SharePoint权限培训文档.docx

Permission一、SharePoint权限各Level操作位置31.Farm，Site Collection and Site Level32.Web Application Level33.List34.Folder to Item Level4二、SharePoint权限显示分组41.Groups52.All People53.Site Permissions/ Permissions5三、SharePoint权限操作简单说明51.Add Users62.New Group93.Remove Users from Group104.Group Settings105.View Group Permissions116.Set Up Groups for this Site117.Delete Users from Site Collection128.Remove User Permissions129.Edit User Permissions13四、Central Administration131.Farm Administrators132.Site Collection Administrators183.Advanced permissions18五、Web Application Level181.User Permissions for Web Application192.Policy for Web Application203.Manage Permission Policy Level234.Anonymous Access245.Anonymous User Policy28六、Content Database Level30七、Site Collection Level301.Site Collection Administrators302.Permission Levels33八、Site Level361.继承状态的站点：362.非继承状态的站点：39九、List Level471.继承状态的节点：482.非继承状态的节点：49十、Folder Level511.继承状态的节点：522.非继承状态的节点：52十一、Item Level531.继承状态的节点：531.非继承状态的节点：53十二、需要特别说明的一些概念541.Farm Administrator542.Site Collection Administrator543.System Account544.Limited Access54一、 SharePoint权限各Level操作位置简单说明各个Level权限操作在SharePoint【以下简称SP】中的位置。1. Farm，Site Collection and Site Level Site action Site Settings People and Groups2. Web Application Level Central Administration Application Management Application Security3. List List Settings Permission for this list4. Folder to Item Level Manager Permissions二、 SharePoint权限显示分组以Site Collection Site Actions Site Settings People and Groups为单位介绍SP对于权限的分组显示。1. Groups 是以site collection为单位，即一个site collection只有一个Groups 显示添加到site collection内各个Level的组 只有Site Collection Level和Site Level有此部分，List Level to item Level对此部分不可见2. All People 是以site collection为单位，即一个site collection只有一个All people 显示曾经添加到site collection内各个Level的用户 值得注意的是这些用户和组并不一定具有权限 只有Site Collection Level和Site Level有此部分，List Level to item Level对此部分不可见3. Site Permissions/ Permissions 是以各个Level为单位 只显示对本Level有独立权限【direct permission】的用户和组 值得注意的是组下用户的权限是继承所在组的权限，对于此类用户不会在这里显示三、 SharePoint权限操作简单说明以Site Collection Site Actions Site Settings People and Groups为单位介绍SP下各个权限分组内的操作。1. Add Users1) 主要功能是添加用户到指点Level，也可以实现编辑用户的权限2) 注意对于继承和非继承Level的操作 对于非继承节点或无继承概念的Level：可以进行添加独立权限的用户操作以及添加用户到SP Group的操作 对于继承节点：只可以进行添加用户到SP Group的操作3) 可操作的对象： AD Users and Groups 有关系的AD Users and Groups Local Users and Groups SharePoint Users and Groups FBA Users and Groups4) 实现： Add AD Group to a SP Groupl 点击New Add Usersl Users/Groups输入框中填入AD Group namel Give Permission选中Add Users to a SP Groupl 下拉框中选中一个SP Groupl 点击button：OK Add local Users to give permission directlyl 点击New Add Usersl Users/Groups输入框中填入local User namel Give Permission选中Give Users permission directlyl 选中一个Permission Levell 点击button：OK Add SP Groupl 点击New Add Usersl Users/Groups输入框中填入SP Groupl Give Permission选中Give Users permission directlyl 选中一个Permission Levell 点击button：OK5) 值得注意的是： 并非所有的所有类型的AD Group都可以添加到SP中 SP Users是指从已经添加到SP中，但已经从AD下删除或者disable的AD User和AD Group。此类User对SP有权限，但是无法登入站点。DocAve CA中对此类用户命名为dead account，并提供dead account 清除的操作，由此可见客户环境中含有大量此类用户，请大家注意测试。 SP add Users最多一次性处理200个Users，如果想大量向SP中添加Users，笔者建议用DocAve CA。 SP 识别AD User的full name，logon name，display name以及logon name（pre-windows 2000）。至于User不同name实现这里不做赘述。 当将一个AD Group或者local Group添加到SP中，此时AD Group和Local Group下的用户无需添加到SP中，直接继承所在Groups对于SP 的权限。 AD Group和Local Group添加到SP中显示在Groups分组内。2. New Group1) 实现向SP站点添加SP Group的功能2) 注意对于继承和非继承Level的操作 非继承节点或无继承概念的Level：可以进行添加独立权限的SP Group操作 继承节点：向站点中添加SP Group，但是无法对其赋予权限3) 注意该功能只在Site Collection和Site Level提供3. Remove Users from Group 该功能只提供在Groups分组内 将目标用户从该组移除 注意目标组和用户依然在all people中有显示，因为只是移除权限，并未将目标组和用户从站点中彻底删除4. Group Settings 该功能只提供在Groups分组内 对SP Group进行设置 删除SP group和AD groups5. View Group Permissions 该功能只提供在Groups分组内 查看该组在当前Site collection中的所有权限，可以列出该组对于site 到item Level的权限6. Set Up Groups for this Site 该功能只提供在Groups分组内 设定站点默认的三个组【visitors，members，owners】的成员和名称7. Delete Users from Site Collection 该功能只提供在All People分组内 从整个Site Collection中彻底删除该User，无论该User具有何种权限8. Remove User Permissions 该功能只提供在Site Permissions分组内 移除目标组和用户的权限 注意目标组和用户依然在all people中有显示，因为只是移除权限，并未将目标组和用户从站点中彻底删除9. Edit User Permissions 该功能只提供在Site Permissions分组内 更改目标组和用户的权限四、 Central Administration首先，跟大家说明一个概念，Central Administration【为求统一，笔者采用DocAve对于Central Administration的称呼-Farm Level，以下称Central Administration为Farm Level】是一个特殊Template的Site collection，且每个Farm下有且仅有一个这种模版的站点。其次，一般权限操作可查看本文第二部分 SharePoint权限操作简单说明最后，针对Farm Level较特殊的权限操作为大家进行介绍。1. Farm Administrators1) 功能： 查看，设置 Farm administrators2) 位置： Central Administration Site Settings People and Groups：Farm Administrators3) 实现： Add Farm administratorl Central Administration Site Settings People and Groups路径下l New Add Users l Users/Groups输入框中填入AD User name或者AD Group namel Give Permission选中Add Users to a SP Groupl 下拉框中选中Farm Administratorsl 点击button：OKl 此时Users/Groups输入框中填入AD User或者AD Group 下的AD User成为Farm admin Remove Farm administratorsl Central Administration Site Settings People and Groupsl 点击Farm Administrators组l 选中部分User or AD Groupsl Action Remove User Permissionsl 提示语中点击OKl 此时选中的User和AD Groups将不再具有Farm Administrators组的权限4) 值得指出的是： Farm administrator并不是默认对Farm下所有的站点具有权限笔者将User:test01添加成为Farm admin，尝试用该用户登入该User无权限的站点，无法登入 注意区分Farm Level 具有full control User【site collection administrators，直接赋予full control权限的Users】和Farm administrator笔者分别使用Full control User和Farm administrator登入Farm Level，发现：l 只有Farm administrator可以进入Operations和Application Management两处，Full Control User并无权限进入Operations和Application Management页面进行操作l 只有Farm administrator才有权限操作Farm administrators组及组下用户l site collection administrators对Central Administration Site Settings对site collection administration一系列功能有操作的权利，Farm administrator和直接赋予full control权限的Users对此并无操作的权限 注意区分System Account和Farm Administrator笔者分别用system account和Farm administrator登入Farm Level，发现Farm administrator权限比system account要少得多，通过以下两图可以进行简单比较： 注意local administrator在SP的权限笔者删除domainadministrator，提示local admin对SP要求具有Farm administrators的权限，笔者认为可能与SQL和local写数据有关系，暂时搁置，不做讨论。2. Site Collection Administrators参考Site Collection Level说明3. Advanced permissions点击链接到Site Permissions组内五、 Web Application LevelWeb Application Level的操作一般会直接影响到其下的所有level，包括Site Collection Level，Site Level，List Level，Folder Level，Item Level以及Web Part，所以大家对web application进行各种设置的时候请慎重。下面介绍几个常用的操作。1. User Permissions for Web Application1) 功能： 查看，设置 Web Application及其以下Level可以使用的Permission Level2) 位置： Central Administration Application Management User Permissions for Web Application3) 实现： 选中，取消选中各个permission前的checkbox，点击Save4) 值得指出的是： Web Application的操作会影响到Web Application下所有的site collection及其以下Level，请谨慎设置。5) 测试意见： 针对某个Web Application进行User Permissions for Web Application设置，如只给出View Item的权限，用产品对该站点进行操作2. Policy for Web Application1) 功能： 向Web Application添加，删除User，编辑User权限2) 位置： Central Administration Application Management Policy for Web Application3) 实现： Add Usersl 点击Add Usersl 选择一个zonel 点击Nextl Users中填入符合该zone认证的User or Groupl 选择一个permissionsl 点击button：Finish Delete Selected Usersl 选中一个或者多个目标用户l 点击Delete Selected Usersl 提示语点击button：OK Edit Permissions of Web Applicationl 选中一个或者多个目标用户l 点击Edit Permissions of Selected Usersl 选择权限l 点击button：OK4) 值得指出的是： 默认创建的Web Application用的是default zone，除此之外Web Application还可以扩展出四个zone，分别为Intranet，Internet，Custom，Extranet。 扩展Web Application功能位置：Central Administration Application Management Create or Extend Web Application Extend an existing Web Application。对于如何扩展Web Application这里不做赘述。 每个zone可以配置不同的认证方式，即Web Application下不同zone下的User是有区分的。 各个zone配置认证方式位置：Central Administration Application Management Authentication Providers。对于如何更改各个zone的认证方式这里不做赘述。 Policy for Web Application中默认提供all zone。All zone是指所有zone，向All zone下添加User意味着向所有zone下添加该Users。 添加all zone User界面提供“Account operates as system“，应用此选项的User成为system account【对于system account将在下面进行详细阐述】。 Web Application中添加的Users无需加到以下Site collection等各个Level中，一样对各个Level具有Web Application Level指定的权限。 Web Application 用户设置的权限控制site collection Level设置的权限，即当User在Web Application Level的权限是deny all，site collection Level的权限是site collection administrator，该User依然无法登入该site collection。5) 测试意见： 将Web Application扩展，对于各个zone添加不同的Users。使用不同Users登入不同的zone做数据，检查DocAve支持情况。 更改Web Application认证方式，查看DocAve对不同认证方式的User数据支持情况。 将一用户设置为system account，查看DocAve对该用户数据的支持情况。 将一用户在Web Application中指定权限，在site collection中不设置任何权限，用该用户做数据，检查DocAve对该数据的支持情况。3. Manage Permission Policy Level1) 功能： 查看，添加，编辑，删除web application level 的permission Level2) 位置 Central Administration Policy for Web Application Manage Permission Policy Levels3) 实现： View Permission Levell 具体实现参考Site Collection Level相应操作说明 Add Permission Levell 具体实现参考Site Collection Level相应操作说明 Edit Permission Levell 具体实现参考Site Collection Level相应操作说明 Copy Permission Levell 具体实现参考Site Collection Level相应操作说明 Delete Permission Levell 具体实现参考Site Collection Level相应操作说明4. Anonymous Access1) 功能： 开启，关闭Web Application Level的匿名访问功能2) 位置： Create Web Application界面Central Administration Application Management Create or Extend Web Application Create New Web Application Authentication Providers界面Central Administration Application Management Authentication Providers Edit Authentication3) 实现： 开启匿名访问 01l Application Management Create or Extend Web Application Create a new Web Applicationl Security Configuration Allow Anonymousl 选中radio：Yesl 此时创建的Web Application 开启匿名访问 开启匿名访问 02l Application Management Authentication providers.l 选中想要设置的Web Applicationl 选择一个想要配置匿名访问的zonel 点击Zone 超链接进入Edit Authentication 页l 在Anonymous Access 部分, 选择 Enable Anonymous Accessl 点击button：Save.l 此时该 Web Application zone 被开启anonymous access. 关闭匿名访问l Application Management Authentication providers.l 选中想要设置的Web Applicationl 选择一个想要配置匿名访问的zonel 点击Zone 超链接进入Edit Authentication 页l 在Anonymous Access 部分, 取消选择 Enable Anonymous Accessl 点击button：Save.l 此时该 Web Application zone 被取消anonymous access.4) 值得指出的是： Anonymous access enables users to find resources in the public areas of Web sites without having to provide authentication credentials. Internet Information Services (IIS) creates the IUSR_computername account to authenticate anonymous users in response to a request for Web content. The IUSR_computername account, where computername is the name of the server that is running IIS, gives the user access to resources anonymously under the context of the IUSR account. You can reset anonymous user access to use any valid Windows account. In a stand-alone environment, the IUSR_computername account is on the local server. If the server is a domain controller, the IUSR_computername account is defined for the domain. By default, anonymous access is disabled by Office SharePoint Server 2007 when you create a new Web Application. This provides an additional layer of security because IIS rejects anonymous access requests before they can ever be processed by Office SharePoint Server 2007 if anonymous access is disabled. Use the following procedures to enable anonymous access for a zone of a Web Application. Within each Web Application, you can categorize different classes of users into one of the following five zones:l Internet is the zone used for customers. Typically, the Internet zone is the only zone you would configure for anonymous access.l Intranet is the zone used for internal employees.l Default is the zone used for remote employees.l Custom is the zone used for administrators.l Extranet is the zone used for partners5. Anonymous User Policy1) 功能 编辑anonymous users针对不同zone所能具有的权限2) 位置 Central Administration Application Management Policy for Web Application Anonymous User Policy3) 实现： Central Administration Application Management Policy for Web Application Anonymous User Policy 选择Web Application 选择不同的zone 指定permissions 点击button：Save4) 值得指出的是： Web application level的设置会影响到其下各个level，请慎重处理。六、 Content Database LevelContent Database权限更多涉及SQL的权限，本文不予讨论。七、 Site Collection Level首先，需要说明本Level一般权限操作可查看本文第二部分SharePoint权限操作简单说明其次，针对Site Collection Level较特殊的权限操作为大家进行介绍。1. Site Collection Administrators1) 功能： 查看，设置 Site Collection Administrators2) 位置01： Site Collection Site Settings Permissions Site Collection Administrators3) 位置02：Central Administration Application Management Site Collection administrators4) 实现： Add Site Collection Administrator 01l Site actions Site Settings Site Collection administratorsl 填入符合认证方式的User name【多个Users name中用分号隔开】l 点击button：OK Add Site Collection Administrator 02l Central Administration Application Management Site Collection administratorsl 更改site collectionl 填入primary site collection administrator和Secondary site collection administratorl 点击button：OK Remove Site Collection Administrator 01l Site actions Site Settings Site Collection administratorsl 直接删掉User namel 点击button：OK Remove Site Collection Administrator 02l Central Administration Application Management Site Collection administratorsl 更改site collectionl 更改primary site collection administrator和Secondary site collection administrator或者去掉Secondary site collection administratorl 点击button：OK5) 值得指出的是： Site Collection administrators组内成员不可以是Groups 该User会直接被赋予full control的权限，但不在site permissions中显示 该User会直接添加到all people中，从all people中删除该User，则直接从site collection administrators组内删除该Users。 Site Collection administrators不是system account6) 测试建议：设置site collection administrator，用该User做数据，查看DocAve对该数据的支持情况。2. Permission Levels1) 功能： 添加，编辑，删除Permission Level2) 位置： Site Settings Permissions Permission Levels3) 实现： Add a Permission Levell Site Settings People and groups Site Permissions Settings Permission Levelsl Add a Permission Levell 填写Name和descriptionl 选中部分Permissionl 点击button：Create Delete Selected Permission Levell Site Settings People and groups Site Permissions Settings Permission Levelsl 选中一个Permission Levell 点击Delete Selected Permission Levelsl 提示语点击button：OK Edit a Permission Levell Site Settings People and groups Site Permissions Settings Permission Levelsl 点击Permission Level name连接l 修改填写Name和descriptionl 选中部分Permissionl 点击button：Submit Copy a Permission Levell Site Settings People and groups Site Permissions Settings Permission Levelsl 点击Permission Level name连接l 点击button：Copy Permission Level4) 测试建议： 可以自定义Permission Level，并添加拥有自定义Permission Level的user到站点中，使用产品对这些users进行处理，检查对自定义Permission Level的支持情况。 检查时请注意Permission Level name的多种情况，如过长，含有特殊符号等。 同时对于CA这样的功能，请考虑自定义Permission Level同已存在的Permission Level组成一致的情况。八、 Site Level从Site Level开始有继承和非继承的概念，针对Site Level的权限设置，我们分为继承状态和非继承状态予以阐述。1. 继承状态的站点：1) 所谓继承状态，只是权限设置沿用Site Collection Level的权限设置，例如组和用户的权限，Permission Level设置，以及Anonymous Access设置等。2) 可对继承状态站点进行的权限操作： Add Users New Group Edit Permission Remove Users from Group Group Settings View Group Permissions Set Up Groups Delete Users from Site Collection3) Add Users 实现同本文第二部分所述 对于继承站点只能添加Users到SP groups中 由于SP Group整个Site Collection用一套，所以在Site Level向SP Group下添加Users，该User会通过继承SP Group的权限直接作用整个Site Collection4) New Group 实现同本文第二部分所述 由于继承站点并没有独立处理权限的能力，所以Site Level无法赋予SP Group权限 可以通过在Site Collection Level编辑组的权限，从而影响到Site Level。5) Edit Permission 继承站点下的该功能，不同于非继承节点该功能。继承节点下的Edit Permission执行的是从父节点复制一套Permission 设置，并且打破继承关系。 注意尽管打破继承，但是Groups和All People依然同Site Collection Level保持一致。6) Remove Users from Group 实现同本文第二部分所述 由于SP Group整个Site Collection用一套，所以在Site Level从SP Group下移除Users，该操作会直接作用整个Site Collection。7) Group Settings 实现同本文第二部分所述 由于继承站点并没有独立处理权限的能力，所以Site Level无法赋予SP Group权限 该更改会直接作用到整个Site Collection。8) View Group Permissions 实现同本文第二部分所述9) Set Up Groups 实现同本文第二部分所述 由于继承站点并没有独立处理权限的能力，所以Site Level无法赋予SP Group权限10) Delete Users from Site Collection 实现同本文第二部分所述 会直接将Users从整个Site Collection内删除。2. 非继承状态的站点：1) 所谓非继承状态，只是权限设置不再沿用Site Collection Level的设置，可以进行独立的权限分配。例如，可以添加创建独立权限的users和groups，可以自定义Permission Level等2) 可对非继承状态站点进行的权限操作 Add Users New Group Remove Users from Group Group Settings Set Up Groups Delete Users from Site Collection Remove User Permissions Edit Users Permissions Inherit Permission Anonymous Access Permission Level3) Add Users 实现同本文第二部分所述 可以实现添加拥有独立权限的Users，也可以向SP group内添加Users4) New Group 实现同本文第二部分所述 可以实现添加拥有独立权限的SP groups 在该level添加SP group，同时该SP group会添加到Site Collection Level，但是却不会拥有Site Level对该SP group赋予的权限。5) Remove Users from Group 实现同本文第二部分所 由于SP Group整个Site Collection用一套，所以在Site Level从SP Group下移除Users，该操作会直接作用整个Site Collection。6) Group Settings 实现同本文第二部分所述 在该level添加SP group，同时该SP group会添加到Site Collection Level，但是却不会拥有Site Level对该SP group赋予的权限7) Set Up Groups 实现同本文第二部分所述 在该level添加SP group，同时该SP group会添加到Site Collection Level，但是却不会拥有Site Level对该SP group赋予的权限8) Delete Users from Site Collection 实现同本文第二部分所述 从整个Site Collection 内删除该Users9) Remove User Permissions 实现同本文第二部分所述 从整个Site内移除该Users的权限，并影响继承该站点的其他节点。10) Edit Users Permissions 实现同本文第二部分所述 以整个Site为单位修改该Users的权限，并影响继承该站点的其他节点11) Inherit Per