En praktisk vejledning til SharePoint site Permissions

div>

Nov 29, 2019 · 14 min læse

SharePoint tilladelser kan være kompliceret. Uanset om du er helt ny med ejerskab af stedet eller en erfaren dyrlæge, er det altid en bedste praksis at holde tilladelser så enkle som muligt. Det vil holde dig fra at miste dit sind.

dette indlæg giver dig nogle vejledninger om, hvordan du opretter tilladelser, når du får eller arver et nyt SharePoint-sted. Følg disse gennemprøvede praksis, og tingene forbliver enkle og nemmeste at håndtere.

SharePoint — tilladelser — også kendt som SharePoint security af IT geeks-har en masse fordele for dig, dit team, dine udvidede kolleger og andre, der har adgang til dit netværk.

i IT-feltet taler vi om virkningen af “sikkerhedstrimning”, dybest set at der kan være masser af indhold derude på dit SharePoint-system, men du har typisk kun adgang til et bestemt beløb. Det andet indhold er “trimmet” fra dit synspunkt. Få mennesker har adgang til alt; normalt er den gudlignende adgang begrænset kun til IT-administratorerne.

det er faktisk lidt ligesom Facebook. Der er meget Facebook-indhold derude, men det meste er ude af syne fra dig; det er beskyttet. Samme her.

Her er et par grunde til, at SharePoint-tilladelser kan være ret fantastiske:

  1. tilladelser giver dig mulighed for at skjule kladdeoplysninger, så de, der ikke skal se det, ikke kan.
  2. adgang til Teamsite kan begrænses til det team. Det kan dyrkes eller krympes, når holdet ændrer sig, også.
  3. centraliseret information kan hostes for stort set alle efter behov. Har du brug for hurtig adgang til cafeteriamenuen? Slip det i et relevant dokumentbibliotek, der er tilgængeligt for alle.
  4. SharePoint-tilladelser kan bruge allerede oprettede brugergrupper fra Active Directory (mere om dette senere), så du ikke behøver at fortsætte med at give adgang til enkeltpersoner.
  5. du kan også oprette ad hoc SharePoint-grupper, der kan bruges på tværs af forskellige steder. Hold dem opdateret, og dine sider ved, hvem de automatisk skal tillade takket være en central gruppeliste.
  6. hvis nogen har givet et link til en fil eller et sted, som de ikke har adgang til, kan de ikke se indholdet, hvilket betyder, at dine ting forbliver beskyttet. De kan anmode om adgang, men intet siger, at du skal give det til dem.

Ved kun at have adgang til noget indhold (ikke hele systemets værdi af filer, mapper og sider), vil dine søgeresultater indeholde mindre fremmede oplysninger. Denne information kan ikke vises i dine resultater, hvilket er en gevinst for dig, når du leder efter ting.

ejere, medlemmer, besøgende, Åh min!

SharePoint giver dig tre tilladelsesgrupper på hvert nyt SharePoint-sted: ejere, medlemmer og besøgende. Det er en god ide at holde sig til disse. Du kan frit oprette nye SharePoint-grupper, når du vil, men det tilføjer kompleksitet, mange gange unødigt.

i nogle tilfælde kan det føles godt at oprette en ny SharePoint-gruppe, men du skal altid bekæmpe trangen og virkelig overbevise dig selv om, at du har brug for en ny gruppe. Hver ny gruppe gør et sted mere komplekst, hvilket gør en overdragelse af ejerskab vanskeligere i fremtiden.

Som standard har ejere “fuld kontrol”, medlemmer har “rediger” adgang, og besøgende har “Læs” adgang. Du kan selvfølgelig ændre disse; faktisk, jeg anbefaler at foretage en ændring for Medlemsgruppen på hvert sted. Men ellers ville jeg holde fast ved disse, som de kommer, fordi 1) det er enklere og 2) når nogen overtager for dig, vil du have overgangen så let som muligt. Super komplicerede tilladelser opsætninger gør ikke for en sjov oplevelse for en ny ejer.

nedenfor er den side, du ser, når du opretter et nyt sted. Du får mulighed for at oprette de nye grupper. Du kan omdøbe dem, og du kan vælge at bruge allerede eksisterende grupper til at træde i stedet for de besøgende, medlemmer og ejere. Jeg kan ikke anbefale det. Brug standardindstillingerne. Og drage fordel af at tilføje folk til dine grupper nu, hvis du vil.

hvordan bruger du din hjemmeside?

den tilsigtede brug af et SharePoint-sted skal diktere, hvordan du giver tilladelser. Hvis du har ansvaret for et sted, der huser endelige, offentliggjorte oplysninger — for eksempel din HR — afdelings intranetsted-skal du give læseadgang til mange mennesker, redigere adgang til meget få og ejerskab til endnu færre. Hvis du ejer et teamsite, skal du for det meste give redigeringsadgang; folk har arbejde at gøre, så lad dem gøre det. Giv ikke læseadgang, hvis du kan undgå det; begræns også ejerne. For andre typer ad hoc-sider er det virkelig dit opkald.

ejergruppe

denne gruppe får fuld kontrol over sitet. Ejere kan oprette, redigere og slette stort set alt på et sted, herunder at slette selve stedet. Som ejer er du muligvis ikke virksomhedsejer, men du er ejer af forretningsprocessen til at være vært for indhold, arrangere arkitekturen, opbygge og opdatere lister og generelt hjælpe med at gøre dine kolleger og team mere strømlinede.

dette er en ret vigtig rolle i din organisation og bør betragtes som en del af din jobbeskrivelse. En god site ejer har indlysende værdi i et team, fordi arbejdet bliver gjort med færre barrierer og forsinkelser. Ting … bare arbejde, og du er en meget værdifuld tilføjelse til dit team. Sørg for, at din chef ved dette.

Rule of Three

et godt SharePoint-sted behøver ikke mere end tre ejere. Det er rigtigt, tre: den primære ejer, en backup og en sekundær backup på off-chance den primære backup er ikke tilgængelig.

jeg ved hvad du tænker: “men så mange mennesker har brug for adgang til at opdatere siden for at gøre dette, det eller den anden ting.”Okay, men de behøver ikke at være ejere. Så giv dem ikke ejerskab. Gør dem til medlemmer. Og kun give dem medlem adgang til de lister, de har brug for det på.

Du kan muligvis ikke lide denne anbefaling, men den er ikke vilkårlig. Dette er en gennemprøvet praksis, der kommer fra mange erfaringer og praktisk succes, som jeg har oplevet at føre tilsyn med mine egne sider og et helt netværk af sider i mit professionelle liv. Stol på mig: denne regel giver den nemmeste opsætning til rådighed. Her er hvorfor:

  1. du har brug for mere end en ejer. Når du er ude, skal nogen spille din backup. Den anden backup er beregnet til yderligere at minimere risikoen for, at der ikke er en tilgængelig backup, når det er nødvendigt.
  2. ikke alle ejere er af samme kaliber. Jo færre ejere, jo mindre risiko for, at noget bliver brudt af en mindre erfaren ejer.
  3. færre ejere betyder mere kontrol, når der foretages ændringer på siden. Når nogen vil ændre noget på deres side, kommer de til dig og dine to kolleger; du kan derefter komme med anbefalingen om den smarteste løsning. Hvis der er en flok ejere, kan man bare gå ud, foretage ændringen, fordi “det er ikke en big deal”, og du kan alle fortryde det i fremtiden på grund af utilsigtede konsekvenser.
  4. at holde Ejergruppen lille sikrer ægte ejerskab af siden. Hvis der er ti ejere, og der opstår et problem, vil der være en masse fingerpegende og “jeg troede, det var hans/hendes ansvar”, der optrådte. Stol på mig. Har været der.
  5. hvis du er den primære ejer, skal du træne andre ejere. At træne to mennesker er meget lettere end at træne syv.

Jeg har endnu ikke oplevet en situation, hvor reglen om tre ikke har været den bedste løsning. Og jeg har været omkring en masse SharePoint sites i min dag.

et sidste tip om at være ejer: angiv altid navnene på ejerne på hjemmesiden. Jeg giver normalt en SharePoint-kontaktliste med navne, telefonnumre, e-mail-adresser og arbejdsplan for ejerne, så brugerne straks ved, hvem de skal kontakte, hvis der er et spørgsmål eller et problem med det sted. En af de største designfejl fra Microsofts side er ikke at give en automatisk liste over ejere på hvert sted. Folk har brug for at vide, hvem der har ansvaret!

medlemmer gruppe

medlemmer er mennesker, der kan foretage ændringer i et site. De kan sende dokumenter, opdatere lister, svare på undersøgelser og dybest set deltage i indholdsudvikling, kuration og brug af hjemmesiden. Min anbefaling til brug af Medlemsgruppen er ret enkel:

  • Skift standardadgangsniveauet fra “Rediger” til “bidrag”: af en eller anden grund besluttede Microsoft at hæve standardadgangsniveauet for medlemmer i SharePoint 2013 (og senere versioner). “Rediger “giver folk mulighed for at oprette, redigere og slette lister ud over alt hvad du kan gøre med”bidrage”. Det er ret sandsynligt, at du ikke vil have folk til at skrue rundt med lister, som du tog meget tid på at oprette, tilpasse og bygge. Så begrænse deres tilladelser til den “gamle” normale fra starten. Dette er min anbefaling, uanset hvilken type site, du har at gøre med.
  • Holdsider: Hvis du ejer et teamsite, hvor du og dine kolleger samarbejder om procesdokumenter, formularer, filer, lister, og hvad ikke, lav så mange af dine holdkammerater som muligt. De skal alle have adgang til at foretage ændringer i indholdet, fordi de gør arbejde! Lad dem!
  • Udgivelsessider: hvis du ejer et udgivelsessted, hvor det meste af indholdet er færdige filer, politikker osv., du skal have få til ingen medlemmer. Jeg ved, mange ejere kan ikke lide denne anbefaling. Men helt ærligt er indholdet prime time, og så få mennesker som muligt skal have evnen til at ændre ting. Du ønsker ikke, at en utilsigtet eller uautoriseret ændring skal finde sted under dit ur. Så begræns tilladelserne i udgivelsesområdet, hvis du kan. Som et eksempel på et HR-udgivelsessted har separate dokumentbiblioteker for hver funktion: en til fordele, en til arbejdsdokumenter, en til politikker, en til rekruttering osv. Medlemmerne af hvert af disse hold skal have Medlemsadgang til hvert af disse biblioteker, så de kan opdatere oplysninger efter behov; men ingen andre bør have redigeringsadgang til disse biblioteker.

Besøgsgruppe

besøgende er personer, der har læseadgang til en hjemmeside. De kan åbne filer (og endda hente dem), men de kan ikke foretage ændringer i indholdet. De er beregnet til at forbruge indhold, men ikke oprette, opdatere, redigere eller slette det.

dybest set er det det samme som når du går til Amazon.com. du redigerer ikke listen over ting, du skal købe. Du læser det. Du vælger dem, du vil have, men du ændrer ikke beholdningen, som andre kan læse. Som en typisk internetbruger, du er besøgende på næsten alle sider derude.

min anbefaling til brug af Besøgsgruppen er endnu enklere end medlemmer:

  • teamsider: helt ærligt tror jeg, at hvis du er medlem af et team, skal du altid være medlem på det sted. Men jeg er klar over, at der er tidspunkter, hvor udenforstående til gruppen (øverste ledelse, korrekturlæsere, folk, der bare skal forblive “i viden”) har brug for læseadgang, men ikke redigeringsadgang. Så generelt, i et samarbejdsområde, foreslår jeg at have så få besøgende som muligt. Læseadgang forhindrer potentielt arbejde i at blive gjort.
  • Publishing sites: Publishing sites er beregnet til at dele færdiggjort information med mange mennesker. Din virksomheds eller organisations hjemmeside er et udgivelsessted. Mange mennesker har brug for adgang. Disse mennesker bør være i gruppen besøgende. Din HR fordele side er et andet godt eksempel. Hvis du ikke er på fordelsholdet i HR, skal du have læseadgang til filer relateret til forsikring, pensionering osv., men du bør ikke være i stand til at ændre filerne (selvom du vil, så du har bedre fordele!).

andre SharePoint-grupper

Du kan oprette så mange SharePoint-grupper, som du ønsker. Dette er nyttigt, hvis du har en ad hoc-samling af personer, du vil kunne give adgang til andre steder andre steder i dit SharePoint-miljø.

en ting at overveje: sørg for at opdatere ejeren af hver af grupperne på din side som Ejergruppen. Desværre gør SharePoint som standard gruppeejere til den person, der oprettede siden (eller gruppen), ikke Ejergruppen. Logisk set skal ejerne have fuld kontrol over stedet og de grupper, der bruges på stedet. Hvis du ikke ændrer dette, og den valgte person forlader din organisation, kan du ikke ændre eller opdatere indstillingerne for SharePoint-gruppen uden at involvere din IT-afdeling. Hvis du opdaterer gruppeejeren til Ejergruppen, vil den, der er ejer i fremtiden, have mulighed for at foretage ændringer i disse grupper.

Active Directory groups

Active Directory er det værktøj, Microsoft leverer til at holde styr på mennesker i et netværk. Når du sender en e-mail til en person fra Outlook, trækker den oplysninger fra Active Directory (eller AD for kort). AD giver mulighed for at oprette grupper også. Og de er ikke SharePoint-grupper, så bland dem ikke sammen.

annoncegrupper giver en enorm fordel: hvis din organisation opdaterer annoncegrupper til dine afdelinger, teams og hvad ikke, kan du gøre brug af dem i SharePoint. Mange HR-afdelinger inkluderer opdatering af en annoncegruppe som en del af onboarding-og termineringsprocessen, hvilket betyder, at annoncegrupperne sandsynligvis er aktuelle og pålidelige, når du bruger dem i SharePoint.

det mest nyttige eksempel er at bruge en “alle medarbejdere” – type annoncegruppe, hvilket giver dig en meget hurtig og automatiseret måde at give adgang til alle brugere i dit netværk. (Det kan være kendt som” alt personale”,” personale”,” domænebrugere ” eller noget lignende. Hver IT / HR-afdeling kommer med sin egen terminologi.) Jeg er afhængig af disse typer grupper, når jeg opretter og deler udgivelsessider, der muligvis har information om hele virksomheden. Et kommunikationsportalsted, HR-fordelingsstedet, regnskabsbiblioteket og lignende vil generelt have “alt personale” som en del af Besøgsgruppen. På den måde behøver jeg ikke at tilføje og fjerne brugere individuelt, når de tilmelder sig og forlader organisationen. En anden gør arbejdet for mig ved hjælp af en centraliseret, pålidelig proces.

Hvis din organisation ikke bruger annoncegrupper, er det en hindring for produktiviteten, og dine IT-og/eller HR-afdelinger bør virkelig overveje at gøre det til gavn for alle, der bruger SharePoint… eller Outlook! Det er en af de nemmere måde at e-maile en gruppe mennesker uden at skulle kigge efter individuelle brugerkonti eller e-mail-adresser.

bemærk, at fordelene ved annoncegrupper kun kommer fra interne brugere. Du kan ikke rigtig få den fordel, når du diskuterer klienter, leverandører og andre udenforstående, medmindre de er en del af din annoncegruppe, eller der har været nogle føderationsopsætninger med disse organisationer, hvilket er et kompliceret emne at komme ind på og ikke noget, jeg planlægger at dække her.

Breaking permissions arv

et af de mest kraftfulde aspekter af SharePoint er “tilladelser på objektniveau”. Dette er et fancy udtryk for”du kan give adgang til individuelle elementer i SharePoint uden at give adgang til et helt sted eller system”. Det er en kæmpe fordel i SharePoint.

som standard arver alt dit indhold på din hjemmeside tilladelser fra selve hjemmesiden. Så adgang er den samme på Fil A som fil B som bibliotek som liste Y som hele siden. Muligheden for at bryde arv betyder, at du kan gøre adgang unik for en fil, bibliotek, liste eller noget på det sted.

Dette er super fristende og kan være yderst nyttigt. Men det kan være meget farligt, fordi når du bryder arv, øger du kompleksiteten af din tilladelsesopsætning betydeligt. Det er ikke en dårlig ting, men du skal være klar til at holde tingene under kontrol, når du gør det. Heldigvis i SharePoint 2013, 2016 og Online er der mulighed for at se, hvem en fil, liste, bibliotek eller andet element er “delt med”. Denne indstilling er tilgængelig på båndet i ethvert bibliotek, liste, element eller dokument; se nedenfor. I tidligere versioner af SharePoint var det ikke tilfældet, så tilladelser blev et totalt mareridt. Nu er de bare et delvis mareridt!

når det er sagt, skal du stadig træde let, når det kommer til at bryde arv og give unikke tilladelser baseret på individuelle genstande. Her er mine anbefalinger:

  1. Hold dig til biblioteker og steder: hvis du har brug for at bryde arv, skal du ikke gøre det på den enkelte fil. Slip disse filer i en mappe, et bibliotek eller endda et separat sted, og administrer dine tilladelser derfra. Det er meget nemmere.
  2. brug SharePoint-grupper: bryd ikke tilladelser ved at give enkeltpersoner adgang. Opret en SharePoint-gruppe til lejligheden, og brug den i stedet. Det er nemmere at opdatere en SharePoint — gruppe et sted — så nyd hvert element, der automatisk trækker gruppen i sine tilladelser-end at skulle foretage en ændring overalt, når nogen slutter sig til eller forlader din organisation.
  3. vær forsigtig: jeg siger på ingen måde ikke at drage fordel af tilladelser på objektniveau. Jeg bruger det regelmæssigt. Men jeg kender risikoen. Ting bliver komplicerede, og intentioner er lette at glemme. Bedst at dokumentere ræsonnement bag din tilladelsesarkitektur (se nedenfor).

dokument din opsætning

når du har konfigureret din tilladelsesstruktur, skal du dokumentere den. Jeg kan godt lide at have et bibliotek på alle mine sider kaldet “ejer docs” eller noget lignende. I dette bibliotek opbevarer jeg en fil, der dækker tilladelsesstrukturen, eventuelle billeder, der bruges på selve siden, et dokument, der dækker beskrivelsen af siden, Tilsigtet brug og hvad ikke.

Jeg ved, at dokumentation suger; ingen kan lide at gøre det. Men du vil ikke eje din hjemmeside for evigt. Denne dokumentation kan hjælpe dine backup-ejere og alle andre, der kommer ind for at overtage som ejer i fremtiden. Faktisk er det en stor tidsbesparende, når du har en ny backup ejer kommer om bord. Det betyder mindre tid til at træne dem, og de har en ressource til at slå op, når du er ude, og de skal træffe en beslutning, der kan påvirke visionen og formålet med din hjemmeside.

dokumentation af dine tilladelser er dybest set styring i lille skala. Og selvom det ikke er sjovt, finder jeg det kritisk.

ekstern deling

SharePoint Online giver nu mulighed for at dele med brugere uden for organisationens netværk. Og det er en virkelig kraftig opgradering til tjenesten. Men det er uden for rammerne af dette indlæg. Jeg vil dække dette koncept i et separat indlæg, fordi det fortjener sin egen beskrivelse, analyse og anbefalinger. Alt, der er nævnt i dette indlæg, antager, at du kun giver adgang til brugere inden for dit netværk eller organisation, ikke uden for personer eller grupper.

konklusion

hold det enkelt. Hold dig til de ud-af-boksen grupper. Minimer tilladelser på objektniveau. Gør brug af annoncegrupper, når du kan. Dokumentere din opsætning. Tre ejere maks. For udgivelse sites, meget få medlemmer, mange besøgende. For holdsider, mange medlemmer, få til ingen besøgende. Foretag altid en sundhedskontrol, når du bevæger dig væk fra disse principper for at sikre dig, at du absolut har brug for det. Og hold dig til dine våben, når folk protesterer. Du er eksperten.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.