简介：控制用户访问权限

转：http://office.microsoft.com/zh-cn/sharepoint-server-help/HA101794487.aspx

本主题介绍了了三种配合使用的安全功能，用于控制用户对网站及网站上内容的访问权限，还介绍了您必须具有何种访问权限级别才能使用这些功能。

 注释    本文的目的是为构成权限的元素提供概念性介绍。有关如何更改网站的权限设置的分步演练，请参阅路线图：为网站授予权限。有关如何为列表、库或项目设置权限的分步指南，请参阅编辑列表、库或单个项目的权限。

本文内容

 

---

• 明确权限设置范围
• 明确权限的组成部分
  • 安全组
  • 当人员具有需要类似级别的访问权限的任务时，将其分为一组
  • 示例：默认 SharePoint 组按可能的任务和访问级别为人员分组
  • 为组分配的何种权限级别决定了组的访问权限级别
  • 权限级别
  • 网站、列表和个人权限组合构成了权限级别
  • 默认权限级别对应于默认组，以将访问权限与任务相匹配
  • 查看您的网站的权限级别
  • 权限继承
  • 使用权限继承高效控制用户访问权限
  • 编辑列表、库或项目的权限：中断权限继承

 

---

明确权限设置范围

三种功能（安全组、权限级别和权限继承）在后台相互作用，以决定用户可以查看和使用的网站及内容。它们总称为权限设置。

如果您在某个网站中操作，则您同时也是在某个网站集内进行操作。每个网站都存在于一个网站集中。网站集包括一组网站以及位于单个顶级网站下的内容。

网站集的初始权限设置由网站集管理员创建。默认情况下，管理员为网站集做出的设置可应用于网站集的的网站和子网站。大多数网站拥有一个或多个网站所有者，可对网站集管理员建立的设置进行更改。

下图显示了网站集以及网站集可能包含的网站类型和内容。

网站集管理员确定了整个网站集的初始权限设置。网站集中的所有子网站和内容都将继承网站集管理员为顶级网站选择的权限设置。

如果您是网站集管理员，则意味着：

• 您应该与创建网站集的人员密切协作。
• 您要负责确定哪些用户有权访问存储在组织网站上的重要知识产权（即负责设置网站集级别的权限）。

如果您是网站所有者，或负责限制对特定内容项目的访问权限，则可使用网站的权限设置自定义您所在区域的权限设置。

明确权限的组成部分

从根本上讲，您通过授予或限制用户访问权限来管理权限设置。这条原则适用于很多不同角色，无论您是网站集管理员、网站所有者还是只是使用单个文档的用户。若要授予用户访问权限，您可以使用三种相互关联的功能：

• 安全组
• 权限级别
• 权限继承

最佳切入点是安全组。大多数情况下，只需通过使用安全组，您就能够进行有关控制访问的所有操作。权限级别和权限继承可在后台平稳运行。

安全组

安全组是需要在您的网站上执行相似类型的任务的所有人员（称为用户）的集合。例如，某些人员可能仅需要查看您的网站上的信息，而另一组用户可能还需要编辑该信息。

通过组，您能够同时控制很多用户访问网站的权限。

• 简化了您和后续网站所有者的网站维护任务，
• 确保执行类似任务的人员具有相同级别的访问权限，并且
• 帮助您确保人员只具有所需的访问权限，而不具有其他访问权限。

当人员拥有的任务需要类似级别的访问权限时，将其分为一组

以下是网站用户可能须执行的一些任务示例：

可以将这些用户组织到默认 SharePoint 组中，以按照用户须对网站执行的任务类型对他们进行分组。

安全组可以包含若干单个用户、可以容纳单个 Windows 安全组，或者也可以是这两者的组合。

根据组织或网站的规模和复杂程度的不同，您可以将用户分成任意数量的组。组是在网站集级别进行创建和管理的。

返回页首

示例：默认 SharePoint 组按可能的任务和访问级为人员分组

网站中最常用的默认组如下：

• 访问者
• 成员
• 所有者

这些组可帮助您轻松地对以类似方式使用网站的人员进行分类。有些人员只需要查看网站内容，有些人员需要编辑内容，还有些人员需要添加或编辑网站本身的元素。

或者，如下图所示，可以按如下方式将人员分配至组：

为组分配的何种权限级别决定了组的访问权限级别

分配给组的权限级别确保组成员对网站和内容具有所需的访问权限。

每个默认安全组都分配了默认权限级别，但是您还可以新建组或对任何现有组分配不同的权限级别。

 注释    可以基于 Windows 安全组创建 SharePoint 组，但是不能基于通讯组（也称为通讯组列表）创建 SharePoint 组。

默认情况下“完全控制”权限级别中包含“创建组”权限；分配的权限级别包含“创建组”权限的任何人都可以创建自定义 SharePoint 组。

要了解有关使用包括在 Active Directory 域服务中的安全组和通讯组的信息，请参阅选择安全组 (SharePoint Server 2010)。

权限级别

安全组分配了权限级别。权限级别是用户需要能够在您的网站上执行的任务组合，这些任务包括“查看网站上的页面”、“查看列表中的项”、“创建列表”或“向列表中添加项”等。

通过将共同关联的任务分组成权限级别，您可以同时为安全组授予对网站或内容项目执行很多任务的权限。

权限是您向用户授予的允许该用户在您的网站上执行某项操作的权力：查看、创建、删除或编辑内容。例如，您可以向用户授予使用列表、库或子网站的相应权限。

绝不要向某个组或人员授予一种权限，而应当分配权限级别（即权限组合或权限集）。

网站、列表和个人权限组合构成了权限级别

有三种类型的权限：

• 列表权限，向用户授予对列表和列表项目执行某些操作的权限，例如，添加或删除列表、添加或删除列表中的列，或者添加或删除列表中的项。
• 网站权限，向用户授予在网站和子网站级别执行某些操作的权限，例如，添加页面或子网站，或者管理其他用户的权限。
• 个人权限，向用户授予管理其自己的个人网站视图、创建列表或库的个人视图，以及添加或删除个人 Web 部件的权限。

权限级别是各个权限的组合。

同样，按照用户需要执行的任务类型将用户划分为安全组，将各个权限分组到权限级别中，这些权限级别是专为满足将使用这些权限级别的安全组（即用户）的要求而设计的。

默认权限级别对应于默认组，以将访问权限与任务相匹配

例如，完全控制权限级别是专为需要管理网站自身的人员而设计的，因此它包含最多的网站权限。具有完全控制权限级别的人员可以对网站自身的结构和组件执行任务，包括授予权限以及执行与列表、库和项目相关的所有任务。

所有默认安全组（例如，访问者、成员和所有者）均分配有默认的权限级别（例如，读取、参与和完全控制）。也就是说，每组人员都被授予了对特定工具集的访问权限，这些工具集适于用户必须执行的任务。

最常用的默认权限级别是基于彼此的关系建立的：

• 读取权限级别具有最少的权限。
• 参与权限级别包括读取级别中的所有权限及某些其他权限。
• 完全控制权限级别包括参与级别中的所有权限及某些其他权限：

返回页首

查看您的网站的权限级别

若要查看分配给网站的各个组的权限级别，请执行下列操作：

1. 单击“网站操作”，然后单击“网站权限”以查看权限页面。

在权限页面上，您可以看到每个权限级别的说明。

2. 在权限页面上，单击“权限级别”。

此时将打开“权限级别”页面，其中包含每个权限级别的说明和用于编辑权限级别的链接。

若要查看该权限级别中包含的各个权限，请执行下列操作：

1. 在“权限级别”列中单击权限级别的名称。

如果默认权限级别没有所需内容，您可以创建您自己的权限级别。

权限继承

默认情况下，网站和内容从网站层次结构中的上级网站（它们的父网站）继承组和权限级别。权限继承让您能够从一个位置（顶级网站）快速高效地管理您对网站及其所有子网站以及对网站及其子网站上所有内容的权限。

使用权限继承高效控制用户访问权限

利用权限继承，您可在一个位置对整个网站进行更改，并将这些更改延伸到使用该网站的所有用户以及他们使用的内容。

SharePoint 网站是以层次结构来构建的，父网站位于此层次结构的顶部。

在 SharePoint 网站集中，父级下的所有网站和内容都从该父级继承权限，也就是说，该父级下的所有网站和内容都使用与父级相同的用户组和权限级别，除非您专门更改它们：

图 2  默认情况下，列表、库、列表和库内的文件夹、项目和文件上的权限是从其父网站继承的。

您可为任何项目（无论该项目是子网站、库、库中的文件夹还是文件夹中的文档，可以是整个层次结构中的任何级别上的任何项目）授予自身的独有权限：这称为中断继承。

网站 B 中断了自父网站的继承。网站 B 的所有子网站从网站 B 继承新的权限设置。

为了便于维护和管理，我们建议尽可能少用中断继承。 这通常意味着网站的组织方式会使所有敏感材料都位于同一位置。然后您可以为特定的网站或库中断一次继承，而不是让各个文档分散在多个网站或库，您必须维护和跟踪独有权限。

当您查看的网站未从其父级继承权限时，将显示黄色状态栏以向您发出通知。在这种情况下，它使用的是“唯一权限”。

当您中断从父级的继承时，原先具有新的独有权限的项目将具有父级的相同权限，您可以编辑这些权限。无论您通过中断继承对该项目进行什么更改，都不会对父级产生影响。

权限继承意味着管理父网站的权限不仅会影响父网站，而且还会影响从父网站继承权限的所有子网站，因而在对权限级别进行任何更改时都应该仔细考虑。

 注意    从父网站继承权限的子网站的所有者可以编辑父网站的权限。请确保对父网站的权限所做的任何更改都适合父网站，以及所有继承这些权限的子网站。

编辑列表、库或项目的权限：中断权限继承

在某些情况下，您的网站可能包含应该仅允许特定的人员或组访问的内容。例如，如果网站上有一个列表包含敏感数据，您可能希望限制能够查看该列表的用户。

为此，您可以中断权限继承，然后在内容自身的权限页面上编辑内容的权限。

要了解如何限制访问权限的逐步流程，请参阅编辑列表、库或单个项目的权限。