вторник, 14 мая 2013 г.

Управление разрешениями (правами) в SharePoint

Управление правами – сложная тема. В книге мы даем обзор этого инструмента, но ни в коем случае не претендуем на полноту изложения.

Корпоративные данные часто являются конфиденциальными и не предназначены для общего доступа. Тем не менее, их можно хранить на портале компании, предварительно ограничив к ним доступ. В SharePoint встроен удобный механизм управления правами на доступ к данным. Картинка ниже иллюстрирует как работает ограничение доступа и к чему это может привести.

Рисунок модели прав SharePoint начинаем смотреть сверху вниз от портала к файлу. В SharePoint существует наследование прав.

Наследование прав означает, что права от верхнего элемента переходят к нижнему; от группы к элементу; от семейства к ребенку, т.е. наследуются.

image

Рис. 175 Модель прав в SharePoint

Обратимся к самому правому примеру с рисунка. Права от портала наследуются для сайта и ниже для всех входящих в него элементов. Это значит, что если у вас есть право на редактирование и создание элементов (ключи), то вы сможете создавать и редактировать сайт, библиотеку и файлы.

Рассмотрим центральный пример. У вас есть права на доступ к порталу, но нет прав для работы с сайтом, библиотекой и файлами в ней. Ваши ключи не откроют вам доступ к ним, т.к. дальше нужны другие права. Это значит, что на уровне сайта прекращены права наследования от портала (или, если говорить терминами SharePoint, прекращено наследование прав родительского узла). На уровне сайта настроены уникальные права. Они наследуются всеми элементами, которые входят в сайт.

Прекращение прав наследования от родительской группы означает, что элемент имеет уникальные права, отличные от тех, что есть у его родительской группы. Родительской группой называется элемент выше по иерархии. В нашем примере, для сайта родительским элементом будет портал, для библиотеки – сайт, для файлов – библиотека.

Обратите внимание, что без труда можно вернуть наследование прав если оно было прекращено. Но нужно помнить, что после восстановления наследования, уникальные права теряются. Группы и пользователи, которых нет в правах родительской группы, будут удалены. Добавлять их придется вручную, если вы вновь прекратите наследование прав.

В SharePoint права на чтение, удаление, редактирование и др. можно назначать отдельному сотруднику или группе сотрудников. После добавления сотрудника в группу, он автоматически получит права этой группы.

Рекомендуем использовать группы для назначения прав и стараться не назначать права отдельным сотрудникам. При прекращении наследования прав не стоит удалять группу администраторов из прав, если на то нет крайней необходимости.

Это очень важно т.к. сотрудникам может понадобиться помощь со стороны администраторов, но они не смогут помочь, не затерев уникальные права. От таких моментов спасает назначение прав через группу и добавление в нее администраторов или коллег.

Помните, что группу можно создавать только на уровне сайта или портала.

Пример слева с рисунка 178 заслуживает отдельной иллюстрации:

image

Рис. 176 Прекращение прав наследования

Полные права на сайт часто играют дурную шутку с пользователями. Одурманенные идеей ограничить всех и вся, они прекращают наследование, добавляют пару коллег с правом на чтение, а потом страдают от обилия просьб дать права. Не самая удачная стратегия. Вот история наших пользователей.

Трое коллег отправились за файлом, но путь их оказался не длинным. На уровне библиотеки у одного из сотрудников прав не оказалось и доступ для него был закрыт. Двое других успешно прошли свой путь до файла и не услышали крики коллеги о помощи, т.к. считали, что права настроили верно и никого лишнего в свою закрытую область они не пустили. (Часто этим лишним может оказаться начальник или руководитель, после чего может следовать много ненормативной лексики.) Коллеги все же услышали громкие крики о помощи и предоставили товарищу доступ к библиотеке. Счастливчик смог увидеть обещанный файл.

Неожиданно ему вспомнилось про еще один важный файл из этой же библиотеки, но файл никто не мог найти. Оказалось, что для файла было прекращено наследование прав сотрудником из соседнего отдела, которому доверили полные права на файл. Он тихо и мирно читал его, попивал свой кофе и ни о чем не волновался. Доступа в библиотеку или на сайт у него не было, поэтому он пользовался прямой ссылкой на файл, что давало ему свой персональный тайный вход к одному этому файлу.

 

Это отрывок из книги, для чтения остальных глав жмем на оглавление.

Сайт книги

Комментариев нет:

Отправить комментарий