Een Praktische Gids voor de SharePoint-Machtigingen voor de Site

Matt Wade
Matt Wade

Volgen

Nov 29, 2019 · 14 min lezen

SharePoint-machtigingen kan ingewikkeld zijn. Of u nu gloednieuw bent voor het eigendom van de site of een doorgewinterde dierenarts, het houden van machtigingen zo eenvoudig mogelijk is altijd een best practice. Het zal je ervan weerhouden je verstand te verliezen.

Dit bericht zal u enige aanwijzingen geven over het instellen van machtigingen wanneer u een nieuwe SharePoint-site krijgt of erft. Volg deze beproefde praktijken en de dingen blijven eenvoudig en het makkelijkst te beheren.

SharePoint machtigingen – ook bekend als SharePoint beveiliging door IT geeks — heeft een heleboel voordelen voor u, uw team, uw uitgebreide collega ‘ s, en anderen die toegang hebben tot uw netwerk.

in het IT-veld praten we over de impact van “beveiliging trimmen”, in principe dat er een ton aan content op uw SharePoint-systeem kan zijn, maar u hebt meestal slechts toegang tot een bepaald bedrag. Die andere inhoud is “bijgesneden” van uw mening. Weinig mensen hebben toegang tot alles; meestal is die God-achtige toegang beperkt tot alleen de IT-beheerders.

het is eigenlijk een soort van Facebook. Er is veel Facebook-inhoud die er zijn, maar het meeste is uit het zicht van u; het is beschermd. Hier ook.

Hier zijn een paar redenen waarom SharePoint machtigingen behoorlijk geweldig kunnen zijn:

  1. machtigingen geven u de optie om concept informatie te verbergen, zodat degenen die het niet zouden moeten zien, dat niet kunnen.
  2. Team toegang tot de site kan worden beperkt tot dat team. Het kan worden gegroeid of gekrompen als het team verandert, ook.
  3. gecentraliseerde informatie kan worden gehost voor in principe iedereen als dat nodig is. Snel toegang tot het cafetaria menu nodig? Zet het in een relevante documentbibliotheek die voor iedereen beschikbaar is.
  4. SharePoint-rechten kunnen reeds aangemaakte gebruikersgroepen uit Active Directory gebruiken( hierover later meer), zodat u geen toegang hoeft te blijven geven aan individuen.
  5. u kunt ook ad hoc SharePoint-groepen maken die op verschillende sites kunnen worden gebruikt. Houd ze op de hoogte en uw sites zullen automatisch weten wie toe te staan dankzij een centrale groep rooster.
  6. als iemand een link heeft gegeven naar een bestand of site waar ze geen toegang toe hebben, zullen ze de inhoud niet zien, wat betekent dat je materiaal beschermd blijft. Ze kunnen om toegang vragen, maar niets zegt dat je het hen moet geven.

door alleen toegang te hebben tot bepaalde inhoud (niet de hele waarde van bestanden, mappen en sites van het systeem), zullen uw zoekresultaten minder vreemde informatie bevatten. Die informatie kan niet worden weergegeven in uw resultaten, dat is een overwinning voor u als u op zoek bent naar dingen.

eigenaars, leden, bezoekers, Oh mijn!

SharePoint geeft u drie machtigingsgroepen in elke nieuwe SharePoint-site: eigenaren, leden en bezoekers. Het is een goed idee om bij deze te blijven. U bent vrij om nieuwe SharePoint-groepen te maken wanneer u maar wilt, maar het voegt complexiteit toe, vele malen onnodig.

in sommige gevallen voelt het misschien goed om een nieuwe SharePoint-groep aan te maken, maar je moet altijd de drang bestrijden en jezelf ervan overtuigen dat je een nieuwe groep nodig hebt. Elke nieuwe groep maakt een site complexer, wat een eigendomsoverdracht in de toekomst moeilijker maakt.

standaard hebben eigenaren “volledige controle”, leden hebben” bewerken “toegang en bezoekers hebben” Lezen ” toegang. U kunt deze natuurlijk veranderen; in feite, ik raad het maken van een verandering voor de leden groep in elke site. Maar anders, Ik zou vasthouden aan deze de manier waarop ze komen, want 1) Het is eenvoudiger en 2) Wanneer iemand het overneemt voor u, u wilt dat de overgang zo gemakkelijk mogelijk. Super ingewikkelde machtigingen setups niet zorgen voor een leuke ervaring voor een nieuwe eigenaar.

Hieronder is de pagina die u ziet wanneer u een nieuwe site maakt. U krijgt de optie om de nieuwe groepen te maken. U kunt ze hernoemen en u kunt ervoor kiezen om reeds bestaande groepen te gebruiken om de plaats van de bezoekers, leden en eigenaren in te nemen. Ik raad het niet aan. Gebruik de standaardwaarden. En profiteer van het toevoegen van mensen aan uw groepen nu als je wilt.

Hoe gebruikt u uw site?

het beoogde gebruik van een SharePoint-site moet bepalen hoe u machtigingen geeft. Als je verantwoordelijk bent voor een site die definitieve, gepubliceerde informatie herbergt — bijvoorbeeld de intranetsite van je HR — afdeling-moet je veel mensen leestoegang geven, toegang bewerken tot heel weinig mensen en eigendom aan nog minder mensen. Als u eigenaar bent van een team site, moet je geven meestal bewerken toegang; mensen hebben werk te doen, dus laat ze het doen. Geef geen leestoegang als je het kunt vermijden; en beperk de eigenaren ook. Voor andere soorten ad hoc sites, het is echt uw beslissing.

Owners Group

deze groep krijgt volledige controle over de site. Eigenaren kunnen maken, bewerken en verwijderen vrijwel alles in een site, met inbegrip van het verwijderen van de site zelf. Als eigenaar bent u misschien niet de eigenaar van het bedrijf, maar u bent de eigenaar van het bedrijfsproces voor het hosten van content, het regelen van de architectuur, het bouwen en bijwerken van lijsten, en over het algemeen helpen uw collega ‘ s en team meer gestroomlijnd.

Dit is een vrij belangrijke rol in uw organisatie en moet worden beschouwd als onderdeel van uw taakomschrijving. Een goede site eigenaar heeft duidelijke waarde in een team, omdat het werk wordt gedaan met minder barrières en vertragingen. Dingen … werken gewoon, en je bent een zeer waardevolle toevoeging aan je team. Zorg dat je baas dit Weet.

regel van drie

een goede SharePoint site heeft niet meer dan drie eigenaren nodig. Dat klopt, drie: de primaire eigenaar, een back-up, en een secundaire back-up op de kans dat de primaire back-up is niet beschikbaar.

Ik weet wat je denkt: “maar zoveel mensen hebben toegang nodig om de site te updaten om dit, dat of dat andere te doen.”Oké, maar ze hoeven geen eigenaar te zijn. Dus geef ze geen eigendom. Maak ze leden. En geef ze alleen toegang tot de lijsten waarop ze het nodig hebben.

deze aanbeveling bevalt u misschien niet, maar is niet willekeurig. Dit is een bewezen praktijk die afkomstig is van vele lessen geleerd en praktisch succes dat ik heb ervaren toezicht op mijn eigen sites en een heel netwerk van sites in mijn professionele leven. Vertrouw me: deze regel zorgt voor de makkelijkste setup beschikbaar. Hier is waarom:

  1. u hebt meer dan één eigenaar nodig. Als je eruit bent, moet iemand je back-up Spelen. De tweede back-up is bedoeld om het risico dat er geen beschikbare back-up wanneer nodig verder te minimaliseren.
  2. niet alle eigenaren zijn van hetzelfde kaliber. Hoe minder eigenaren, hoe minder risico dat er iets kapot gaat door een minder ervaren eigenaar.
  3. minder eigenaren betekent meer controle wanneer wijzigingen aan de site worden aangebracht. Wanneer iemand iets in zijn site wil veranderen, komen ze naar jou en je twee collega ‘ s; Je kunt dan de aanbeveling doen over de slimste oplossing. Als er een bos van Eigenaren, kan men gewoon gaan, maken de verandering, omdat “het is niet een big deal”, en u kunt allemaal spijt van het in de toekomst als gevolg van onbedoelde gevolgen.
  4. het klein houden van de groep Eigenaren zorgt ervoor dat de site echt eigendom is. Als er tien eigenaren en een probleem ontstaat, zal er veel vinger wijzen en “ik dacht dat het was zijn / haar verantwoordelijkheid” het maken van een verschijning. Vertrouw me. Ken ik.
  5. als u de primaire eigenaar bent, moet u andere eigenaren trainen. Twee mensen trainen is veel makkelijker dan zeven.

Ik moet nog een situatie ervaren waarin de regel van drie niet de beste oplossing is geweest. En ik heb rond een heleboel SharePoint sites in mijn tijd.

nog een laatste tip over eigenaar zijn: vermeld altijd de namen van de eigenaren op de homepage. Ik meestal bieden een SharePoint contact lijst met de namen, telefoonnummers, e-mailadressen, en het werkschema van de eigenaren, zodat gebruikers onmiddellijk weten wie om contact op te nemen als er een vraag of probleem met die site. Een van de grootste ontwerpfouten van Microsoft ‘ s kant is niet het verstrekken van een automatische lijst van Eigenaren op elke site. Mensen moeten weten wie de leiding heeft.

leden groep

leden zijn mensen die wijzigingen kunnen aanbrengen binnen een site. Ze kunnen documenten posten, lijsten bijwerken, reageren op enquãates, en in principe deelnemen aan de ontwikkeling van inhoud, curatie, en het gebruik van de site. Mijn aanbeveling voor het gebruik van de ledengroep is vrij eenvoudig:

  • verander het Standaard toegangsniveau van “Edit” naar “Contribute”: om de een of andere reden heeft Microsoft besloten om het Standaard toegangsniveau voor leden in SharePoint 2013 (en latere versies) te verhogen. “Bewerken” geeft mensen de mogelijkheid om lijsten te maken, bewerken en verwijderen in aanvulling op alles wat je kunt doen met “bijdragen”. Het is vrij waarschijnlijk dat je niet wilt dat mensen te rotzooien met lijsten die je nam veel tijd te maken, aan te passen, en te bouwen. Dus beperken hun machtigingen tot de” oude ” normaal vanaf het begin. Dit is mijn aanbeveling, ongeacht het type site waar je mee te maken hebt.
  • teamsites: Als u eigenaar bent van een team site, waar u en uw collega ‘ s samenwerken aan in-process documenten, formulieren, bestanden, lijsten, en wat al niet, maak zo veel van je teamgenoten leden mogelijk. Ze moeten allemaal de toegang hebben om wijzigingen aan te brengen in de inhoud, want, nou, ze doen werk! Laat ze!
  • publicatiesites: als u eigenaar bent van een publicatiesite, waar het grootste deel van de inhoud is voltooid bestanden, beleid, enz., je moet weinig tot geen leden hebben. Ik weet het, veel eigenaren houden niet van deze aanbeveling. Maar eerlijk gezegd, de inhoud is prime time en zo weinig mensen mogelijk moeten de mogelijkheid hebben om dingen te veranderen. U wilt niet dat een onbedoelde of ongeautoriseerde wijziging plaatsvindt onder uw toezicht. Dus beperk de machtigingen in het publicatiegebied als je kunt. Als een voorbeeld, in een HR-publishing site, hebben afzonderlijke document bibliotheken voor elke functie: een voor uitkeringen, een voor arbeidsdocumenten, een voor beleid, een voor werving, enz. De leden van elk van deze teams moeten toegang hebben tot elk van deze bibliotheken, zodat ze informatie kunnen bijwerken als dat nodig is.; maar niemand anders zou toegang moeten hebben tot die bibliotheken.

bezoekersgroep

bezoekers zijn mensen met leestoegang tot een site. Ze kunnen bestanden openen (en zelfs downloaden), maar ze kunnen geen wijzigingen aanbrengen in de inhoud. Ze zijn bedoeld om inhoud te consumeren, maar niet maken, bijwerken, bewerken of verwijderen.

in principe is het hetzelfde als wanneer je naar Amazon.com. u niet bewerken van de lijst van dingen om te kopen. Lees jij het maar. Je kiest degene die je wilt, maar je verandert de inventaris niet voor anderen om te lezen. Als een typische internetgebruiker, bent u een bezoeker van bijna elke site die er zijn.

mijn aanbeveling voor het gebruik van de bezoekersgroep is nog eenvoudiger dan leden:

  • Team sites: eerlijk gezegd geloof ik dat als je lid bent van een team, je altijd lid moet zijn van die site. Maar ik realiseer me dat er momenten zijn waarop buitenstaanders naar de groep (hoger management, reviewers, mensen die alleen maar “op de hoogte” moeten blijven) leestoegang nodig hebben, maar geen toegang bewerken. Over het algemeen stel ik voor om in een samenwerkingsruimte zo weinig mogelijk bezoekers te hebben. Leestoegang belemmert mogelijk werk dat gedaan wordt.
  • publicatiesites: publicatiesites zijn bedoeld om definitieve informatie met veel mensen te delen. De startpagina van uw bedrijf of organisatie is een publicatiesite. Veel mensen hebben toegang nodig. Die mensen zouden in de bezoekersgroep moeten zitten. Uw HR benefits pagina is een ander goed voorbeeld. Als je niet op de voordelen team in HR, moet u lezen toegang tot bestanden met betrekking tot verzekering, pensioen, enz., maar je moet niet in staat zijn om de bestanden te veranderen (zelfs als je wilt dus je hebt betere voordelen!).

andere SharePoint-groepen

u kunt zoveel SharePoint-groepen maken als u wilt. Dit is handig als u een ad hoc collectie van mensen die u wilt in staat zijn om toegang te bieden in andere sites elders in uw SharePoint omgeving.

Eén ding om te overwegen: zorg ervoor dat u de eigenaar van elk van de groepen in uw site bijwerkt als de eigenaars groep. Helaas maakt SharePoint standaard de groepseigenaren de persoon die de site (of de groep) heeft gemaakt, niet de groep Eigenaren. Logischerwijs moeten de eigenaren volledige controle hebben over de site en de groepen die op de site worden gebruikt. Als u dit niet wijzigt en de geselecteerde persoon uw organisatie verlaat, kunt u de Instellingen van de SharePoint-groep niet wijzigen of bijwerken zonder uw IT-afdeling erbij te betrekken. Als u de groepseigenaar bijwerkt naar de Eigenaarsgroep, zal degene die in de toekomst eigenaar is, de mogelijkheid hebben om wijzigingen aan te brengen in die groepen.

Active Directory-groepen

Active Directory is het hulpmiddel dat Microsoft biedt om mensen in een netwerk bij te houden. Wanneer u iemand vanuit Outlook e-mailt, haalt het informatie uit Active Directory (of advertentie in het kort). Advertentie biedt de mogelijkheid om ook groepen te maken. En het zijn geen SharePoint-groepen, dus haal ze niet door elkaar.

AD groepen bieden een enorm voordeel: als uw organisatie AD groepen voor uw afdelingen, teams, en wat al niet updates, Kunt u gebruik maken van hen in SharePoint. Veel HR-afdelingen omvatten het bijwerken van een advertentiegroep als onderdeel van het onboarding-en beëindigingsproces, wat betekent dat de advertentiegroepen waarschijnlijk actueel en betrouwbaar zijn wanneer u ze gebruikt in SharePoint.

het meest bruikbare voorbeeld is het gebruik van een” All notenbalk ” type AD groep, die u een zeer snelle en geautomatiseerde manier geeft om toegang te geven aan alle gebruikers in uw netwerk. (Het kan bekend staan als” All notenbalk”,” notenbalk”,” Domeingebruikers ” of iets dergelijks. Elke IT / HR-afdeling komt met zijn eigen terminologie.) Ik ben afhankelijk van dit soort groepen wanneer ik publicatiesites maak en deel die bedrijfsbrede informatie kunnen hebben. Een communicatie portaalsite, de HR benefits site, accounting forms library en dergelijke zouden in het algemeen “alle medewerkers” als onderdeel van de bezoekersgroep hebben. Op die manier hoef ik niet individueel gebruikers toe te voegen en te verwijderen als ze lid worden en de organisatie verlaten. Iemand anders doet het werk voor mij, met behulp van een gecentraliseerd, betrouwbaar proces.

als uw organisatie geen AD-groepen gebruikt, is dit een belemmering voor de productiviteit en uw IT-en / of HR-afdelingen zouden dit echt moeten overwegen ten behoeve van iedereen die SharePoint… of Outlook gebruikt! Het is een van de gemakkelijkere manieren om een groep mensen te e-mailen zonder te zoeken naar individuele gebruikersaccounts of e-mailadressen.

merk op dat de voordelen van AD-groepen alleen van interne gebruikers komen. Je kunt niet echt dat voordeel krijgen bij het bespreken van klanten, leveranciers, en andere buitenstaanders, tenzij ze deel uitmaken van uw advertentiegroep of er is een aantal Federatie setup met die organisaties, dat is een ingewikkeld onderwerp om in te gaan en niet iets wat ik van plan om hier te behandelen.

overerving van machtigingen verbreken

een van de krachtigste aspecten van SharePoint is “machtigingen op objectniveau”. Dit is een mooie term voor”u kunt toegang geven tot individuele items in SharePoint zonder toegang te geven tot een hele site of systeem”. En het is een enorm voordeel in SharePoint.

standaard neemt al uw inhoud op uw site rechten over van de site zelf. Dus toegang is hetzelfde op Bestand A als bestand B Als bibliotheek X als lijst Y als de hele site. De optie om erfenis te breken betekent dat u toegang uniek kunt maken voor een bestand, bibliotheek, lijst, of iets in die site.

Dit is zeer verleidelijk en kan zeer nuttig zijn. Maar het kan zeer gevaarlijk zijn, want als je erfenis te breken, je bent aanzienlijk het verhogen van de complexiteit van uw machtigingen setup. Dat is geen slechte zaak, maar je moet klaar zijn om dingen onder controle te houden als je dat eenmaal doet. Gelukkig is er in SharePoint 2013, 2016 en Online de mogelijkheid om te zien met wie een bestand, lijst, bibliotheek of ander item wordt “gedeeld”. Deze optie is beschikbaar in het lint van elke bibliotheek, lijst, item of document; zie hieronder. In eerdere versies van SharePoint was dat niet het geval, dus machtigingen werden een totale nachtmerrie. Nu zijn ze slechts een gedeeltelijke nachtmerrie!

dat zei u nog steeds moeten licht te treden als het gaat om het breken van erfenis en het verstrekken van unieke machtigingen op basis van individuele items. Hier zijn mijn aanbevelingen:

  1. blijf bij bibliotheken en sites: als je overerving moet verbreken, doe dat dan niet in het individuele bestand. Drop deze bestanden in een map, bibliotheek, of zelfs een aparte site en beheer uw machtigingen vanaf daar. Het is veel makkelijker.
  2. gebruik SharePoint-groepen: verbreek geen rechten door individuen toegang te geven. Maak een SharePoint-groep voor de gelegenheid en gebruik dat in plaats daarvan. Het is makkelijker om een SharePoint — groep op één plaats bij te werken — en dan te genieten van elk item dat die groep automatisch in zijn machtigingen trekt-dan overal een wijziging te moeten aanbrengen wanneer iemand lid wordt van of uw organisatie verlaat.
  3. wees voorzichtig: Ik zeg geenszins dat ik geen gebruik moet maken van de rechten op objectniveau. Ik gebruik het regelmatig. Maar ik ken het risico. Dingen worden ingewikkeld, en intenties zijn makkelijk te vergeten. Het beste is om redeneren achter uw toestemming architectuur te documenteren (zie hieronder).

documenteer uw instellingen

zodra u uw machtigingen structuur hebt ingesteld, moet u het documenteren. Ik wil graag een bibliotheek in al mijn sites genaamd “eigenaar documenten” of iets dergelijks. In deze bibliotheek, ik houd een bestand dat de machtigingen structuur, alle afbeeldingen die worden gebruikt in de site zelf, een document dat de beschrijving van de site, het beoogde gebruik, en wat al niet omvat.

Ik weet dat documentatie waardeloos is; niemand doet het graag. Maar je zult niet de eigenaar van uw site voor altijd. Deze documentatie kan helpen uw back-up eigenaren en iedereen die komt in om over te nemen als eigenaar in de toekomst. In feite, het is een geweldige time-saver wanneer u een nieuwe back-up eigenaar komen aan boord. Het betekent minder tijd nodig om hen te trainen en ze hebben een bron om te raken als je uit en ze hebben om een beslissing die de visie en het doel van uw site kan beïnvloeden te nemen.

het documenteren van uw rechten is in principe beheer op kleine schaal. En hoewel het niet leuk is, vind ik het belangrijk.

extern delen

SharePoint Online biedt nu de optie om te delen met gebruikers buiten het netwerk van uw organisatie. En dat is echt een krachtige upgrade van de service. Maar het valt buiten het bereik van deze post. Ik zal dat concept in een aparte post behandelen, omdat het zijn eigen beschrijving, analyse en aanbevelingen verdient. Alles wat in dit bericht wordt vermeld, gaat ervan uit dat u alleen toegang verleent aan gebruikers binnen uw netwerk of organisatie, niet aan mensen of groepen van buitenaf.

Conclusie

Houd het simpel. Blijf bij de out-of-the-box groepen. Minimaliseer de machtigingen op objectniveau. Maak gebruik van advertentiegroepen wanneer je kunt. Documenteer uw installatie. Drie eigenaren max. Voor publicatiesites, zeer weinig leden, veel bezoekers. Voor team sites, veel leden, weinig tot geen bezoekers. Doe altijd een geestelijke gezondheid controle wanneer u zich verwijdert van deze principes om ervoor te zorgen dat je absoluut nodig hebt om. En hou je aan je wapens als mensen protesteren. Jij bent de expert.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.