網站權限

大家好，我是 Monica Xie，負責撰寫技術文件，對於 Microsoft SharePoint 2010 產品的網站權限有專門研究。大至伺服器陣列，小至清單項目，舉凡 SharePoint 階層中每個層級的管理安全性工作，「權限」莫不扮演著舉足輕重的角色。這次我們將探討網站層級及網站內容層級的權限，包括介紹三個權限概念、與權限管理相關的兩個因素，以及 SharePoint Server 2010 所新增的兩個新功能。

三個概念

權限

「權限」 (亦稱為個別權限或基本權限) 會授與使用者執行特定動作 (例如檢視頁面、開啟項目及建立子網站) 的能力。但是，除非您準備新增自訂權限等級，否則您幾乎沒有機會處理這些個別權限 (圖 1)。

圖 1。

權限等級

「權限等級」是將一組個別權限結合在一起，讓使用者執行一組相關工作。一或多個權限等級可指定給某使用者或群組。

所謂「對使用者或群組授與權限」，其實指的是對使用者或群組授與權限等級。千萬別搞混使用者介面上的 [授與權限] (Grant Permissions) (圖 2) 及 [直接授與使用者權限] (Grant users permission directly) (圖 3)；再次強調，這裡的權限全是指權限等級。如需每項權限及權限等級的詳細資訊，請參閱使用者權限及權限等級 (SharePoint Foundation 2010) (可能為英文網頁) 及使用者權限及權限等級 (SharePoint Server 2010) (可能為英文網頁)。

圖 2

圖 3

微調權限

網站管理員要控制使用者或群組對網站及網站內容的存取，是透過指派權限等級。要指派權限 (等級) 並不限定非得在網站階層的哪個層級上才行，無論在頂層網站、網站、子網站、清單或文件上，都可指派權限。若您對清單或文件這些細分的較低層級指派權限 (等級)，我們稱這些權限 (等級) 為「微調權限」。在某些主題中，微調權限亦稱為「清單層級權限」或「項目層級權限」。如需微調權限的詳細資訊，請下載使用微調權限的最佳作法 (SharePoint Products and Technologies) (可能為英文網頁) 白皮書。

兩個因素

除了個別權限、權限等級及微調權限之外，還有兩個與權限管理相關的重要因素︰繼承權限及建立群組。

繼承權限

所有網站及內容預設都會繼承權限，繼承範圍是從其上層父物件起，向上涵蓋至網站集合中頂層網站 (例如，清單項目 --> 資料夾 --> 清單 --> 網站 --> 頂層網站)。因此，只要您不中斷網站內的任何權限繼承，即會繼承及共用權限。但是，其實所有網站及內容都共用相同權限，這種作法並不切實際。SharePoint 提供了一些機制可在任何網站或內容層級中斷此繼承，並讓您再新增自訂權限。圖 4 說明可用於管理權限繼承的 [繼承](Inheritance) 群組。

圖 4

附註︰ 為便於管理，請將網站、子網站、清單及文件建構成可共用大多數權限。請將機密資料另外放入其各自清單、文件或子網站中，並指派專屬權限。

建立群組

SharePoint 群組是指可共用特定網站或內容上相同權限的使用者集合。建立群組時，您必須為該群組搭配特定權限等級。之後，當您要將該特定權限等級指派給某人時，就只要將該使用者新增到該群組即可。

此外，您還可以將 Active Directory 群組 (具體而言，即是安全性群組) 以巢狀方式放入 SharePoint 群組中，如此將使權限管理變得更容易。無論公司有新進人員或有員工離職，都不必管理 AD 群組內的個別使用者；AD DS (Active Directory 網域服務) 會為您管理使用者。當您有多個 SharePoint 群組包含 AD 群組，就會明顯感受到這種管理機制的作用。如需安全性群組使用上有哪些建議的詳細資訊，請參閱選擇安全性群組 (SharePoint Foundation 2010)及選擇安全性群組 (SharePoint Server 2010)。

圖 5 說明可用於建立 SharePoint 群組的 [授與] (Grant) 群組。

圖 5