SharePoint權(quán)限培訓文檔

1、.Permission一、SharePoint權(quán)限各Level操作位置31.Farm，Site Collection and Site Level32.Web Application Level33.List34.Folder to Item Level4二、SharePoint權(quán)限顯示分組41.Groups52.All People53.Site Permissions/ Permissions5三、SharePoint權(quán)限操作簡單說明51.Add Users62.New Group93.Remove Users from Group104.Group Settings105.View Gr

2、oup Permissions116.Set Up Groups for this Site117.Delete Users from Site Collection128.Remove User Permissions129.Edit User Permissions13四、Central Administration131.Farm Administrators132.Site Collection Administrators183.Advanced permissions18五、Web Application Level181.User Permissions for Web Appl

3、ication192.Policy for Web Application203.Manage Permission Policy Level234.Anonymous Access245.Anonymous User Policy28六、Content Database Level30七、Site Collection Level301.Site Collection Administrators302.Permission Levels33八、Site Level361.繼承狀態(tài)的站點：362.非繼承狀態(tài)的站點：39九、List Level471.繼承狀態(tài)的節(jié)點：482.非繼承狀態(tài)的節(jié)點：

4、49十、Folder Level511.繼承狀態(tài)的節(jié)點：522.非繼承狀態(tài)的節(jié)點：52十一、Item Level531.繼承狀態(tài)的節(jié)點：531.非繼承狀態(tài)的節(jié)點：53十二、需要特別說明的一些概念541.Farm Administrator542.Site Collection Administrator543.System Account544.Limited Access54一、 SharePoint權(quán)限各Level操作位置簡單說明各個Level權(quán)限操作在SharePoint【以下簡稱SP】中的位置。1. Farm，Site Collection and Site Level Site ac

5、tion Site Settings People and Groups2. Web Application Level Central Administration Application Management Application Security3. List List Settings Permission for this list4. Folder to Item Level Manager Permissions二、 SharePoint權(quán)限顯示分組以Site Collection Site Actions Site Settings People and Groups為單位介

6、紹SP對于權(quán)限的分組顯示。1. Groups 是以site collection為單位，即一個site collection只有一個Groups 顯示添加到site collection內(nèi)各個Level的組 只有Site Collection Level和Site Level有此部分，List Level to item Level對此部分不可見2. All People 是以site collection為單位，即一個site collection只有一個All people 顯示曾經(jīng)添加到site collection內(nèi)各個Level的用戶 值得注意的是這些用戶和組并不一定具有權(quán)限 只有S

7、ite Collection Level和Site Level有此部分，List Level to item Level對此部分不可見3. Site Permissions/ Permissions 是以各個Level為單位 只顯示對本Level有獨立權(quán)限【direct permission】的用戶和組 值得注意的是組下用戶的權(quán)限是繼承所在組的權(quán)限，對于此類用戶不會在這里顯示三、 SharePoint權(quán)限操作簡單說明以Site Collection Site Actions Site Settings People and Groups為單位介紹SP下各個權(quán)限分組內(nèi)的操作。1. Add Use

8、rs1) 主要功能是添加用戶到指點Level，也可以實現(xiàn)編輯用戶的權(quán)限2) 注意對于繼承和非繼承Level的操作 對于非繼承節(jié)點或無繼承概念的Level：可以進行添加獨立權(quán)限的用戶操作以及添加用戶到SP Group的操作 對于繼承節(jié)點：只可以進行添加用戶到SP Group的操作3) 可操作的對象： AD Users and Groups 有關(guān)系的AD Users and Groups Local Users and Groups SharePoint Users and Groups FBA Users and Groups4) 實現(xiàn)： Add AD Group to a SP Groupl

9、點擊New Add Usersl Users/Groups輸入框中填入AD Group namel Give Permission選中Add Users to a SP Groupl 下拉框中選中一個SP Groupl 點擊button：OK Add local Users to give permission directlyl 點擊New Add Usersl Users/Groups輸入框中填入local User namel Give Permission選中Give Users permission directlyl 選中一個Permission Levell 點擊button：O

10、K Add SP Groupl 點擊New Add Usersl Users/Groups輸入框中填入SP Groupl Give Permission選中Give Users permission directlyl 選中一個Permission Levell 點擊button：OK5) 值得注意的是： 并非所有的所有類型的AD Group都可以添加到SP中 SP Users是指從已經(jīng)添加到SP中，但已經(jīng)從AD下刪除或者disable的AD User和AD Group。此類User對SP有權(quán)限，但是無法登入站點。DocAve CA中對此類用戶命名為dead account，并提供dead a

11、ccount 清除的操作，由此可見客戶環(huán)境中含有大量此類用戶，請大家注意測試。 SP add Users最多一次性處理200個Users，如果想大量向SP中添加Users，筆者建議用DocAve CA。 SP 識別AD User的full name，logon name，display name以及l(fā)ogon name（pre-windows 2000）。至于User不同name實現(xiàn)這里不做贅述。 當將一個AD Group或者local Group添加到SP中，此時AD Group和Local Group下的用戶無需添加到SP中，直接繼承所在Groups對于SP 的權(quán)限。 AD Group和L

12、ocal Group添加到SP中顯示在Groups分組內(nèi)。2. New Group1) 實現(xiàn)向SP站點添加SP Group的功能2) 注意對于繼承和非繼承Level的操作 非繼承節(jié)點或無繼承概念的Level：可以進行添加獨立權(quán)限的SP Group操作 繼承節(jié)點：向站點中添加SP Group，但是無法對其賦予權(quán)限3) 注意該功能只在Site Collection和Site Level提供3. Remove Users from Group 該功能只提供在Groups分組內(nèi) 將目標用戶從該組移除 注意目標組和用戶依然在all people中有顯示，因為只是移除權(quán)限，并未將目標組和用戶從站點中徹底刪

13、除4. Group Settings 該功能只提供在Groups分組內(nèi) 對SP Group進行設(shè)置 刪除SP group和AD groups5. View Group Permissions 該功能只提供在Groups分組內(nèi) 查看該組在當前Site collection中的所有權(quán)限，可以列出該組對于site 到item Level的權(quán)限6. Set Up Groups for this Site 該功能只提供在Groups分組內(nèi) 設(shè)定站點默認的三個組【visitors，members，owners】的成員和名稱7. Delete Users from Site Collection 該功能只提

14、供在All People分組內(nèi) 從整個Site Collection中徹底刪除該User，無論該User具有何種權(quán)限8. Remove User Permissions 該功能只提供在Site Permissions分組內(nèi) 移除目標組和用戶的權(quán)限 注意目標組和用戶依然在all people中有顯示，因為只是移除權(quán)限，并未將目標組和用戶從站點中徹底刪除9. Edit User Permissions 該功能只提供在Site Permissions分組內(nèi) 更改目標組和用戶的權(quán)限四、 Central Administration首先，跟大家說明一個概念，Central Administration【

15、為求統(tǒng)一，筆者采用DocAve對于Central Administration的稱呼-Farm Level，以下稱Central Administration為Farm Level】是一個特殊Template的Site collection，且每個Farm下有且僅有一個這種模版的站點。其次，一般權(quán)限操作可查看本文第二部分 SharePoint權(quán)限操作簡單說明最后，針對Farm Level較特殊的權(quán)限操作為大家進行介紹。1. Farm Administrators1) 功能： 查看，設(shè)置 Farm administrators2) 位置： Central Administration Site

16、Settings People and Groups：Farm Administrators3) 實現(xiàn)： Add Farm administratorl Central Administration Site Settings People and Groups路徑下l New Add Users l Users/Groups輸入框中填入AD User name或者AD Group namel Give Permission選中Add Users to a SP Groupl 下拉框中選中Farm Administratorsl 點擊button：OKl 此時Users/Groups輸入框中填

17、入AD User或者AD Group 下的AD User成為Farm admin Remove Farm administratorsl Central Administration Site Settings People and Groupsl 點擊Farm Administrators組l 選中部分User or AD Groupsl Action Remove User Permissionsl 提示語中點擊OKl 此時選中的User和AD Groups將不再具有Farm Administrators組的權(quán)限4) 值得指出的是： Farm administrator并不是默認對Farm

18、下所有的站點具有權(quán)限筆者將User:test01添加成為Farm admin，嘗試用該用戶登入該User無權(quán)限的站點，無法登入 注意區(qū)分Farm Level 具有full control User【site collection administrators，直接賦予full control權(quán)限的Users】和Farm administrator筆者分別使用Full control User和Farm administrator登入Farm Level，發(fā)現(xiàn)：l 只有Farm administrator可以進入Operations和Application Management兩處，F(xiàn)ull C

19、ontrol User并無權(quán)限進入Operations和Application Management頁面進行操作l 只有Farm administrator才有權(quán)限操作Farm administrators組及組下用戶l site collection administrators對Central Administration Site Settings對site collection administration一系列功能有操作的權(quán)利，F(xiàn)arm administrator和直接賦予full control權(quán)限的Users對此并無操作的權(quán)限 注意區(qū)分System Account和Farm Ad

20、ministrator筆者分別用system account和Farm administrator登入Farm Level，發(fā)現(xiàn)Farm administrator權(quán)限比system account要少得多，通過以下兩圖可以進行簡單比較： 注意local administrator在SP的權(quán)限筆者刪除domainadministrator，提示local admin對SP要求具有Farm administrators的權(quán)限，筆者認為可能與SQL和local寫數(shù)據(jù)有關(guān)系，暫時擱置，不做討論。2. Site Collection Administrators參考Site Collection Le

21、vel說明3. Advanced permissions點擊鏈接到Site Permissions組內(nèi)五、 Web Application LevelWeb Application Level的操作一般會直接影響到其下的所有l(wèi)evel，包括Site Collection Level，Site Level，List Level，F(xiàn)older Level，Item Level以及Web Part，所以大家對web application進行各種設(shè)置的時候請慎重。下面介紹幾個常用的操作。1. User Permissions for Web Application1) 功能： 查看，設(shè)置 Web A

22、pplication及其以下Level可以使用的Permission Level2) 位置： Central Administration Application Management User Permissions for Web Application3) 實現(xiàn)： 選中，取消選中各個permission前的checkbox，點擊Save4) 值得指出的是： Web Application的操作會影響到Web Application下所有的site collection及其以下Level，請謹慎設(shè)置。5) 測試意見： 針對某個Web Application進行User Permission

23、s for Web Application設(shè)置，如只給出View Item的權(quán)限，用產(chǎn)品對該站點進行操作2. Policy for Web Application1) 功能： 向Web Application添加，刪除User，編輯User權(quán)限2) 位置： Central Administration Application Management Policy for Web Application3) 實現(xiàn)： Add Usersl 點擊Add Usersl 選擇一個zonel 點擊Nextl Users中填入符合該zone認證的User or Groupl 選擇一個permissionsl

24、點擊button：Finish Delete Selected Usersl 選中一個或者多個目標用戶l 點擊Delete Selected Usersl 提示語點擊button：OK Edit Permissions of Web Applicationl 選中一個或者多個目標用戶l 點擊Edit Permissions of Selected Usersl 選擇權(quán)限l 點擊button：OK4) 值得指出的是： 默認創(chuàng)建的Web Application用的是default zone，除此之外Web Application還可以擴展出四個zone，分別為Intranet，Internet，C

25、ustom，Extranet。 擴展Web Application功能位置：Central Administration Application Management Create or Extend Web Application Extend an existing Web Application。對于如何擴展Web Application這里不做贅述。 每個zone可以配置不同的認證方式，即Web Application下不同zone下的User是有區(qū)分的。 各個zone配置認證方式位置：Central Administration Application Management Auth

26、entication Providers。對于如何更改各個zone的認證方式這里不做贅述。 Policy for Web Application中默認提供all zone。All zone是指所有zone，向All zone下添加User意味著向所有zone下添加該Users。 添加all zone User界面提供“Account operates as system“，應用此選項的User成為system account【對于system account將在下面進行詳細闡述】。 Web Application中添加的Users無需加到以下Site collection等各個Level中，一

27、樣對各個Level具有Web Application Level指定的權(quán)限。 Web Application 用戶設(shè)置的權(quán)限控制site collection Level設(shè)置的權(quán)限，即當User在Web Application Level的權(quán)限是deny all，site collection Level的權(quán)限是site collection administrator，該User依然無法登入該site collection。5) 測試意見： 將Web Application擴展，對于各個zone添加不同的Users。使用不同Users登入不同的zone做數(shù)據(jù)，檢查DocAve支持情況。 更改

28、Web Application認證方式，查看DocAve對不同認證方式的User數(shù)據(jù)支持情況。 將一用戶設(shè)置為system account，查看DocAve對該用戶數(shù)據(jù)的支持情況。 將一用戶在Web Application中指定權(quán)限，在site collection中不設(shè)置任何權(quán)限，用該用戶做數(shù)據(jù)，檢查DocAve對該數(shù)據(jù)的支持情況。3. Manage Permission Policy Level1) 功能： 查看，添加，編輯，刪除web application level 的permission Level2) 位置 Central Administration Policy for We

29、b Application Manage Permission Policy Levels3) 實現(xiàn)： View Permission Levell 具體實現(xiàn)參考Site Collection Level相應操作說明 Add Permission Levell 具體實現(xiàn)參考Site Collection Level相應操作說明 Edit Permission Levell 具體實現(xiàn)參考Site Collection Level相應操作說明 Copy Permission Levell 具體實現(xiàn)參考Site Collection Level相應操作說明 Delete Permission Lev

30、ell 具體實現(xiàn)參考Site Collection Level相應操作說明4. Anonymous Access1) 功能： 開啟，關(guān)閉Web Application Level的匿名訪問功能2) 位置： Create Web Application界面Central Administration Application Management Create or Extend Web Application Create New Web Application Authentication Providers界面Central Administration Application Manage

31、ment Authentication Providers Edit Authentication3) 實現(xiàn)： 開啟匿名訪問 01l Application Management Create or Extend Web Application Create a new Web Applicationl Security Configuration Allow Anonymousl 選中radio：Yesl 此時創(chuàng)建的Web Application 開啟匿名訪問 開啟匿名訪問 02l Application Management Authentication providers.l 選中想要設(shè)

32、置的Web Applicationl 選擇一個想要配置匿名訪問的zonel 點擊Zone 超鏈接進入Edit Authentication 頁l 在Anonymous Access 部分, 選擇 Enable Anonymous Accessl 點擊button：Save.l 此時該 Web Application zone 被開啟anonymous access. 關(guān)閉匿名訪問l Application Management Authentication providers.l 選中想要設(shè)置的Web Applicationl 選擇一個想要配置匿名訪問的zonel 點擊Zone 超鏈接進入Ed

33、it Authentication 頁l 在Anonymous Access 部分, 取消選擇 Enable Anonymous Accessl 點擊button：Save.l 此時該 Web Application zone 被取消anonymous access.4) 值得指出的是： Anonymous access enables users to find resources in the public areas of Web sites without having to provide authentication credentials. Internet Informatio

34、n Services (IIS) creates the IUSR_computername account to authenticate anonymous users in response to a request for Web content. The IUSR_computername account, where computername is the name of the server that is running IIS, gives the user access to resources anonymously under the context of the IU

35、SR account. You can reset anonymous user access to use any valid Windows account. In a stand-alone environment, the IUSR_computername account is on the local server. If the server is a domain controller, the IUSR_computername account is defined for the domain. By default, anonymous access is disable

36、d by Office SharePoint Server 2007 when you create a new Web Application. This provides an additional layer of security because IIS rejects anonymous access requests before they can ever be processed by Office SharePoint Server 2007 if anonymous access is disabled. Use the following procedures to en

37、able anonymous access for a zone of a Web Application. Within each Web Application, you can categorize different classes of users into one of the following five zones:l Internet is the zone used for customers. Typically, the Internet zone is the only zone you would configure for anonymous access.l I

38、ntranet is the zone used for internal employees.l Default is the zone used for remote employees.l Custom is the zone used for administrators.l Extranet is the zone used for partners5. Anonymous User Policy1) 功能 編輯anonymous users針對不同zone所能具有的權(quán)限2) 位置 Central Administration Application Management Polic

39、y for Web Application Anonymous User Policy3) 實現(xiàn)： Central Administration Application Management Policy for Web Application Anonymous User Policy 選擇Web Application 選擇不同的zone 指定permissions 點擊button：Save4) 值得指出的是： Web application level的設(shè)置會影響到其下各個level，請慎重處理。六、 Content Database LevelContent Database權(quán)限更多

40、涉及SQL的權(quán)限，本文不予討論。七、 Site Collection Level首先，需要說明本Level一般權(quán)限操作可查看本文第二部分SharePoint權(quán)限操作簡單說明其次，針對Site Collection Level較特殊的權(quán)限操作為大家進行介紹。1. Site Collection Administrators1) 功能： 查看，設(shè)置 Site Collection Administrators2) 位置01： Site Collection Site Settings Permissions Site Collection Administrators3) 位置02：Central

41、 Administration Application Management Site Collection administrators4) 實現(xiàn)： Add Site Collection Administrator 01l Site actions Site Settings Site Collection administratorsl 填入符合認證方式的User name【多個Users name中用分號隔開】l 點擊button：OK Add Site Collection Administrator 02l Central Administration Application Ma

42、nagement Site Collection administratorsl 更改site collectionl 填入primary site collection administrator和Secondary site collection administratorl 點擊button：OK Remove Site Collection Administrator 01l Site actions Site Settings Site Collection administratorsl 直接刪掉User namel 點擊button：OK Remove Site Collecti

43、on Administrator 02l Central Administration Application Management Site Collection administratorsl 更改site collectionl 更改primary site collection administrator和Secondary site collection administrator或者去掉Secondary site collection administratorl 點擊button：OK5) 值得指出的是： Site Collection administrators組內(nèi)成員不可

44、以是Groups 該User會直接被賦予full control的權(quán)限，但不在site permissions中顯示 該User會直接添加到all people中，從all people中刪除該User，則直接從site collection administrators組內(nèi)刪除該Users。 Site Collection administrators不是system account6) 測試建議：設(shè)置site collection administrator，用該User做數(shù)據(jù)，查看DocAve對該數(shù)據(jù)的支持情況。2. Permission Levels1) 功能： 添加，編輯，刪除Per

45、mission Level2) 位置： Site Settings Permissions Permission Levels3) 實現(xiàn)： Add a Permission Levell Site Settings People and groups Site Permissions Settings Permission Levelsl Add a Permission Levell 填寫Name和descriptionl 選中部分Permissionl 點擊button：Create Delete Selected Permission Levell Site Settings Peopl

46、e and groups Site Permissions Settings Permission Levelsl 選中一個Permission Levell 點擊Delete Selected Permission Levelsl 提示語點擊button：OK Edit a Permission Levell Site Settings People and groups Site Permissions Settings Permission Levelsl 點擊Permission Level name連接l 修改填寫Name和descriptionl 選中部分Permissionl 點

47、擊button：Submit Copy a Permission Levell Site Settings People and groups Site Permissions Settings Permission Levelsl 點擊Permission Level name連接l 點擊button：Copy Permission Level4) 測試建議： 可以自定義Permission Level，并添加擁有自定義Permission Level的user到站點中，使用產(chǎn)品對這些users進行處理，檢查對自定義Permission Level的支持情況。 檢查時請注意Permissio

48、n Level name的多種情況，如過長，含有特殊符號等。 同時對于CA這樣的功能，請考慮自定義Permission Level同已存在的Permission Level組成一致的情況。八、 Site Level從Site Level開始有繼承和非繼承的概念，針對Site Level的權(quán)限設(shè)置，我們分為繼承狀態(tài)和非繼承狀態(tài)予以闡述。1. 繼承狀態(tài)的站點：1) 所謂繼承狀態(tài)，只是權(quán)限設(shè)置沿用Site Collection Level的權(quán)限設(shè)置，例如組和用戶的權(quán)限，Permission Level設(shè)置，以及Anonymous Access設(shè)置等。2) 可對繼承狀態(tài)站點進行的權(quán)限操作： Add U

49、sers New Group Edit Permission Remove Users from Group Group Settings View Group Permissions Set Up Groups Delete Users from Site Collection3) Add Users 實現(xiàn)同本文第二部分所述 對于繼承站點只能添加Users到SP groups中 由于SP Group整個Site Collection用一套，所以在Site Level向SP Group下添加Users，該User會通過繼承SP Group的權(quán)限直接作用整個Site Collection4) N

50、ew Group 實現(xiàn)同本文第二部分所述 由于繼承站點并沒有獨立處理權(quán)限的能力，所以Site Level無法賦予SP Group權(quán)限 可以通過在Site Collection Level編輯組的權(quán)限，從而影響到Site Level。5) Edit Permission 繼承站點下的該功能，不同于非繼承節(jié)點該功能。繼承節(jié)點下的Edit Permission執(zhí)行的是從父節(jié)點復制一套Permission 設(shè)置，并且打破繼承關(guān)系。 注意盡管打破繼承，但是Groups和All People依然同Site Collection Level保持一致。6) Remove Users from Group 實現(xiàn)

51、同本文第二部分所述 由于SP Group整個Site Collection用一套，所以在Site Level從SP Group下移除Users，該操作會直接作用整個Site Collection。7) Group Settings 實現(xiàn)同本文第二部分所述 由于繼承站點并沒有獨立處理權(quán)限的能力，所以Site Level無法賦予SP Group權(quán)限 該更改會直接作用到整個Site Collection。8) View Group Permissions 實現(xiàn)同本文第二部分所述9) Set Up Groups 實現(xiàn)同本文第二部分所述 由于繼承站點并沒有獨立處理權(quán)限的能力，所以Site Level無法

52、賦予SP Group權(quán)限10) Delete Users from Site Collection 實現(xiàn)同本文第二部分所述 會直接將Users從整個Site Collection內(nèi)刪除。2. 非繼承狀態(tài)的站點：1) 所謂非繼承狀態(tài)，只是權(quán)限設(shè)置不再沿用Site Collection Level的設(shè)置，可以進行獨立的權(quán)限分配。例如，可以添加創(chuàng)建獨立權(quán)限的users和groups，可以自定義Permission Level等2) 可對非繼承狀態(tài)站點進行的權(quán)限操作 Add Users New Group Remove Users from Group Group Settings Set Up Gr

53、oups Delete Users from Site Collection Remove User Permissions Edit Users Permissions Inherit Permission Anonymous Access Permission Level3) Add Users 實現(xiàn)同本文第二部分所述 可以實現(xiàn)添加擁有獨立權(quán)限的Users，也可以向SP group內(nèi)添加Users4) New Group 實現(xiàn)同本文第二部分所述 可以實現(xiàn)添加擁有獨立權(quán)限的SP groups 在該level添加SP group，同時該SP group會添加到Site Collection L

54、evel，但是卻不會擁有Site Level對該SP group賦予的權(quán)限。5) Remove Users from Group 實現(xiàn)同本文第二部分所 由于SP Group整個Site Collection用一套，所以在Site Level從SP Group下移除Users，該操作會直接作用整個Site Collection。6) Group Settings 實現(xiàn)同本文第二部分所述 在該level添加SP group，同時該SP group會添加到Site Collection Level，但是卻不會擁有Site Level對該SP group賦予的權(quán)限7) Set Up Groups 實現(xiàn)

55、同本文第二部分所述 在該level添加SP group，同時該SP group會添加到Site Collection Level，但是卻不會擁有Site Level對該SP group賦予的權(quán)限8) Delete Users from Site Collection 實現(xiàn)同本文第二部分所述 從整個Site Collection 內(nèi)刪除該Users9) Remove User Permissions 實現(xiàn)同本文第二部分所述 從整個Site內(nèi)移除該Users的權(quán)限，并影響繼承該站點的其他節(jié)點。10) Edit Users Permissions 實現(xiàn)同本文第二部分所述 以整個Site為單位修改該Users的權(quán)限，并影響繼承該站點的其他節(jié)點11) Inherit Pe