En praktisk Guide till Sharepoint-Webbplatsbehörigheter

Matt Wade
Matt Wade

följ

Nov 29, 2019 · 14 min läs

SharePoint-behörigheter kan vara komplicerade. Oavsett om du är helt ny på webbplatsägande eller en erfaren veterinär, är det alltid en bästa praxis att hålla behörigheter så enkla som möjligt. Det kommer att hålla dig från att förlora ditt sinne.

det här inlägget ger dig lite vägledning om hur du ställer in behörigheter när du får eller ärver en ny SharePoint-webbplats. Följ dessa beprövade metoder och saker kommer att förbli enkla och enklaste att hantera.

SharePoint-behörigheter-även känd som SharePoint security by IT geeks — har en massa fördelar för dig, ditt team, dina utökade kollegor och andra som har tillgång till ditt nätverk.

i IT-fältet pratar vi om effekterna av “säkerhetstrimning”, i grund och botten att det kan finnas massor av innehåll där ute på ditt SharePoint-system, men du har vanligtvis bara tillgång till en viss mängd. Det andra innehållet är” trimmat ” från din åsikt. Få människor har tillgång till allt; vanligtvis är den gudliknande åtkomsten begränsad bara till IT-administratörerna.

det är faktiskt ungefär som Facebook. Det finns mycket Facebook-innehåll där ute, men det mesta är utom synhåll från dig; det är skyddat. Samma här.

Här är några anledningar till varför SharePoint behörigheter kan vara ganska häftigt:

  1. behörigheter ger dig möjlighet att dölja utkast information så att de som inte ska se det, kan inte.
  2. Gruppwebbplats tillgång kan begränsas till det laget. Det kan odlas eller krympas när laget ändras också.
  3. centraliserad information kan vara värd för i princip alla som behövs. Behöver snabb tillgång till cafeterian menyn? Släpp det i ett relevant dokumentbibliotek som är tillgängligt för alla.
  4. SharePoint-behörigheter kan använda redan skapade användargrupper från Active Directory (mer om detta senare), så du behöver inte fortsätta ge åtkomst till individer.
  5. Du kan också skapa ad hoc SharePoint-grupper som kan användas på olika webbplatser. Håll dem uppdaterade och dina webbplatser vet vem de ska tillåta automatiskt tack vare en central grupplista.
  6. Om någon har fått en länk till en fil eller webbplats som de inte har tillgång till, kommer de inte att se innehållet, vilket innebär att dina saker förblir skyddade. De kan begära åtkomst, men ingenting säger att du måste ge det till dem.

genom att bara ha tillgång till något innehåll (inte hela systemets värde av filer, mappar och webbplatser) kommer dina sökresultat att innehålla mindre extern information. Den informationen kan inte dyka upp i dina resultat, vilket är en vinst för dig när du letar efter saker.

ägare, medlemmar, besökare, Oh My!

SharePoint ger dig tre behörighetsgrupper på varje ny SharePoint-webbplats: ägare, medlemmar och besökare. Det är bra att hålla fast vid dessa. Du är fri att skapa nya SharePoint-grupper när du vill, men det lägger till komplexitet, många gånger i onödan.

i vissa fall kan det kännas bra att skapa en ny SharePoint-grupp, men du bör alltid bekämpa lusten och verkligen övertyga dig själv om att du behöver en ny grupp. Varje ny grupp gör en webbplats mer komplex, vilket gör en överföring av ägande svårare i framtiden.

som standard har ägare “Full kontroll”, medlemmar har” Redigera “åtkomst och besökare har” Läs ” åtkomst. Du kan naturligtvis ändra dessa; faktiskt, jag rekommenderar att du gör en förändring för medlemsgruppen på varje webbplats. Men annars skulle jag hålla fast vid dessa som de kommer eftersom 1) Det är enklare och 2) när någon tar över för dig Vill du att övergången ska vara så enkel som möjligt. Super komplicerade behörigheter inställningar gör inte för en rolig upplevelse för en ny ägare.

nedan är den sida du ser när du skapar en ny webbplats. Du får möjlighet att skapa de nya grupperna. Du kan byta namn på dem och du kan välja att använda redan befintliga grupper för att ta plats för besökare, medlemmar och ägare. Jag rekommenderar inte det. Använd standardinställningarna. Och dra nytta av att lägga till personer i dina grupper nu om du vill.

Hur använder du din webbplats?

den avsedda användningen av en SharePoint-webbplats bör diktera hur du ger ut behörigheter. Om du är ansvarig för en webbplats som innehåller slutlig, publicerad information — till exempel din HR — avdelnings intranätwebbplats-bör du ge läsåtkomst till många människor, redigera åtkomst till väldigt få och ägande till ännu färre. Om du äger en gruppwebbplats bör du ge ut mestadels redigeringsåtkomst; människor har arbete att göra, så låt dem göra det. Ge inte ut läsåtkomst om du kan undvika det; och begränsa ägarna också. För andra typer av ad hoc-webbplatser är det verkligen ditt samtal.

ägargrupp

denna grupp får full kontroll över webbplatsen. Ägare kan skapa, redigera och ta bort nästan vad som helst på en webbplats, inklusive att ta bort själva webbplatsen. Som ägare kanske du inte är företagets ägare, men du är affärsprocessägaren för att vara värd för innehåll, ordna arkitekturen, bygga och uppdatera listor och totalt sett hjälpa till att göra dina kollegor och team mer strömlinjeformade.

detta är en ganska viktig roll i din organisation och bör betraktas som en del av din arbetsbeskrivning. En bra webbplatsägare har uppenbart värde i ett team eftersom arbetet blir gjort med färre hinder och förseningar. Saker … bara fungerar, och du är ett mycket värdefullt tillskott till ditt team. Se till att din chef vet detta.

regeln om tre

en bra SharePoint-webbplats behöver inte mer än tre ägare. Det är rätt, Tre: den primära ägaren, en säkerhetskopia och en sekundär säkerhetskopia på off-chance den primära säkerhetskopian är inte tillgänglig.

Jag vet vad du tänker: “men så många behöver tillgång till att uppdatera webbplatsen för att göra det här, det eller det andra.”Okej, men de behöver inte vara ägare. Så ge dem inte ägande. Gör dem till medlemmar. Och bara ge dem medlem tillgång till listorna de behöver det på.

Du kanske inte gillar den här rekommendationen, men den är inte godtycklig. Detta är en beprövad praxis som kommer från många lärdomar och praktisk framgång som jag har upplevt att övervaka mina egna webbplatser och ett helt nätverk av webbplatser i mitt yrkesliv. Lita på mig: denna regel gör den enklaste installationen tillgänglig. Här är varför:

  1. du behöver mer än en ägare. När du är ute måste någon spela din backup. Den andra säkerhetskopian är avsedd att ytterligare minimera risken för att det inte finns en tillgänglig säkerhetskopia när det behövs.
  2. inte alla ägare är av samma kaliber. Ju färre ägare, desto mindre risk för att något bryts av en mindre erfaren ägare.
  3. färre ägare innebär mer kontroll när ändringar på webbplatsen görs. När någon vill ändra något på sin webbplats kommer de till dig och dina två kollegor; du kan sedan göra rekommendationen om den smartaste lösningen. Om det finns en massa ägare kan man bara gå av, göra förändringen eftersom “det är inte en stor sak”, och ni kan alla ångra det i framtiden på grund av oavsiktliga konsekvenser.
  4. att hålla ägargruppen liten säkerställer verkligt ägande av webbplatsen. Om det finns tio ägare och ett problem uppstår kommer det att finnas mycket fingerpekande och” jag trodde att det var hans/hennes ansvar ” att göra ett utseende. Lita på mig. Har varit där.
  5. Om du är den primära ägaren måste du träna alla andra ägare. Att träna två personer är mycket lättare än att träna sju.

Jag har ännu inte upplevt en situation där regeln om tre inte har varit den bästa lösningen. Och jag har varit runt en hel del SharePoint-webbplatser i min dag.

ett sista tips om att vara ägare: ange alltid namnen på ägarna på hemsidan. Jag tillhandahåller vanligtvis en SharePoint – kontaktlista med namn, telefonnummer, e-postadresser och arbetsschema för ägarna så att användarna omedelbart vet vem de ska kontakta om det finns en fråga eller ett problem med den webbplatsen. En av de största designbristerna från Microsofts sida tillhandahåller inte en automatisk lista över ägare på varje webbplats. Folk behöver veta vem som bestämmer!

medlemmar grupp

medlemmar är personer som kan göra ändringar på en webbplats. De kan lägga upp dokument, uppdatera listor, svara på undersökningar och i princip delta i innehållsutveckling, curation och användning av webbplatsen. Min rekommendation för att använda medlemsgruppen är ganska enkel:

  • ändra standardåtkomstnivån från “Redigera” till “bidra”: av någon anledning beslutade Microsoft att höja standardåtkomstnivån för medlemmar i SharePoint 2013 (och senare versioner). “Redigera “ger människor möjlighet att skapa, redigera och ta bort listor utöver allt du kan göra med”bidra”. Det är ganska troligt att du inte vill att folk ska skruva runt med listor som du tog mycket tid att skapa, anpassa och bygga. Så begränsa deras behörigheter till den” gamla ” normala från början. Detta är min rekommendation oavsett vilken typ av webbplats du har att göra med.
  • lagsidor: Om du äger en gruppwebbplats, där du och dina kollegor samarbetar i processdokument, formulär, filer, listor och allt annat, gör så många av dina lagkamrater som möjligt. De borde alla ha tillgång till att göra ändringar i innehållet eftersom de gör arbete! Låt dem!
  • Publiceringswebbplatser: om du äger en publiceringswebbplats, där det mesta av innehållet är färdiga filer, policyer etc., du borde ha några till inga medlemmar. Jag vet, många ägare gillar inte denna rekommendation. Men uppriktigt sagt är innehållet prime time och så få människor som möjligt borde ha förmågan att förändra saker. Du vill inte att en oavsiktlig eller obehörig förändring ska ske under din klocka. Så begränsa behörigheterna i publiceringsområdet om du kan. Som ett exempel, på en HR-publiceringsplats, ha separata dokumentbibliotek för varje funktion: en för förmåner, en för arbetsdokument, en för policyer, en för rekrytering etc. Medlemmarna i vart och ett av dessa lag bör ha Medlemstillgång till vart och ett av dessa bibliotek så att de kan uppdatera information vid behov; men ingen annan borde ha redigeringsåtkomst till dessa bibliotek.

Besökargrupp

besökare är personer som har läsåtkomst till en webbplats. De kan öppna filer (och till och med ladda ner dem), men de kan inte göra ändringar i innehållet. De är avsedda att konsumera innehåll, men inte skapa, uppdatera, redigera eller ta bort det.

i grund och botten är det samma som när du går till Amazon.com. du redigerar inte listan över saker att köpa. Du läser den. Du väljer de du vill ha, men du ändrar inte inventeringen för andra att läsa. Som en typisk Internetanvändare, du är en besökare till nästan varje plats där ute.

min rekommendation för att använda Besöksgruppen är ännu enklare än medlemmar:

  • Teamwebbplatser: uppriktigt sagt tror jag att om du är medlem i ett team bör du alltid vara medlem på den webbplatsen. Men jag inser att det finns tillfällen då utomstående till gruppen (övre ledningen, granskare, människor som bara behöver förbli “i vet”) behöver läsåtkomst men inte redigera åtkomst. Så generellt sett, i ett samarbetsutrymme, föreslår jag att ha så få besökare som möjligt. Läsåtkomst hindrar potentiellt arbete att bli gjort.
  • Publiceringswebbplatser: Publiceringswebbplatser är avsedda att dela slutförd information med många människor. Företagets eller organisationens hemsida är en publiceringswebbplats. Många människor behöver tillgång. Dessa människor borde vara i Besöksgruppen. Din HR-förmånssida är ett annat bra exempel. Om du inte är på förmånsteamet i HR bör du ha läsåtkomst till filer relaterade till försäkring, pensionering etc., men du borde inte kunna ändra filerna (även om du vill så har du bättre fördelar!).

andra SharePoint-grupper

Du kan skapa så många SharePoint-grupper som du vill. Det här är användbart om du har en ad hoc-samling av personer som du vill kunna ge åtkomst på andra webbplatser någon annanstans i din SharePoint-miljö.

en sak att tänka på: se till att uppdatera ägaren till var och en av grupperna på din webbplats som ägargruppen. Tyvärr gör SharePoint som standard gruppägare till den person som skapade webbplatsen (eller gruppen), inte gruppen ägare. Logiskt sett bör ägarna ha full kontroll över webbplatsen och de grupper som används på webbplatsen. Om du inte ändrar detta och den valda personen lämnar din organisation kan du inte ändra eller uppdatera inställningarna för SharePoint-gruppen utan att få din IT-avdelning involverad. Om du uppdaterar gruppägaren till gruppen ägare kommer den som är ägare i framtiden att kunna göra ändringar i dessa grupper.

Active Directory groups

Active Directory är verktyget Microsoft tillhandahåller för att hålla reda på personer i ett nätverk. När du skickar e-post till någon från Outlook hämtar den information från Active Directory (eller kort sagt AD). AD erbjuder möjlighet att skapa grupper också. Och de är inte SharePoint-grupper, så blanda inte ihop dem.

annonsgrupper erbjuder en enorm fördel: om din organisation uppdaterar annonsgrupper för dina avdelningar, team och allt annat kan du använda dem i SharePoint. Många HR-avdelningar inkluderar uppdatering av en annonsgrupp som en del av onboarding-och avslutningsprocessen, vilket innebär att annonsgrupperna sannolikt är aktuella och tillförlitliga när du använder dem i SharePoint.

det mest användbara exemplet är att använda en “all Staff” – typ av annonsgrupp, vilket ger dig ett mycket snabbt och automatiserat sätt att ge åtkomst till alla användare i ditt nätverk. (Det kan vara känt som” all Staff”,” Staff”,” Domain Users ” eller något liknande. Varje IT / HR-avdelning har sin egen terminologi.) Jag är beroende av dessa typer av grupper när jag skapar och delar publiceringswebbplatser som kan ha företagsövergripande information. En kommunikationsportalsida, HR-förmånssidan, bokföringsformsbiblioteket och liknande skulle i allmänhet ha “all personal” som en del av Besöksgruppen. På så sätt behöver jag inte individuellt lägga till och ta bort användare när de går med och lämnar organisationen. Någon annan gör jobbet för mig, med hjälp av en centraliserad, pålitlig process.

om din organisation inte använder annonsgrupper är det ett hinder för produktiviteten och dina IT-och/eller HR-avdelningar bör verkligen överväga att göra det till förmån för alla som använder SharePoint… eller Outlook! Det är ett av de enklare sätten att skicka e-post till en grupp människor utan att behöva leta efter enskilda användarkonton eller e-postadresser.

Observera att fördelarna med annonsgrupper endast kommer från interna användare. Du kan inte riktigt få den fördelen när du diskuterar kunder, leverantörer och andra utomstående om de inte ingår i din annonsgrupp eller om det har funnits någon federationsinställning med dessa organisationer, vilket är ett komplicerat ämne att komma in i och inte något jag planerar att täcka här.

Breaking permissions arv

en av de mest kraftfulla aspekterna av SharePoint är “objektnivå behörigheter”. Detta är en fin term för”du kan ge tillgång till enskilda objekt i SharePoint utan att ge tillgång till en hel webbplats eller ett system”. Och det är en stor fördel i SharePoint.

som standard ärver allt innehåll på din webbplats behörigheter från själva webbplatsen. Så åtkomst är densamma på fil A som fil B som bibliotek X som lista Y som hela webbplatsen. Alternativet att bryta arv innebär att du kan göra åtkomst unik för en fil, ett bibliotek, en lista eller något annat på den webbplatsen.

detta är super frestande och kan vara mycket användbart. Men det kan vara mycket farligt eftersom när du bryter arv, du avsevärt öka komplexiteten i dina behörigheter setup. Det är inte en dålig sak, men du måste vara redo att hålla saker under kontroll när du gör det. Tack och lov i SharePoint 2013, 2016 och Online finns det möjlighet att se vem en fil, lista, bibliotek eller annat objekt är “delat med”. Det här alternativet är tillgängligt i menyfliksområdet för alla bibliotek, listor, objekt eller dokument.se nedan. I tidigare versioner av SharePoint var det inte så, så behörigheter blev en total mardröm. Nu är de bara en partiell mardröm!

som sagt måste du fortfarande gå lätt när det gäller att bryta arv och ge unika behörigheter baserade på enskilda objekt. Här är mina rekommendationer:

  1. Håll dig till bibliotek och webbplatser: Om du behöver bryta arv, gör det inte i den enskilda filen. Släpp dessa filer i en mapp, bibliotek eller till och med en separat webbplats och hantera dina behörigheter därifrån. Det är mycket lättare.
  2. använd SharePoint-grupper: bryt inte behörigheter genom att ge individer åtkomst. Skapa en SharePoint-grupp för tillfället och använd det istället. Det är lättare att uppdatera en SharePoint — grupp på ett ställe — och sedan njuta av varje objekt som drar den gruppen i sina behörigheter automatiskt-än att behöva göra en förändring överallt när någon går eller lämnar din organisation.
  3. var försiktig: jag säger inte på något sätt att inte dra nytta av objektnivåbehörigheter. Jag använder det regelbundet. Men jag vet risken. Saker blir komplicerade, och avsikter är lätta att glömma. Bäst att dokumentera resonemang bakom din tillståndsarkitektur (se nedan).

dokumentera din inställning

När du har ställt in din behörighetsstruktur ska du dokumentera den. Jag gillar att ha ett bibliotek på alla mina webbplatser som heter” Owner docs ” eller något liknande. I det här biblioteket behåller jag en fil som täcker behörighetsstrukturen, alla bilder som används på själva webbplatsen, ett dokument som täcker beskrivningen av webbplatsen, avsedd användning och whatnot.

Jag vet att dokumentation suger; ingen gillar att göra det. Men du kommer inte att äga din webbplats för alltid. Den här dokumentationen kan hjälpa dina backup-ägare och alla andra som kommer in att ta över som ägare i framtiden. Det är faktiskt en bra tidsbesparing när du har en ny backup-ägare ombord. Det betyder mindre tid som behövs för att träna dem och de har en resurs att slå upp när du är ute och de måste fatta ett beslut som kan påverka visionen och syftet med din webbplats.

att dokumentera dina behörigheter är i grunden styrning i liten skala. Och även om det inte är kul, tycker jag att det är kritiskt.

extern delning

SharePoint Online erbjuder nu möjligheten att dela med användare utanför organisationens nätverk. Och det är en riktigt kraftfull uppgradering till tjänsten. Men det är utanför ramen för detta inlägg. Jag täcker det konceptet i ett separat inlägg eftersom det förtjänar sin egen beskrivning, analys och rekommendationer. Allt som nämns i det här inlägget förutsätter att du bara ger åtkomst till användare inom ditt nätverk eller organisation, inte utanför personer eller grupper.

slutsats

håll det enkelt. Håll dig till Out-of-the-box-grupperna. Minimera behörigheter på objektnivå. Använd annonsgrupper när du kan. Dokumentera din inställning. Tre ägare max. För publiceringswebbplatser, väldigt få medlemmar, många besökare. För gruppwebbplatser, många medlemmar, få till inga besökare. Gör alltid en sanity check när du flyttar bort från dessa principer för att se till att du absolut behöver. Och håll dig till dina vapen när folk protesterar. Du är experten.

Lämna ett svar

Din e-postadress kommer inte publiceras.