Guía Práctica de los Permisos de Sitio de SharePoint

Matt Wade
Matt Wade

Seguir

Nov 29, 2019 · 14 min leer

los permisos de SharePoint puede ser complicado. Ya sea que sea nuevo en la propiedad del sitio o un veterano experimentado, mantener los permisos lo más simple posible siempre es una buena práctica. Evitará que pierdas la cabeza.

Este post va a dar alguna orientación sobre cómo configurar los permisos cuando usted recibe o heredar un nuevo sitio de SharePoint. Siga estas prácticas comprobadas y las cosas seguirán siendo simples y fáciles de manejar.

Los permisos de SharePoint, también conocidos como seguridad de SharePoint por los geeks de TI, tienen una serie de beneficios para usted, su equipo, sus colegas extendidos y otras personas que tienen acceso a su red.

En el campo de TI, hablamos del impacto del” recorte de seguridad”, básicamente que puede haber un montón de contenido en su sistema de SharePoint, pero normalmente solo tiene acceso a una cierta cantidad. Ese otro contenido está “recortado” de tu vista. Pocas personas tienen acceso a todo; por lo general, ese acceso divino está limitado solo a los administradores de TI.

Es en realidad una especie de Facebook. Hay mucho contenido de Facebook por ahí, pero la mayor parte está fuera de tu vista; está protegido. Lo mismo digo.

Aquí hay algunas razones por las que los permisos de SharePoint pueden ser bastante impresionantes:

  1. Los permisos te dan la opción de ocultar información de borrador para que aquellos que no deberían verla, no puedan.
  2. El acceso al sitio del equipo se puede limitar a ese equipo. También puede crecer o reducirse a medida que el equipo cambia.
  3. La información centralizada se puede alojar básicamente para todos según sea necesario. ¿Necesita acceso rápido al menú de la cafetería? Colóquelo en una biblioteca de documentos relevante que esté disponible para cualquier persona.
  4. Los permisos de SharePoint pueden usar grupos de usuarios ya creados de Active Directory (más información sobre esto más adelante), por lo que no tiene que seguir dando acceso a personas.
  5. También puede crear grupos de SharePoint ad hoc que se pueden usar en diferentes sitios. Manténgalos actualizados y sus sitios sabrán a quién permitir automáticamente gracias a una lista de grupos centrales.
  6. Si a alguien se le da un enlace a un archivo o sitio al que no tiene acceso, no verá el contenido, lo que significa que tus cosas permanecen protegidas. Pueden solicitar acceso, pero nada dice que tengas que dárselo.

Al tener acceso solo a algunos contenidos (no a los archivos, carpetas y sitios de todo el sistema), los resultados de búsqueda contendrán menos información extraña. Esa información no puede aparecer en tus resultados, lo que es una victoria para ti cuando estás buscando cosas.

los Propietarios, Miembros, Visitantes, ¡oh mi dios!

SharePoint le ofrece tres grupos de permisos en cada nuevo sitio de SharePoint: Propietarios, Miembros y Visitantes. Es una buena idea seguir con esto. Puede crear nuevos grupos de SharePoint en cualquier momento que desee, pero añade complejidad, muchas veces innecesariamente.

En algunos casos, puede sentirse bien crear un nuevo grupo de SharePoint, pero siempre debe luchar contra las ganas y convencerse realmente de que necesita un nuevo grupo. Cada nuevo grupo hace que un sitio sea más complejo, lo que dificulta la transferencia de propiedad en el futuro.

De forma predeterminada, los Propietarios tienen “Control total”, los Miembros tienen acceso a” Editar “y los Visitantes tienen acceso a” Leer”. Por supuesto, puede cambiarlos; de hecho, recomiendo hacer un cambio para el grupo de Miembros en cada sitio. Pero de lo contrario, me quedaría con estos como vienen porque 1) es más simple y 2) cuando alguien se hace cargo de ti, quieres que la transición sea lo más fácil posible. Las configuraciones de permisos súper complicadas no son una experiencia divertida para un nuevo propietario.

A continuación se muestra la página que ves al crear un nuevo sitio. Tienes la opción de crear los nuevos grupos. Puede cambiarles el nombre y elegir utilizar grupos ya existentes para ocupar el lugar de los Visitantes, Miembros y Propietarios. No lo recomiendo. Utilice los valores predeterminados. Y aprovecha la oportunidad de agregar personas a tus grupos ahora si lo deseas.

¿Cómo está utilizando su sitio?

El uso previsto de un sitio de SharePoint debe determinar cómo se otorgan los permisos. Si está a cargo de un sitio que contiene información final publicada (el sitio de intranet de su departamento de recursos Humanos, por ejemplo), debe dar acceso de lectura a mucha gente, acceso de edición a muy pocos y propiedad a incluso menos. Si eres dueño de un sitio de equipo, deberías dar principalmente acceso de edición; las personas tienen trabajo que hacer, así que deja que lo hagan. No dé acceso de lectura si puede evitarlo; y limitar a los propietarios también. Para otros tipos de sitios ad hoc, realmente es tu decisión.

grupo de Propietarios de

Este grupo obtiene el control total del sitio. Los propietarios pueden crear, editar y eliminar prácticamente cualquier cosa en un sitio, incluida la eliminación del sitio en sí. Como propietario, puede que no seas el propietario del negocio, pero eres el propietario del proceso de negocio para alojar contenido, organizar la arquitectura, crear y actualizar listas y, en general, ayudar a que tus colegas y tu equipo sean más ágiles.

Este es un papel muy importante en su organización y debe considerarse parte de la descripción de su trabajo. Un buen propietario de un sitio tiene un valor obvio en un equipo porque el trabajo se realiza con menos barreras y retrasos. Las cosas work solo funcionan, y eres una adición muy valiosa a tu equipo. Asegúrate de que tu jefe lo sepa.

Regla de Tres

Un buen sitio de SharePoint no necesita más de tres Propietarios. Así es, tres: el propietario principal, una copia de seguridad y una copia de seguridad secundaria en caso de que la copia de seguridad primaria no esté disponible.

Sé lo que estás pensando: “Pero mucha gente necesita acceso para actualizar el sitio para hacer esto, aquello o lo otro.”Está bien, pero no necesitan ser dueños. Así que no les des propiedad. Hazlos Miembros. Y solo dales acceso a las listas en las que lo necesitan.

puede que no Te guste esta recomendación, pero no es arbitraria. Esta es una práctica comprobada que proviene de muchas lecciones aprendidas y el éxito práctico que he experimentado supervisando mis propios sitios y una red completa de sitios en mi vida profesional. Confía en mí: esta regla facilita la configuración disponible. Esta es la razón:

  1. Necesitas más de un propietario. Cuando estás fuera, alguien tiene que jugar tu copia de seguridad. La segunda copia de seguridad está destinada a minimizar aún más el riesgo de que no haya una copia de seguridad disponible cuando sea necesario.
  2. No todos los Propietarios son del mismo calibre. Cuantos menos propietarios haya, menos riesgo habrá de que un propietario con menos experiencia rompa algo.
  3. Menos propietarios significa más control cuando se realizan cambios en el sitio. Cuando alguien quiere cambiar algo en su sitio, acude a usted y a sus dos colegas; luego puede hacer la recomendación sobre la solución más inteligente. Si hay un montón de propietarios, uno puede simplemente irse, hacer el cambio porque “no es gran cosa”, y todos pueden arrepentirse en el futuro debido a consecuencias no deseadas.
  4. Mantener el grupo de propietarios pequeño garantiza la verdadera propiedad del sitio. Si hay diez Propietarios y surge un problema, habrá un montón de señalar con el dedo “pensé que era su responsabilidad” hace una aparición. Confía en mí. He estado allí.
  5. Si eres el Propietario principal, tendrás que capacitar a otros propietarios. Entrenar a dos personas es mucho más fácil que entrenar a siete.

Todavía no he experimentado una situación en la que la regla de tres no haya sido la mejor solución. Y he estado en muchos sitios de SharePoint en mi día.

Un último consejo sobre ser propietario: siempre enumere los nombres de los Propietarios en la página de inicio. Por lo general, proporciono una lista de contactos de SharePoint con los nombres, números de teléfono, direcciones de correo electrónico y horarios de trabajo de los Propietarios para que los usuarios sepan inmediatamente a quién contactar si hay una pregunta o un problema con ese sitio. Uno de los mayores defectos de diseño por parte de Microsoft es no proporcionar una lista automática de propietarios en cada sitio. La gente necesita saber quién está a cargo!Grupo de miembros

Los miembros son personas que pueden realizar cambios dentro de un sitio. Pueden publicar documentos, actualizar listas, responder encuestas y, básicamente, participar en el desarrollo de contenido, la curación y el uso del sitio. Mi recomendación para usar el grupo de miembros es bastante simple:

  • Cambiar el nivel de acceso predeterminado de ” Editar “a” Contribuir”: Por alguna razón, Microsoft decidió subir el nivel de acceso predeterminado para los Miembros en SharePoint 2013 (y versiones posteriores). “Editar “le da a las personas la capacidad de crear, editar y eliminar listas, además de todo lo que puede hacer con”Contribuir”. Es muy probable que no quieras que la gente se meta con listas que tomaste mucho tiempo en crear, personalizar y construir. Así que restringe sus permisos a la” vieja ” normal desde el principio. Esta es mi recomendación, independientemente del tipo de sitio con el que estés tratando.
  • Bases de operaciones: Si tienes un sitio de equipo, donde tú y tus colegas están colaborando en documentos en proceso, formularios, archivos, listas y demás, haz que el mayor número de miembros de tu equipo sea posible. Todos deberían tener el acceso disponible para hacer cambios en el contenido porque, bueno, ¡están haciendo trabajo! ¡Déjenlos!
  • Sitios de publicación: Si posee un sitio de publicación, donde la mayor parte del contenido está terminado, archivos, políticas, etc., deberías tener pocos o ningún Miembro. Lo sé, a muchos propietarios no les gusta esta recomendación. Pero, francamente, el contenido es en horario de máxima audiencia y el menor número posible de personas debería tener la capacidad de cambiar las cosas. No desea que se produzca un cambio inadvertido o no autorizado bajo su vigilancia. Por lo tanto, limite los permisos en el área de publicación si puede. Por ejemplo, en un sitio de publicación de recursos humanos, tenga bibliotecas de documentos separadas para cada función: una para beneficios, una para documentos laborales, una para políticas, una para reclutamiento, etc. Los miembros de cada uno de esos equipos deben tener acceso a cada una de esas bibliotecas para que puedan actualizar la información según sea necesario; pero nadie más debería tener acceso de edición a esas bibliotecas.

Grupo de visitantes

Los visitantes son personas que tienen acceso de lectura a un sitio. Pueden abrir archivos (e incluso descargarlos), pero no pueden hacer cambios en el contenido. Están diseñados para consumir contenido, pero no crear, actualizar, editar o borrar.

Básicamente, es lo mismo que cuando vas a Amazon.com. No editas la lista de cosas para comprar. Léelo tú. Usted elige los que desea, pero no cambia el inventario para que otros lo lean. Como usuario típico de Internet, usted es un visitante de casi todos los sitios que hay.

Mi recomendación para usar el grupo de Visitantes es aún más simple que los Miembros:

  • Sitios de equipos: Francamente, creo que si eres miembro de un equipo, siempre debes ser Miembro de ese sitio. Pero me doy cuenta de que hay momentos en los que las personas ajenas al grupo (la alta dirección, los revisores, las personas que solo necesitan mantenerse “al tanto”) necesitan acceso de lectura, pero no acceso de edición. Así que, en términos generales, en un espacio de colaboración, sugiero tener el menor número de Visitantes posible. El acceso de lectura puede dificultar el trabajo.
  • Sitios de publicación: Los sitios de publicación están destinados a compartir información final con mucha gente. La página de inicio de su empresa u organización es un sitio de publicación. Mucha gente necesita acceso. Esas personas deberían estar en el grupo de Visitantes. Su página de beneficios de recursos humanos es otro buen ejemplo. Si no está en el equipo de beneficios en Recursos Humanos, debe tener acceso de lectura a archivos relacionados con el seguro, la jubilación, etc., pero no debería poder cambiar los archivos (incluso si lo desea, ¡para obtener mejores beneficios!).

Otros grupos de SharePoint

Puede crear tantos grupos de SharePoint como desee. Esto es útil si tiene una colección ad hoc de personas a las que desea poder proporcionar acceso en otros sitios en cualquier lugar de su entorno de SharePoint.

Una cosa a tener en cuenta: asegúrate de actualizar al propietario de cada uno de los grupos de tu sitio como el grupo de Propietarios. Desafortunadamente, de forma predeterminada, SharePoint hace que los propietarios del grupo sean la persona que creó el sitio (o el grupo), no el grupo de propietarios. Lógicamente, los Propietarios deben tener el control total del sitio y de los grupos utilizados en el sitio. Si no cambia esto y la persona seleccionada abandona su organización, no podrá cambiar ni actualizar la configuración del grupo de SharePoint sin involucrar a su departamento de TI. Si actualizas el propietario del grupo al grupo Propietarios, quien sea Propietario en el futuro tendrá la capacidad de realizar cambios en esos grupos.

Grupos de Active Directory

Active Directory es la herramienta que Microsoft proporciona para realizar un seguimiento de las personas en una red. Cuando envías un correo electrónico a alguien desde Outlook, está extrayendo información de Active Directory (o AD, para abreviar). AD también ofrece la opción de crear grupos. Y no son grupos de SharePoint, así que no los mezcles.

Los grupos de anuncios ofrecen un gran beneficio: si tu organización actualiza los grupos de anuncios para tus departamentos, equipos y demás, puedes utilizarlos en SharePoint. Muchos departamentos de recursos humanos incluyen la actualización de un grupo de anuncios como parte del proceso de incorporación y terminación, lo que significa que los grupos de anuncios son probablemente actuales y confiables cuando los usa en SharePoint.

El ejemplo más útil es usar un tipo de grupo de anuncios “Todo el personal”, que le brinda una forma muy rápida y automatizada de dar acceso a todos los usuarios de su red. (Podría conocerse como “Todo el personal”, “Personal”, “Usuarios de dominio” o algo similar. Cada departamento de TI / recursos humanos elabora su propia terminología.) Dependo de este tipo de grupos cuando creo y comparto sitios de publicación que pueden tener información de toda la empresa. Un sitio de portal de comunicación, el sitio de beneficios de recursos humanos, la biblioteca de formularios de contabilidad y similares generalmente tendrían “Todo el Personal” como parte del grupo de Visitantes. De esa manera, no tengo que agregar y eliminar usuarios individualmente a medida que se unen y abandonan la organización. Otra persona hace el trabajo por mí, utilizando un proceso centralizado y confiable.

Si su organización no utiliza grupos de anuncios, es un obstáculo para la productividad y sus departamentos de TI y/o recursos humanos deberían considerar hacerlo en beneficio de cualquier persona que use SharePoint… o Outlook. Es una de las formas más fáciles de enviar correos electrónicos a un grupo de personas sin tener que buscar cuentas de usuario individuales o direcciones de correo electrónico.

Tenga en cuenta que los beneficios de los grupos de anuncios solo provienen de los usuarios internos. En realidad, no puedes obtener ese beneficio al hablar de clientes, proveedores y otras personas ajenas a ti, a menos que formen parte de tu grupo de anuncios o haya habido alguna configuración de federación con esas organizaciones, lo cual es un tema complicado de abordar y no es algo que planee cubrir aquí.

Romper la herencia de permisos

Uno de los aspectos más potentes de SharePoint es el de los “permisos a nivel de objeto”. Este es un término elegante para “puede dar acceso a elementos individuales en SharePoint sin dar acceso a un sitio o sistema completo”. Y es un gran beneficio en SharePoint.

De forma predeterminada, todo el contenido de tu sitio hereda los permisos del propio sitio. Por lo tanto, el acceso es el mismo en el archivo A que en el archivo B que en la biblioteca X como en la lista Y que en todo el sitio. La opción de romper la herencia significa que puede hacer que el acceso sea único para un archivo, biblioteca, lista o cualquier cosa en ese sitio.

Esto es muy tentador y puede ser extremadamente útil. Pero puede ser muy peligroso porque a medida que rompe la herencia, aumenta significativamente la complejidad de la configuración de permisos. Eso no es algo malo, pero tienes que estar listo para mantener las cosas bajo control una vez que lo hagas. Afortunadamente, en SharePoint 2013, 2016 y en línea, existe la posibilidad de ver con quién se “Comparte”un archivo, lista, biblioteca u otro elemento. Esta opción está disponible en la cinta de cualquier biblioteca, lista, elemento o documento; consulte a continuación. En versiones anteriores de SharePoint, ese no era el caso, por lo que los permisos se convirtieron en una pesadilla total. ¡Ahora son sólo una pesadilla parcial!

dicho esto, usted todavía tiene que ir con cuidado cuando se trata de romper la herencia y proporcionar permisos únicos basados en los elementos individuales. Estas son mis recomendaciones:

  1. Adhiérase a bibliotecas y sitios: Si necesita romper la herencia, no lo haga en el archivo individual. Coloque esos archivos en una carpeta, biblioteca o incluso en un sitio separado y administre sus permisos desde allí. Es mucho más fácil.
  2. Usar grupos de SharePoint:No rompa los permisos dando acceso a las personas. Cree un grupo de SharePoint para la ocasión y utilícelo en su lugar. Es más fácil actualizar un grupo de SharePoint en un solo lugar, y luego disfrutar de todos los elementos que extraen los permisos de ese grupo automáticamente, que tener que realizar un cambio en todo el lugar cuando alguien se une o abandona tu organización.
  3. Tenga cuidado: de ninguna manera estoy diciendo que no aproveche los permisos a nivel de objeto. Lo uso regularmente. Pero conozco el riesgo. Las cosas se complican y las intenciones son fáciles de olvidar. Lo mejor es documentar el razonamiento detrás de su arquitectura de permisos (consulte a continuación).

Documente su configuración

Una vez que haya configurado su estructura de permisos, debe documentarla. Me gusta tener una biblioteca en todos mis sitios llamada “Documentos de propietario” o algo así. En esta biblioteca, guardo un archivo que cubre la estructura de permisos, cualquier imagen utilizada en el sitio en sí, un documento que cubre la descripción del sitio, el uso previsto y demás.

Sé que la documentación apesta; a nadie le gusta hacerlo. Pero no serás dueño de tu sitio para siempre. Esta documentación puede ayudar a los propietarios de copias de seguridad y a cualquier otra persona que entre a hacerse cargo como Propietario en el futuro. De hecho, es un gran ahorro de tiempo cuando tiene un nuevo propietario de respaldo a bordo. Significa que se necesita menos tiempo para entrenarlos y que tienen un recurso para golpear cuando estás fuera y tienen que tomar una decisión que puede afectar la visión y el propósito de tu sitio.

Documentar sus permisos es básicamente un gobierno a pequeña escala. Y aunque no es divertido, lo encuentro crítico.

Uso compartido externo

SharePoint Online ahora ofrece la opción de compartir con usuarios fuera de la red de su organización. Y esa es una actualización realmente poderosa del servicio. Pero está fuera del alcance de este post. Cubriré ese concepto en una publicación separada porque merece su propia descripción, análisis y recomendaciones. Todo lo mencionado en esta publicación asume que solo está proporcionando acceso a usuarios dentro de su red u organización, no fuera de personas o grupos.

Conclusión

Mantenerlo simple. Apégate a los grupos listos para usar. Minimizar los permisos a nivel de objeto. Haz uso de grupos de anuncios cuando puedas. Documente su configuración. Tres propietarios máximo. Para sitios de publicación, muy pocos Miembros, muchos Visitantes. Para las bases de operaciones, muchos Miembros, pocos o ningún visitante. Siempre haz un chequeo de cordura cuando te alejes de estos principios para asegurarte de que es absolutamente necesario. Y apégate a tus armas cuando la gente protesta. Tú eres el experto.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.