像专业人士一样管理 SharePoint 权限

作为 IT 或 SharePoint 管理员，您必须管理场的安全性，包括正确配置需要访问 SharePoint 的服务帐户和最终用户。在这里，我们探讨 SharePoint 中的权限如何工作以及使用它们来最大限度地提高 SharePoint 安全性和采用率的最佳实践。

了解 SharePoint 身份验证和授权

访问控制依赖于身份验证（验证用户是否是他们声称的身份）和授权（确定用户应该有权访问哪些内容）。 SharePoint执行授权，但不执行任何身份验证；它依赖于底层的 Internet 信息服务 (IIS) 和身份验证提供程序来处理该问题。

自 SharePoint 2010 以来，标准身份验证一直是基于声明的身份验证。有不同类型的基于声明的身份验证；行业标准包括 WS-Federation、安全断言标记语言 (SAML) 和 OAuth。然而，Microsoft 在 SharePoint 中内置了一个声明引擎，即安全令牌服务 (STS)，它可以理解许多不同的身份验证方法。 SharePoint 开箱即用，支持标准 Windows 身份验证（NTLM、Basic 和 Kerberos）、基于表单的身份验证 (FBA) 和 SAML。

可授予权限的实体

SharePoint 中的授权由分配给以下实体的权限控制：

• 活动目录组
• 基于表单的身份验证提供的角色
• SAML 属性
• SharePoint 组
• 特定用户（尽管最佳实践建议不要在 SharePoint 中分配此级别的权限）

可以授予权限的对象

SharePoint 支持多种对象的权限：

• 农场
• 服务申请
• Web应用程序
• 网站收藏
• 地点
• 列表
• 图书馆
• 文件夹
• 物品

对于所有这些对象，您可以将权限分配给上一节中列出的实体，例如 SharePoint 安全组、角色、属性或特定用户。 （但是，如前所述，最佳实践是使用安全组或角色来分配用户权限，而不是直接向用户帐户添加权限。）

对象的权限分配决定是否授予或阻止对其的访问。例如，典型的 SharePoint 用户无法访问服务器场、服务应用程序甚至 Web 应用程序级别；相反，他们将使用相应的 SharePoint 权限组被授予对网站集级别或更低级别的数据的权限。

请注意，最佳实践还建议尽可能避免分配 SharePoint 项目级权限，因为这会使管理复杂化并可能导致安全疏忽。通常，您可以简单地对 SharePoint 列表、文档库或文件夹中分配了所需权限的项目进行分组。然而，有时可能需要项目级权限来满足特定需求，特别是在没有第三方权限管理解决方案的情况下。如果自定义项目级权限是满足业务需求的唯一选项，那么管理员应将其使用限制在特定位置，并围绕其创建严格的工作流程，记录和审查何时授予或更改项目级权限以及执行者。

如何分配和编辑 SharePoint 权限

管理 SharePoint 资源权限的能力主要限于网站集管理员（可以管理根网站及其所有子网站）和网站所有者组（可以管理特定子网站）的成员。但是，任何最终用户都可以编辑对其拥有的内容和位置的权限。

要修改网站集或网站的权限，网站集管理员或网站所有者应选择“网站设置”并编辑 SharePoint 权限；较低级别的权限（例如文档库或列表的权限）可在这些特定安全对象的设置页面中访问。

了解和使用权限级别

默认权限级别

SharePoint 使用权限级别来控制对对象的访问。有十个默认权限级别：

• 完全控制
• 贡献
• 读
• 设计
• 编辑
• 访问权限有限
• 批准
• 管理层次结构
• 限制阅读
• 只读

每个权限级别都是各个权限的容器。例如：

• 读取权限级别包括以下权限：打开、查看、版本、页面、应用程序页面、用户信息、创建警报、自助站点创建、远程接口和 UseClient 集成功能。
• 贡献权限级别包括读取级别中的所有权限以及查看、添加、更新、删除、版本、浏览目录、编辑用户信息、管理个人视图、添加、更新或删除 Web 部件。
• 完全控制权限包括“读取”和“贡献”的所有子权限以及额外权限。

通常，最终用户会被分配对他们经常使用的私人站点的“贡献”访问权限，以及对其他所有内容的“仅查看”访问权限。

自定义权限级别

SharePoint 并不包含组织可能需要的每个权限级别，因此它使您能够从头开始或通过克隆现有权限级别并进行权限更改来自定义权限级别并创建新的权限级别。拥有定制的精细权限集使您能够更好地控制最终用户可以执行的操作，而无需承担直接向单个用户分配权限的所有复杂性和风险。

自定义现有权限级别

导航到“站点设置”页面，单击“站点权限”，然后单击“权限级别”菜单。要自定义现有权限级别，请在“权限级别”页面上单击其名称。在“编辑权限级别”页面上，更改描述并根据需要添加或删除权限。

从头开始创建新的自定义权限级别

要创建新的自定义权限级别，您必须以 SharePoint 场管理员、网站集管理员或网站所有者身份登录。导航至“站点设置”页面，然后单击“站点权限”。接下来，单击“权限级别”菜单项：

在“添加权限级别”页面上，输入新权限级别的名称和说明。然后选中您希望新权限级别包含的列表、站点和个人权限旁边的复选框。最后，点击“创建”。

通过克隆创建新的自定义权限级别

要克隆现有权限级别，请访问相同位置，转至“权限级别”页面，然后单击要克隆的权限级别。

然后单击“复制权限级别”按钮，命名新的权限级别，根据需要进行修改，然后保存。

了解权限继承

网站集中元素的权限设置将传递给该元素的子元素：网站从网站集的根网站继承权限，库从包含该库的网站继承权限，等等。权限继承使您能够在较高级别进行一次权限分配，然后将其传递到较低级别。

正如您可以想象的那样，该模型并不能满足所有安全要求。例如，多个用户可能需要访问某个文档库，但只有少数用户应该能够阅读该库中的文档之一。同样，您可能还需要：

• 子网站权限与父网站集的权限不同
• 与父站点不同的列表或库权限
• 与父库不同的文件夹权限
• 与父库或文件夹不同的文件权限

打破权限继承

目前，实现这些目标的唯一方法是打破特定项目的继承。您可以根据需要编辑用户权限，删除不需要的权限。此策略很有效，但为特定用户帐户分配唯一权限会带来管理难题，并可能引入安全漏洞。因此，您应该尽可能避免破坏继承。

要中断给定对象的继承，请选择要中断继承的对象，选择“停止继承权限”，然后根据需要删除或添加用户或组。

正确设置 SharePoint 权限并对其进行有效管理可以决定您的 Microsoft SharePoint 投资的成败：过多的限制可能会导致采用率下降，但无限制的访问可能会导致环境混乱和安全问题。要获得正确的平衡，需要在 SharePoint 实施之前仔细规划，并在实施后定期进行审查和风险评估，以确保 SharePoint 场的完整性和有用性。