规划在sharepoint中使用安全组

简介

如果将权限级别分配给组而非单个用户，那么管理 SharePoint 网站用户其实很简单。SharePoint 组是一组单独的用户，它还可以包含 Active Directory 组。在 Active Directory 域服务 (ADDS) 中，通常会使用下面的组来组织用户：

• 通讯组   仅用于电子邮件分发并且未启用安全的组。通讯组不能在用于定义对资源和对象的权限的自定义访问控制列表 (DACL) 中列出。

• 安全组   可在 DACL 中列出的组。安全组也可用作电子邮件实体。

可以通过向 SharePoint 组添加安全组并授予 SharePoint 组相应权限的方式，使用安全组来控制网站的权限。不能向 SharePoint 组添加通讯组，但可以展开通讯组并将单个成员添加到 SharePoint 组中。如果使用此方法，则必须手动保持 SharePoint 组与通讯组同步。如果使用安全组，则无需在 SharePoint 应用程序中管理单个用户。由于包含的是安全组而非组中的单个成员，因此，ADDS 能为您管理用户。

 

决定是否添加安全组

向 SharePoint 组添加安全组可集中管理组和安全性。只能在安全组中管理单个用户。一旦向一个 SharePoint 组中添加安全组，您便无需管理该 SharePoint 组中的安全组成员。如果从安全组中删除某个用户，则将自动从 SharePoint 组中删除该用户。

但是，在 SharePoint 网站中使用安全组不会完全显示所执行的操作。例如，在将安全组添加到某个特定网站的 SharePoint 组中时，该网站将不会显示在用户的“我的网站”中。用户信息列表将不会显示单个用户，除非他们参与了网站工作。此外，具有深入嵌套结构的安全组可能会破坏 SharePoint 网站。

鉴于上述优缺点，下面提供了一些建议：

• 对于用户广泛访问的 Intranet 网站，请使用安全组，因为您并不关心访问过 Intranet 网站主页的单个用户。

• 对于少数用户访问的协作网站，请将用户直接添加到 SharePoint 组中。在此情况下，更需要了解哪些用户是成员，以便组成员知道彼此的电子邮件地址以及联系方式。

 

确定用于授予对网站的访问权限的安全组

每个组织设置其安全组的方式各不相同。为了便于权限管理，安全组应：

• 足够的大且稳定，这样就不用持续向 SharePoint 网站中添加附加安全组了。

• 足够的小，这样就可以分配适当的权限。

例如，一个称为“大厦 2 中的所有用户”的安全组可能不够小，无法分配权限，除非大厦 2 中所有用户的工作职责都相同（例如，应收帐款文员）。此情况很少见，因此您应查找更小、更特定的用户组（如“应收帐款”）。

 

决定是否允许所有已验证的用户访问

如果希望域中的所有用户都能够查看您的网站上的内容，可考虑将访问权授予所有经过身份验证的用户（Windows 安全组“Domain Users”）。此特定组允许域中的所有成员在您选定的权限级别访问网站，而无需进行匿名访问。

 

 

总结：

这个好处有如下3个好处：

1、 通用的安全组可以用在moss授权使用

2、 通用的安全组不需要转换成通讯组可以直接给安全组开通组的邮箱（Exchange server 2007以上版本，测试通过可以的）

3、 通用安全组支持子域的成员账号加入（如果全局的就不行。只支持本域的成员账号加入）