服务应用程序。例如，功能管理员可以管理 User Profile Service 应用程序的受众功能。

Web 应用程序角色

Web 应用程序级别没有唯一的管理员组，但场管理员可以控制其范围内的 Web 应用程序。 Farm Administrators 组的成员和本地服务器上的 Administrators 组的成员可以定义策略以在 Web 应用程序级别授予各个用户权限。可以使用以下政策：

• 匿名策略 — 定义应用于域中未经授权的用户的访问限制：无策略、拒绝写入访问或拒绝所有访问。
• 权限策略 - 定义一组可授予网站、库、列表、文件夹、项目、文档或其他实体的用户或 SharePoint 组的权限。您可以使用默认权限策略或创建自定义权限策略。
• 用户策略 - 一组高级权限，应用于 Web 应用程序并由所有网站集继承。使用用户策略，您可以向任何用户或 AD 组授予特定 Web 应用程序及其中的所有网站集的唯一权限。
• 用户权限 - 定义网站集管理员可以使用哪些高级权限来为特定 Web 应用程序创建唯一权限。 （我不知道为什么微软不把它称为“政策”，因为它的作用就像一个政策。）

我将在稍后讨论继承时详细讨论这些策略。

网站集角色

• 网站集管理员 - 这些管理员对网站集中的所有网站拥有完全控制权限级别。他们对该网站集中的所有网站内容具有完全控制访问权限，即使他们对该网站没有显式权限。他们可以审核所有站点内容并接收任何管理消息。可以在创建网站集期间指定主要和辅助网站集管理员。
• 网站所有者 - 默认情况下，网站所有者组的成员对该网站具有完全控制权限级别。他们可以在网站以及网站内的任何列表或库上执行管理任务。他们接收事件的电子邮件通知，例如待自动删除的非活动站点和站点访问请求。

默认 SharePoint 权限类型

默认情况下，SharePoint 定义以下类型的用户权限：

• 完全访问权限 — 用户可以管理网站设置、创建子网站以及将用户添加到组中。
• 设计 - 用户可以查看、添加、更新和删除批准和自定义，以及在网站上创建和编辑新的文档库和列表，但无法管理整个网站的设置。
• 贡献 — 用户可以查看、添加、更新和删除列表项和文档。这些权限是普通 SharePoint 用户最常见的权限，使他们能够管理网站上的文档和信息。
• 阅读 — 用户可以查看列表项、页面并下载文档。
• 编辑 - 用户可以管理列表和列表项并贡献权限。
• 仅查看 - 用户可以查看页面、列表项和文档。文档只能在浏览器中查看；它们无法从 SharePoint 服务器下载到本地计算机。
• 有限访问 - 用户可以访问共享资源和特定资产。有限访问旨在与细粒度权限（不是继承的、唯一的权限）相结合，使用户能够访问特定列表、文档库、文件夹、列表项或文档，而无需授予他们访问整个网站的权限。受限访问权限无法编辑或删除。

SharePoint 组

通过组向 SharePoint 网站分配权限的方法有两种：第一种是添加
第二种是授予 AD 安全组直接访问网站的权限，或者将其放入具有网站权限的 SharePoint 组中。

SharePoint 组使您能够管理用户组而不是单个用户。组可以包括在 SharePoint 中创建的个人用户，以及来自任何身份管理或域服务系统的用户或组，例如 Active Directory 域服务 (AD DS)、基于 LDAPv3 的目录、特定于应用程序的数据库和身份模型，例如Windows Live ID。

用户定义的 SharePoint 组没有网站的特定访问权限。您可以根据组织或站点的规模和复杂性将用户组织成任意数量的组。需要提及的一件重要事情是 SharePoint 组不能嵌套。

但是，还有一些预定义的 SharePoint 组可以授予成员特定的访问权限。一组预定义组取决于您正在使用的站点模板。以下是团队网站的预定义组及其对 SharePoint 网站的默认权限：

• 访问者 - 读取权限
• 成员 - 编辑权限
• 所有者 - 完全控制权限
• 查看者 - 仅查看权限

以下是发布网站模板的预定义组及其默认权限：

• 受限读者 - 可以查看页面和文档，但无法查看历史版本或有关权限的信息。
• 样式资源读者 - 拥有母版页库的读取权限和样式库的受限读取权限。默认情况下，所有经过身份验证的用户都是该组的成员。
• 设计人员 - 可以使用浏览器或 SharePoint Designer 查看、添加、更新、删除、批准和自定义网站页面的布局。
• 批准者 - 可以编辑和批准页面、列表项和文档。
• 层次结构管理器 - 可以创建网站、列表、列表项和文档。

请注意，所有这些组及其权限都可以更改。

最佳做法是将仅需要阅读信息的常规用户添加到访客组，并将需要创建或编辑文档的用户添加到成员组。这是因为成员组中的用户可以添加、更改或删除项目或文档，但无法更改网站结构、设置或外观。同样，访问者组中的用户可以查看页面、文档和项目，但无法执行添加或删除操作。

分配对象的权限

可以对各种 SharePoint 项目设置权限：

• SharePoint 场 - 管理权限
• Web应用程序 - 匿名策略、用户策略、用户权限
• 共享服务 - 服务应用和功能管理权限
• 网站集 - 网站集管理权限、权限
• 子网站 - 权限
• 文档库或列表 - 共享权限
• 文档库或列表中的文件夹 - 共享权限
• 单独文件 - 共享权限

权限分配的最佳实践

您有机会在各个级别上管理访问权限。如有必要，您可以在层次结构较低级别设置权限时创建例外（唯一权限），也可以停止权限的继承。例如，您可以创建对特定文档库的唯一权限，并防止它继承其父文档库的权限。

作为最佳实践，您应该尽可能详细地设计更高级别的权限结构，并最大限度地减少异常数量。您在不同级别创建的独特权限越多，审核和控制访问权限就越困难。请记住，有一些第三方工具可以简化权限审核和监控。例如，Netwrix Auditor for SharePoint 可以报告 SharePoint 权限的当前状态以及较早时间点的状态，并在有人更改权限时向您发出警报。

权限继承

默认情况下，子网站、库和列表从创建它们的网站（父网站）继承权限。此外，还有我之前描述的在 Web 应用程序级别定义的策略。所有网站集都继承来自 Web 应用程序的用户策略和匿名策略的权限，这些策略授予或拒绝对用户帐户的访问权限。 Web 应用程序还继承用户权限，这些权限定义可用于为网站集创建唯一权限的权限级别。 Web应用程序级别还具有权限策略，它定义了用户策略的高级权限类型。

如果打破权限继承，子网站、文档库、网站或文件将能够形成自己独特的权限，但是，如前所述，只有 Web 应用程序的用户权限所规定的权限级别可用。

因此，我们有两种类型的继承，它们与 Web 应用程序级别上配置的策略相关联：

1. 用户策略，由所有较低级别网站集继承。
2. 用户权限，由所有网站集高级权限继承；这种传承在较低层次是无法被打破的。

父级站点（项目列表、文档库）的任何权限更改都不会影响具有唯一权限的子元素，并且当与父级站点发生冲突时，唯一权限始终会获胜。

权限继承的最佳实践

当存在从父级继承的清晰的权限层次结构时，管理权限就会容易得多。当网站中的某些列表应用了细粒度（唯一）权限，并且某些网站具有具有唯一权限的子网站和其他具有继承权限的子网站时，这会变得更加困难。因此，最佳实践是尽可能安排站点和子站点、列表和库，以便它们可以继承父级的大部分权限。

以下是一个为您简化的复杂的 SharePoint 权限结构：

高级权限

SharePoint 中的默认组和权限级别提供了对多种类型的组织有用的通用权限框架。但是，它们可能无法准确反映用户的组织方式或他们在您的网站上执行的许多不同任务。如果默认权限级别不适合您的组织，您可以创建自定义组、更改特定权限级别中包含的权限或创建自定义权限级别。

SharePoint 网站权限

这些权限会影响站点和个人设置、Web 界面、访问和站点配置：

• 管理权限 - 在子网站上创建和更改权限级别并向用户和组分配权限。
• 查看网络分析数据 - 查看网站使用情况报告
• 创建子网站 - 创建子网站，例如团队网站、发布网站和新闻源网站
• 管理网站 - 执行网站的所有管理和内容管理操作
• 添加和自定义页面 - 添加、更改和删除 HTML 页面
• 应用主题和边框 - 将主题或边框应用到网站
• 应用样式表 - 将样式表（.CSS 文件）应用到网站
• 创建组 - 创建可在网站集中任何位置使用的用户组
• 浏览目录 - 使用 SharePoint 枚举网站中的文件和文件夹
• 使用自助网站创建 - 使用自助网站创建来创建网站
• 查看页面 - 查看网站中的页面
• 枚举权限 - 枚举网站、列表、文件夹、文档或列表项的权限
• 浏览用户信息 - 查看有关网站用户的信息
• 管理提醒 - 管理所有网站用户的提醒
• 使用远程接口 - 使用 SOAP、Web DAV、客户端对象模型或 SharePoint Designer 接口访问网站
• 使用客户端集成功能 - 使用在站点中启动客户端应用程序的功能（没有此权限的用户必须在本地下载文档，使用它们，然后上传修改后的文档）
• 打开 - 打开网站、列表或文件夹并访问该容器内的项目
• 编辑个人用户信息 - 更改自己的用户信息，例如更新电话号码或头衔或添加图片

SharePoint 列表权限

这些权限会影响列表、文件夹和文档的管理以及项目和应用程序页面的查看：

• 管理列表 - 创建和删除列表、列表列和列表的公共视图
• 覆盖列表行为 - 放弃或签入已被其他用户签出的文档
• 添加项目 - 将项目添加到列表，将文档添加到文档库
• 编辑项目 - 编辑列表中的项目和文档库中的文档，并自定义文档库中的 Web 部件页面
• 删除项目 - 从列表中删除项目，从文档库中删除文档
• 查看项目 - 查看列表中的项目和文档库中的文档
• 批准项目 - 批准或拒绝列表、项目或文档的新版本
• 打开项目 - 使用服务器端文件处理程序打开文档（文档不会下载到本地计算机）
• 查看版本 - 查看列表项或文档的过去版本
• 删除版本 - 删除列表项或文档的过去版本
• 创建警报 - 创建警报以跟踪列表、库、文件夹、文件或列表项的更改
• 查看应用程序页面 - 查看表单、视图和应用程序页面

SharePoint 个人权限

这些权限影响个人页面的配置和管理：

• 管理个人视图 - 创建、更改和删除个人列表视图
• 添加/删除个人 Web 部件 - 添加或删除个人 Web 部件
• 更新个人 Web 部件 - 在个人 Web 部件中添加或编辑个性化信息