雖然 SharePoint 允許大量自定義網站許可權,包括變更繼承,但我們強烈建議不要中斷繼承。 使用通訊網站的內建 SharePoint 群組,並透過相關聯的 Microsoft 365 群組管理小組網站權限。 使用共用連結與網站外部的人員共用個別檔案和資料夾。 這使得管理更加容易。 如需在 SharePoint 新式體驗中管理權限的相關資訊,請參閱 SharePoint 新式體驗中的共用和權限。
什麼是權限繼承?
權限繼承表示網站集合中元素的權限設定會傳遞至該元素的子系。 如此一來,網站會繼承網站集合的最上層 (“root”) 網站的權限,文件庫會繼承自包含文件庫的網站,依此類推。 權限繼承可讓您進行一次權限指派,並讓該權限套用至繼承權限的所有網站、清單、文件庫、資料夾和項目。 此行為可以降低網站集合系統管理員和網站擁有者在安全性管理上花費的複雜度和時間量。
根據預設,SharePoint 網站會繼承父網站的許可權。 這表示當您將使用者指派給 [成員] 群組時,使用者的權限會自動向下串聯,涵蓋繼承權限層級的所有網站、清單、文件庫、資料夾和項目。
SharePoint 許可權中的父系是什麼?
父項一詞在 SharePoint 許可權中使用時,只是強調繼承的一種方式。 父系會將其權限設定傳遞給其所有子系。 根據預設,網站集合的根網站是網站階層中所有網站和其他物件的第一個父系。
網站集合的根網站不是唯一的父網站。 網站集合中) 的每個安全性實體物件 (網站、文件庫、清單等都可以是父系。 也就是說,根網站是其子網站的父項,每個網站都是其程式庫和清單的父項,而每個清單都是其中清單項目的父項。 在此術語中,具有父項的物件稱為子項。 因此,子網站是其父網站的子項,清單項目是其清單父項的子項,依此類推。
重要事項
建議您為每個工作單元建立網站集合,而不是使用子網站來建立階層式結構。 瞭解如何使用中樞網站來組織內部網路。
根據預設,權限會從父系繼承到子系。 也就是說,如果您未變更權限結構,則清單項目會透過其父清單) 從集合中的根網站繼承權限 (。 不過,即使您中斷清單的繼承,該清單仍是其本身清單項目的父項。 清單的清單項目會繼承清單所擁有的權限,如果您變更清單的權限,清單項目會繼承變更。
當您第一次中斷從父系到子項的繼承鏈時,子項會從父項許可權的複本開始。 然後,您可以編輯這些權限,使其符合您的要求。 您可以新增權限、移除權限、建立特殊群組等等。 這些變更不會影響原始父項。 而且,如果您認為中斷繼承是錯誤的決定,您可以隨時恢復繼承許可權。
當使用者共用或停止共用包含繼承中斷的其他專案的專案時,該權限新增或移除的一次性推送會傳送至所有子專案,即使是繼承中斷的子專案也一樣。 對於直接權限和共用連結都是如此。 管理繼承中斷項目的許可權時,使用者可以移除其任何直接許可權。 如果繼承中斷的項目可透過在其其中一個父資料夾上建立的共用連結存取,且使用者不希望該連結授與該項目的存取權,則使用者可以完全移除連結,也可以將檔案移至共用連結具有權限的資料夾之外。
有關權限繼承的更多資訊
權限繼承可讓管理員一次指派權限層級,並讓權限套用至整個網站集合。 許可權會在整個 SharePoint 階層中從父傳遞至子系,從網站的最上層傳遞至底部。 權限繼承可以節省網站管理員的時間,尤其是在大型或複雜的網站集合上。
不過,某些案例有不同的需求。 在一種案例中,您可能必須限制對網站的存取,因為它包含您必須保護的敏感性資訊。 在不同的案例中,您可能想要擴大存取權並邀請其他人共用資訊。 如有需要,您可以中斷繼承行為 (停止繼承階層中任何層級) 許可權。
讓我們看看這些不同場景的示例。
假設您有一家名為 Northwind Traders 的公司。 您建立名為「福利」的通訊網站,URL northwindtraders.sharepoint.com/sites/benefits。 在網站集合根目錄中,您可以設定 SharePoint 群組、指派權限層級,以及將使用者新增至群組。
然後假設您為「福利」網站建立子網站,例如「醫療保健」 (northwindtraders.sharepoint.com/sites/benefits/healthcare) 和「退休」 (northwindtraders.sharepoint.com/sites/benefits/retirement) 。 這些子網站甚至可能包含更多子網站。 例如,「醫療保健」子網站可以有「牙科」子網站 (northwindtraders.sharepoint.com/sites/benefits/healthcare/dental) 。
使用預設行為的案例
根據預設,權限會直接傳遞至子網站。 也就是說,您在網站集合根目錄指派的群組和權限層級會自動傳遞至子網站以供重複使用。
限制對網站及其子系的存取權的案例
假設您的公司只為高階主管提供特殊福利。 在此情況下,系統管理員決定將「執行」子網站分開,並中斷與父網站「福利」的繼承。
「執行」網站的網站擁有者會變更網站的權限,移除某些群組並建立其他群組。 「Executive」網站的子網站「Bonuses」和「Company transportation」現在僅從「Executive」子網站繼承權限。 只有「執行」的群組和使用者才能存取包含敏感資訊的清單和文件庫。
為了便於維護,我們建議您使用類似的方法來限制存取。 也就是說,組織您的網站,以便敏感資料位於同一位置。 如果您以這種方式組織網站,則只需要中斷該特定網站或文件庫的繼承一次。 這要少得多的開銷。 與在許多位置為個別子網站和文件庫建立個別權限結構相比,它需要的工作要少得多。
共用資料夾及其子系存取權的案例
假設 Northwind Traders 的員工聘請了顧問,並想要與他們共同作業處理 SharePoint 中的檔。 員工不想讓顧問存取 SharePoint 網站上的其他任何內容。
當員工與顧問共用資料夾時,SharePoint 會中斷資料夾本身的繼承,以自動處理權限和存取權的所有詳細數據。 顧問可以存取資料夾中的所有文件,但無法檢視或存取網站上的任何其他資訊。 即使繼承在技術上已中斷,如果稍後將人員新增至父網站集合,他們會自動獲得共用資料夾的權限。