praktyczny przewodnik po uprawnieniach do witryn SharePoint

Matt Wade
Matt Wade

śledź
29 listopada 2019 · 14 min.Czytaj

uprawnienia programu SharePoint mogą być trudne. Niezależnie od tego, czy jesteś nowicjuszem w zakresie własności witryny, czy doświadczonym weterynarzem, utrzymywanie uprawnień tak prostych, jak to możliwe, jest zawsze najlepszą praktyką. To uchroni cię przed postradaniem zmysłów.

ten post da ci kilka wskazówek, jak skonfigurować uprawnienia podczas uzyskiwania lub dziedziczenia nowej witryny SharePoint. Postępuj zgodnie z tymi sprawdzonymi praktykami, a rzeczy pozostaną proste i najłatwiejsze do zarządzania.

uprawnienia SharePoint — znane również jako zabezpieczenia SharePoint przez maniaków IT — mają wiele korzyści dla Ciebie, Twojego zespołu, Twoich rozszerzonych współpracowników i innych osób, które mają dostęp do twojej sieci.

w dziedzinie IT mówimy o wpływie “przycinania zabezpieczeń”, zasadniczo o tym, że w systemie SharePoint może być mnóstwo treści, ale zazwyczaj masz dostęp tylko do określonej ilości. Ta inna treść jest “przycięta” z twojego widoku. Niewielu ludzi ma dostęp do wszystkiego; zazwyczaj ten boski dostęp jest ograniczony tylko do administratorów IT.

to tak jakby Facebook. Istnieje wiele treści na Facebooku, ale większość z nich jest poza zasięgiem wzroku; jest chroniona. Ja też.

oto kilka powodów, dla których uprawnienia SharePoint mogą być niesamowite:

  1. uprawnienia dają możliwość ukrycia informacji draftowych, aby ci, którzy nie powinni ich zobaczyć, nie mogli.
  2. dostęp do strony zespołu może być ograniczony do tego zespołu. Wraz ze zmianami w drużynie może też rosnąć lub się kurczyć.
  3. scentralizowane Informacje mogą być hostowane w zasadzie dla każdego w razie potrzeby. Potrzebujesz szybkiego dostępu do menu kafeterii? Upuść go w odpowiedniej bibliotece dokumentów, która jest dostępna dla każdego.
  4. uprawnienia SharePoint mogą używać już utworzonych grup użytkowników z Active Directory (więcej na ten temat później), więc nie musisz dawać dostępu osobom fizycznym.
  5. Możesz również tworzyć grupy ad hoc SharePoint, które mogą być używane w różnych witrynach. Aktualizuj je, a twoje witryny będą wiedzieć, na kogo automatycznie zezwolić dzięki jednemu centralnemu spisowi grup.
  6. jeśli ktoś poda link do pliku lub strony, do której nie ma dostępu, nie zobaczy zawartości, co oznacza, że Twoje materiały pozostają chronione. Mogą poprosić o dostęp, ale nic nie mówi, że musisz im go dać.

mając dostęp tylko do niektórych treści (nie do całego systemu plików, folderów i witryn), wyniki wyszukiwania będą zawierać mniej obcych informacji. Te informacje nie mogą pojawić się w wynikach, co jest dla Ciebie wygraną, gdy szukasz rzeczy.

właściciele, członkowie, goście, ojej!

SharePoint daje trzy grupy uprawnień w każdej nowej witrynie SharePoint: właściciele, Członkowie i goście. To dobry pomysł, aby trzymać się tego. Możesz tworzyć nowe grupy SharePoint w dowolnym momencie, ale Zwiększa to złożoność, wiele razy niepotrzebnie.

w niektórych przypadkach może być dobrze utworzyć nową grupę SharePoint, ale zawsze powinieneś walczyć z popędem i naprawdę przekonać się, że potrzebujesz nowej grupy. Każda nowa grupa sprawia, że strona jest bardziej złożona, co utrudnia przeniesienie własności w przyszłości.

domyślnie właściciele mają “pełną kontrolę”, Członkowie mają dostęp do” edycji”, a Goście mają dostęp do” odczytu”. Możesz je oczywiście zmienić; w rzeczywistości polecam zmianę dla grupy członków w każdej witrynie. Ale w przeciwnym razie, trzymałbym się ich tak, jak przychodzą, ponieważ 1) jest to prostsze i 2) Kiedy ktoś przejmuje za ciebie, chcesz, aby przejście było tak łatwe, jak to możliwe. Bardzo skomplikowane ustawienia uprawnień nie stanowią zabawy dla nowego właściciela.

Poniżej znajduje się strona, którą widzisz podczas tworzenia nowej witryny. Możesz utworzyć nowe grupy. Możesz zmienić ich nazwy i możesz użyć już istniejących grup, aby zastąpić odwiedzających, członków i właścicieli. Nie polecam. Użyj ustawień domyślnych. I skorzystaj z dodawania osób do swoich grup teraz, jeśli chcesz.

jak korzystasz ze swojej strony?

zamierzone użycie witryny SharePoint powinno określać sposób przyznawania uprawnień. Jeśli zarządzasz witryną, w której znajdują się ostateczne, opublikowane informacje — na przykład witryna intranetowa Twojego działu HR-powinieneś dać dostęp do odczytu wielu osobom, dostęp do edycji bardzo niewielu, a własność jeszcze mniejszej liczbie osób. Jeśli posiadasz witrynę zespołu, powinieneś dać głównie dostęp do edycji; ludzie mają pracę do zrobienia, więc pozwól im to zrobić. Nie udzielaj dostępu do odczytu, jeśli możesz go uniknąć; i ograniczyć właścicieli, jak również. W przypadku innych typów witryn ad hoc to naprawdę twoja decyzja.

Owners Group

ta grupa uzyskuje pełną kontrolę nad stroną. Właściciele mogą tworzyć, edytować i usuwać praktycznie wszystko w witrynie, w tym samą witrynę. Jako właściciel możesz nie być właścicielem firmy, ale jesteś właścicielem procesu biznesowego w zakresie hostowania treści, aranżowania architektury, budowania i aktualizowania list, a także ogólnie pomagania swoim współpracownikom i zespołowi w usprawnianiu.

jest to dość ważna rola w Twojej organizacji i powinna być traktowana jako część Twojego opisu stanowiska. Dobry właściciel witryny ma oczywistą wartość w zespole, ponieważ praca jest wykonywana przy mniejszej liczbie barier i opóźnień. Rzeczy … po prostu działają, a Ty jesteś bardzo cennym dodatkiem do swojego zespołu. Upewnij się, że twój szef o tym wie.

zasada trzech

dobra strona SharePoint potrzebuje nie więcej niż trzech właścicieli. Zgadza się, trzy: główny właściciel, kopia zapasowa i jedna kopia zapasowa dodatkowa na off-chance kopia zapasowa podstawowa nie jest dostępna.

wiem, co myślisz: “ale tak wiele osób potrzebuje dostępu do aktualizacji strony, aby zrobić to, tamto lub inną rzecz.”Dobrze, ale nie muszą być właścicielami. Więc nie dawaj im własności. Zrób z nich członków. I daj im tylko dostęp do list, na których potrzebują.

ta rekomendacja może ci się nie spodobać, ale nie jest arbitralna. Jest to sprawdzona praktyka, która pochodzi z wielu zdobytych doświadczeń i praktycznego sukcesu, którego doświadczyłem nadzorując własne witryny i całą sieć witryn w moim życiu zawodowym. Zaufaj mi: ta zasada zapewnia najłatwiejszą dostępną konfigurację. Oto dlaczego:

  1. potrzebujesz więcej niż jednego właściciela. Kiedy cię nie ma, ktoś musi Ci pomóc. Druga kopia zapasowa ma na celu dalsze zminimalizowanie ryzyka braku dostępnej kopii zapasowej w razie potrzeby.
  2. nie wszyscy właściciele są tego samego kalibru. Im mniej właścicieli, tym mniejsze ryzyko złamania czegoś przez mniej doświadczonego właściciela.
  3. mniej właścicieli oznacza większą kontrolę podczas wprowadzania zmian w witrynie. Kiedy ktoś chce coś zmienić w swojej witrynie, przychodzi do Ciebie i twoich dwóch kolegów; możesz wtedy zalecić najmądrzejsze rozwiązanie. Jeśli jest kilka właścicieli, można po prostu odejść, dokonać zmiany, ponieważ “to nie jest wielka sprawa”, a wszyscy mogą tego żałować w przyszłości z powodu niezamierzonych konsekwencji.
  4. utrzymanie małej grupy właścicieli zapewnia prawdziwą własność strony. Jeśli będzie dziesięciu właścicieli i pojawi się problem, będzie dużo wskazywania palcem i” myślałem, że to jego/jej odpowiedzialność” pojawianie się. Zaufaj mi. Byłem tam.
  5. Jeśli jesteś głównym właścicielem, musisz szkolić innych właścicieli. Szkolenie dwóch osób jest o wiele łatwiejsze niż szkolenie siedmiu.

jeszcze nie doświadczyłem sytuacji, w której zasada trzech nie była najlepszym rozwiązaniem. I byłem w wielu witrynach SharePoint w moich czasach.

ostatnia wskazówka na temat bycia właścicielem: zawsze Lista nazwisk właścicieli na stronie głównej. Zwykle udostępniam listę kontaktów SharePoint z nazwiskami, numerami telefonów, adresami e-mail i harmonogramem pracy właścicieli, aby użytkownicy natychmiast wiedzieli, z kim się skontaktować, jeśli pojawi się pytanie lub problem z tą witryną. Jedną z największych wad projektowych ze strony Microsoftu nie jest zapewnienie automatycznej listy właścicieli w każdej witrynie. Ludzie muszą wiedzieć, kto tu rządzi!

członkowie grupy

członkowie to osoby, które mogą wprowadzać zmiany w witrynie. Mogą publikować dokumenty, aktualizować listy, odpowiadać na ankiety i zasadniczo brać udział w rozwoju treści, kuratorowaniu i korzystaniu z witryny. Moja rekomendacja dotycząca korzystania z grupy Members jest dość prosta:

  • Zmień domyślny poziom dostępu z “edytuj” na “Contribute”: z jakiegoś powodu Microsoft postanowił podnieść Domyślny poziom dostępu dla członków w SharePoint 2013 (i nowszych wersjach). “Edytuj “daje ludziom możliwość tworzenia, edytowania i usuwania list oprócz wszystkiego, co możesz zrobić za pomocą”Contribute”. Jest całkiem prawdopodobne, że nie chcesz, aby ludzie kręcili się z listami, których tworzenie, dostosowywanie i tworzenie zajęło Ci dużo czasu. Więc ogranicz ich uprawnienia do” starego ” normalnego od początku. To jest moja rekomendacja, niezależnie od rodzaju strony, z którą masz do czynienia.
  • strony zespołu: Jeśli posiadasz witrynę zespołu, w której ty i twoi współpracownicy współpracujecie nad dokumentami, formularzami, plikami, listami i innymi rzeczami, Utwórz jak najwięcej członków zespołu. Wszyscy powinni mieć dostęp do wprowadzania zmian w treści, ponieważ, cóż, wykonują pracę! Pozwól im!
  • witryny wydawnicze: jeśli jesteś właścicielem witryny wydawniczej, gdzie większość treści to gotowe pliki, zasady itp., powinieneś mieć kilku-lub-żadnych członków. Wiem, wielu właścicielom nie podoba się ta rekomendacja. Ale szczerze mówiąc, treść jest prime time i jak najmniej osób powinno mieć możliwość zmiany rzeczy. Nie chcesz, aby przypadkowa lub nieautoryzowana zmiana miała miejsce pod twoim nadzorem. Ogranicz więc uprawnienia w obszarze publikowania, jeśli możesz. Na przykład w witrynie wydawniczej HR mają oddzielne biblioteki dokumentów dla każdej funkcji: jedna dla świadczeń, jedna dla dokumentów pracy, jedna dla polityk, jedna dla rekrutacji itp. Członkowie każdego z tych zespołów powinni mieć dostęp do każdej z tych bibliotek, aby mogli aktualizować informacje w razie potrzeby; ale nikt inny nie powinien mieć dostępu do edycji tych bibliotek.

Grupa odwiedzających

odwiedzający to osoby, które mają dostęp do strony. Mogą otwierać pliki (a nawet je pobierać), ale nie mogą wprowadzać zmian w treści. Mają one na celu konsumowanie treści, ale nie ich tworzenie, aktualizowanie, edytowanie ani usuwanie.

zasadniczo jest tak samo, jak gdy idziesz do Amazon.com. nie edytujesz listy rzeczy do kupienia. Ty to przeczytaj. Wybierasz te, które chcesz, ale nie zmieniasz zapasów, aby inni mogli je przeczytać. Jako typowy użytkownik Internetu jesteś odwiedzającym prawie każdą witrynę.

moja rekomendacja korzystania z grupy odwiedzających jest jeszcze prostsza niż członkowie:

  • strony zespołu: szczerze mówiąc, uważam, że jeśli jesteś członkiem zespołu, zawsze powinieneś być członkiem tej strony. Ale zdaję sobie sprawę, że są chwile, kiedy osoby spoza grupy (kierownictwo wyższego szczebla, recenzenci, ludzie, którzy po prostu muszą pozostać “w wiedzy”) potrzebują dostępu do odczytu, ale nie dostępu do edycji. Ogólnie rzecz biorąc, w przestrzeni współpracy proponuję mieć jak najmniej Gości. Dostęp do odczytu potencjalnie utrudnia pracę.
  • strony wydawnicze: strony wydawnicze mają na celu dzielenie się informacjami z wieloma osobami. Strona główna Twojej firmy lub organizacji to witryna wydawnicza. Wielu ludzi potrzebuje dostępu. Ci ludzie powinni być w grupie odwiedzających. Twoja strona korzyści HR to kolejny dobry przykład. Jeśli nie należysz do zespołu ds. świadczeń w HR, powinieneś mieć dostęp do plików związanych z ubezpieczeniem, emeryturą itp., ale nie powinieneś być w stanie zmienić plików (nawet jeśli chcesz, więc masz lepsze korzyści!).

inne grupy SharePoint

możesz utworzyć dowolną liczbę grup SharePoint. Jest to przydatne, jeśli masz doraźną kolekcję osób, do których chcesz mieć dostęp w innych witrynach w innym środowisku SharePoint.

jedna rzecz do rozważenia: upewnij się, że zaktualizowałeś właściciela każdej z grup w swojej witrynie jako grupę właścicieli. Niestety domyślnie SharePoint czyni właścicieli grup osobą, która stworzyła witrynę (lub grupę), a nie grupą właścicieli. Logicznie rzecz biorąc, właściciele powinni mieć pełną kontrolę nad stroną i grupami wykorzystywanymi w witrynie. Jeśli tego nie zmienisz, a wybrana osoba opuści Twoją organizację, nie możesz zmienić ani zaktualizować ustawień grupy SharePoint bez zaangażowania działu IT. Jeśli zaktualizujesz właściciela grupy do grupy właścicieli, ktokolwiek będzie właścicielem w przyszłości, będzie mógł wprowadzać zmiany w tych grupach.

grupy Active Directory

Active Directory to narzędzie, które Microsoft udostępnia do śledzenia osób w sieci. Gdy wysyłasz komuś wiadomość e-mail z programu Outlook, pobiera ona informacje z usługi Active Directory (lub w skrócie reklamy). AD oferuje również możliwość tworzenia grup. I nie są to grupy SharePoint, więc nie mieszaj ich.

grupy reklam oferują ogromne korzyści: jeśli Twoja organizacja aktualizuje grupy reklam dla Twoich działów, zespołów i innych rzeczy, możesz z nich skorzystać w SharePoint. Wiele działów HR aktualizuje grupę reklam w ramach procesu wdrażania i zakończenia, co oznacza, że grupy reklam są prawdopodobnie aktualne i godne zaufania, gdy używasz ich w SharePoint.

najbardziej użytecznym przykładem jest użycie grupy reklam typu “All Staff”, która daje bardzo szybki i zautomatyzowany sposób na zapewnienie dostępu wszystkim użytkownikom w sieci. (Może być znany jako “wszyscy pracownicy”, “pracownicy”, “Użytkownicy domeny” lub coś podobnego. Każdy dział IT / HR tworzy własną terminologię.) Polegam na tego typu grupach, gdy tworzę i udostępniam witryny publikujące, które mogą zawierać informacje dotyczące całej firmy. Strona portalu komunikacyjnego, strona świadczeń kadrowych, biblioteka formularzy księgowych i tym podobne na ogół będą miały “cały personel” jako część grupy odwiedzających. W ten sposób nie muszę indywidualnie dodawać i usuwać użytkowników, którzy dołączają i opuszczają organizację. Ktoś inny wykonuje pracę za mnie, używając scentralizowanego, niezawodnego procesu.

Jeśli Twoja organizacja nie korzysta z grup reklam, jest to przeszkodą dla produktywności, a twoje działy IT i/lub HR powinny naprawdę rozważyć zrobienie tego z korzyścią dla każdego, kto korzysta z SharePoint… lub Outlook! Jest to jeden z łatwiejszych sposobów wysyłania e-maili do grupy osób bez konieczności wyszukiwania indywidualnych kont użytkowników lub adresów e-mail.

zauważ, że korzyści z grup reklam pochodzą tylko od użytkowników wewnętrznych. Tak naprawdę nie możesz uzyskać tej korzyści, omawiając klientów, dostawców i innych outsiderów, chyba że są oni częścią twojej grupy reklam lub doszło do konfiguracji federacji z tymi organizacjami, co jest skomplikowanym tematem, a nie czymś, co planuję tutaj omówić.

łamanie dziedziczenia uprawnień

jednym z najpotężniejszych aspektów SharePoint są “uprawnienia na poziomie obiektów”. Jest to wymyślne określenie NA “możesz dać dostęp do poszczególnych elementów w SharePoint bez dostępu do całej witryny lub systemu”. I to ogromna korzyść w SharePoint.

domyślnie cała zawartość witryny dziedziczy uprawnienia od samej witryny. Tak więc dostęp jest taki sam w pliku A jak w pliku B jak w bibliotece X jako liście Y jak w całym serwisie. Opcja przerwania dziedziczenia oznacza, że możesz ustawić dostęp unikalny dla pliku, biblioteki, listy lub czegokolwiek w tym serwisie.

jest to bardzo kuszące i może być niezwykle przydatne. Ale może to być bardzo niebezpieczne, ponieważ w miarę łamania dziedziczenia znacznie zwiększasz złożoność konfiguracji uprawnień. To nie jest zła rzecz, ale musisz być gotowy, aby utrzymać wszystko pod kontrolą, gdy to zrobisz. Na szczęście w SharePoint 2013, 2016 i Online istnieje możliwość sprawdzenia, komu plik, lista, Biblioteka lub inny element są “udostępniane”. Ta opcja jest dostępna na wstążce dowolnej biblioteki,listy, elementu lub dokumentu; patrz poniżej. We wcześniejszych wersjach SharePoint tak nie było, więc uprawnienia stały się totalnym koszmarem. Teraz są tylko częściowym koszmarem!

To powiedziawszy, nadal musisz lekko postępować, jeśli chodzi o łamanie dziedziczenia i zapewnianie unikalnych uprawnień w oparciu o poszczególne elementy. Oto moje zalecenia:

  1. trzymaj się bibliotek i stron: jeśli chcesz złamać dziedziczenie, nie rób tego w pojedynczym pliku. Upuść te pliki do folderu, biblioteki lub nawet oddzielnej witryny i zarządzaj tam uprawnieniami. Tak jest łatwiej.
  2. użyj grup SharePoint: nie łamać uprawnień, dając jednostkom dostęp. Utwórz grupę SharePoint na tę okazję i użyj jej zamiast tego. Łatwiej jest zaktualizować grupę SharePoint w jednym miejscu – a następnie cieszyć się każdym elementem, który automatycznie przyciąga tę grupę do swoich uprawnień-niż wprowadzać zmiany w dowolnym miejscu, gdy ktoś dołącza do organizacji lub opuszcza ją.
  3. zachowaj ostrożność: w żadnym wypadku nie mówię, aby nie korzystać z uprawnień na poziomie obiektów. Używam go regularnie. Ale znam ryzyko. Sprawy się komplikują, a intencje łatwo zapomnieć. Najlepiej udokumentować uzasadnienie architektury uprawnień (patrz poniżej).

udokumentuj swoją konfigurację

Po skonfigurowaniu struktury uprawnień powinieneś ją udokumentować. Lubię mieć bibliotekę we wszystkich moich witrynach o nazwie “Owner docs” lub coś w tym stylu. W tej bibliotece przechowuję plik, który obejmuje strukturę uprawnień, wszelkie obrazy używane w samej witrynie, dokument, który obejmuje opis witryny, przeznaczenie i cokolwiek innego.

wiem, że dokumentacja jest do bani, nikt nie lubi tego robić. Ale nie będziesz właścicielem swojej witryny na zawsze. Ta dokumentacja może pomóc właścicielom kopii zapasowych i każdemu, kto w przyszłości przejmie funkcję właściciela. W rzeczywistości jest to świetna oszczędność czasu, gdy na pokładzie znajduje się nowy właściciel kopii zapasowej. Oznacza to mniej czasu potrzebnego na przeszkolenie ich i mają zasoby, które można znaleźć, gdy jesteś poza domem i muszą podjąć decyzję, która może mieć wpływ na wizję i cel twojej witryny.

dokumentowanie uprawnień to w zasadzie zarządzanie na małą skalę. I chociaż to nie jest zabawne, uważam to za krytyczne.

udostępnianie zewnętrzne

SharePoint Online oferuje teraz możliwość udostępniania użytkownikom spoza sieci organizacji. I to jest naprawdę potężne uaktualnienie do usługi. Ale to jest poza zakresem tego postu. Omówię tę koncepcję w osobnym poście, ponieważ zasługuje na własny opis, analizę i zalecenia. Wszystko wymienione w tym poście zakłada, że zapewniasz dostęp tylko użytkownikom w sieci lub organizacji, a nie osobom spoza grupy.

podsumowanie

Trzymaj się gotowych grup. Minimalizuj uprawnienia na poziomie obiektu. Korzystaj z grup reklam, kiedy możesz. Udokumentuj swoją konfigurację. Maksymalnie trzech właścicieli. W przypadku witryn publikujących, bardzo niewielu członków, wielu odwiedzających. Dla witryn zespołu, wielu członków, kilku-do-nie odwiedzających. Zawsze sprawdzaj zdrowie psychiczne, gdy odchodzisz od tych zasad, aby upewnić się, że absolutnie musisz. I trzymaj się broni, gdy ludzie protestują. Jesteś ekspertem.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.