Sharepoint2013權限管理之老王亂彈二

     上一篇簡單的介紹了一下SharePoint場和網站的一些基本權限概念，但這些是遠遠不夠的，以後有機會我會繼續為大家進行詳細講解，在今天這一篇文章中，我們主要談一談，如何實作，使用者隻能在SharePoint網站隻能浏覽文檔，但是不能下載下傳。

在SharePoint網站設定中，可以看到使用者和權限的主要設定就是以下四項，其中我們主要關注的是人員群組，以及網站權限這兩個設定

<a href="http://s3.51cto.com/wyfs02/M02/6E/97/wKioL1WA5VTRIU2oAAY8ShIVgn4878.jpg" target="_blank"></a>

打開人員群組，管理人員可以看見一個非常簡單的視圖，有現成的SharePoint安全組，如果需要進行網站授權，隻需要在建立--添加使用者就可以了。

<a href="http://s3.51cto.com/wyfs02/M02/6E/9B/wKiom1WA46XByXGgAAlDTI9wDw0568.jpg" target="_blank"></a>

例如，我們希望添加一個SharePoint網站的通路者，就在建立的地方，選擇添加使用者即可，這個部分，也可以了解為是設定最終權限的地方，在這個地方，管理者可以直接添加使用者，也可以添加AD内的安全組到網站權限，再多說一句，SharePoint預設網站也會有自己的安全權限，也可以使用AD的賬号進行授權，這裡來講，其實真正的最終授予出去的權限，還是一個AD賬戶，或者一個SharePoint本地賬戶，而SharePoint安全權限與AD權限的一個差別就在于，如果你在SharePoint中建立了安全組，那麼這個SharePoint安全組不能嵌套使用，如果你在添加網站人員與組中，賦予一個AD安全組，進入SharePoint安全組，那麼這個AD安全組實際上是支援嵌套的。

<a href="http://s3.51cto.com/wyfs02/M02/6E/9B/wKiom1WA5HDDkbKGAAZQj1rZ48E993.jpg" target="_blank"></a>

點選人員與組下面的其它，可以看見所有的人員群組，這些組，有的是SharePoint建立的安全組，有的是特殊生成的組，例如，每個人，authenticate users，快速部署使用者。

<a href="http://s3.51cto.com/wyfs02/M00/6E/97/wKioL1WA5VWTRS7RAAstmDJcySA187.jpg" target="_blank"></a>

看過人員群組之後，我們再進一步，看看網站權限，可以看到，這裡比人員群組，多了很多設定，例如授予權限，建立組，匿名通路，權限級别，檢察權限，網站集管理者，在這裡可以看到，目前已有的SharePoint安全組，以及SharePoint安全組所屬的權限級别，一會我們要詳細來看這個權限級别。

<a href="http://s3.51cto.com/wyfs02/M00/6E/9B/wKiom1WA46awH7c6AAijllsHT9A672.jpg" target="_blank"></a>

那麼，所謂授予權限，就是在這裡添加進來AD安全組或者AD賬戶，可以看到和之前在人員群組設定中的不同，在人員群組中，管理者隻能添加人員到組，而在網站權限這裡，管理者可以添加AD安全組或者AD賬戶至 指定的權限級别 或 至指定的SharePoint安全組，感覺上是不是比人員群組裡面的設定更加全面了一些。

<a href="http://s3.51cto.com/wyfs02/M02/6E/97/wKioL1WA5VXy5tH8AAgr39Auh_U345.jpg" target="_blank"></a>

授予了權限之後，我們再來看一下建立組，輸入一個組名稱，和exchange一樣，SharePoint也支援組審批，但是要求SharePoint伺服器場要配置傳出郵件後，才支援這項操作。

<a href="http://s3.51cto.com/wyfs02/M02/6E/9B/wKiom1WA46fDXVd_AAvmBB9F0nU162.jpg" target="_blank"></a>

重點在下面，當我們在網站權限中，建立組時，會讓我們選擇該SharePoint安全組，所需要獲得的權限級别，即使用者組最終可以執行的網站權限，例如我們選擇僅檢視，那麼，這個安全組，今後再添加進來的人員，就都會是僅檢視的權限。

<a href="http://s3.51cto.com/wyfs02/M01/6E/97/wKioL1WA5VbiBSFhAArIqowpo_A702.jpg" target="_blank"></a>

和我們想象的一樣，在網站權限中建立了安全組，回到人員群組中就可以看到這個安全組，這下子幫大家撥開了一個謎團，很多人都說SharePoint會有自己的權限，可以自己建立賬戶，建立組，但是其實不是，SharePoint隻是可以做到建立SharePoint自身的安全組，在AD賬戶或者本地賬戶之上又套了一層。

<a href="http://s3.51cto.com/wyfs02/M01/6E/9B/wKiom1WA46fS9TCEAAivN0ViZf8629.jpg" target="_blank"></a>

添加好了組之後，我們再回到網站設定，看右側，每一個SharePoint安全組都對應着一個權限級别，那麼你有沒有想過為什麼會是這個權限級别，這個權限級别對應到網站到底是可以執行那些權限，權限級别是否是可以自己設定的，答案肯定是可以的。

<a href="http://s3.51cto.com/wyfs02/M02/6E/97/wKioL1WA5VezUs-fAAh_0P0F3tM002.jpg" target="_blank"></a>

選擇上方的 權限級别

<a href="http://s3.51cto.com/wyfs02/M02/6E/9B/wKiom1WA46jzGfknAACidCQhf2s767.jpg" target="_blank"></a>

可以看見SharePoint預設自帶的權限級别，這些權限級别通常被直接套用到AD安全組或者AD使用者上，也可以套用在SharePoint安全組上。

<a href="http://s3.51cto.com/wyfs02/M00/6E/97/wKioL1WA5Vegpmp6AAcc8IbIwdE981.jpg" target="_blank"></a>

我們點選一個僅檢視的權限級别，可以看到僅檢視這個權限級别下，可以執行的網站權限，清單權限，以及個人權限，所謂權限級别，就是定義使用者最終到底可以在網站下執行那些操作的具體操作項目

<a href="http://s3.51cto.com/wyfs02/M00/6E/97/wKioL1WA5Vii7fxMAAqyoOi0CXY481.jpg" target="_blank"></a>

<a href="http://s3.51cto.com/wyfs02/M00/6E/9B/wKiom1WA46nzzuHnAA0arBzhom8765.jpg" target="_blank"></a>

  說到這裡，大家大概看懂了吧？其實在一個SharePoint網站，授予權限幕後發生的過程是這樣子的

  自後向前來說：首先定義權限級别，定義使用者最終可以在網站、清單、個人、執行那些操作，定義好了權限級别之後，在網站權限中建立組，例如IT部門，IT部門要應用哪一個權限級别。建立好組了之後，再去人員群組，将AD安全組或AD使用者添加到SharePoint安全組，也可以不通過人員群組，直接在網站權限的地方，授予權限，将AD安全組或AD使用者套用到權限級别或者SharePoint安全組。

  自前向後來說：管理人員在人員群組中，添加AD安全組或者AD使用者，實際上添加的AD使用者套用的是SharePoint安全組的權限，而這個安全組到底可以執行那些權限，是在網站權限中通過建立組來進行定義選擇,每一個權限具體可以執行那些操作，是通過在權限級别中建立出來。

 通過上述的講解，希望大家可以對SharePoint網站的授權有一個基本的概念，下面我們就來講解，如何通過網站權限實作使用者可以讀取網站，可以在浏覽器中浏覽文檔，但是不能下載下傳。

  如果大家仔細閱讀了https://technet.microsoft.com/zh-cn/library/cc721640.aspx    這篇連結裡面的文檔，不難看出，在清單權限裡面有一項叫做打開項目，如果勾選了這一項，也就是具備了這一項權限的權限級别，那麼就可以在網站中 通過office打開文檔，以及下載下傳文檔。

  是以如果不想讓使用者下載下傳文檔，就要讓使用者的權限級别中，不能包括 打開項目 這一項，在SharePoint網站集中，預設情況下，僅檢視這個權限級别，就是不能打開項目，是以如果想讓使用者浏覽網站，但是不想讓使用者可以下載下傳文檔，最簡單的方式，直接把使用者授予僅檢視的權限就可以了，我這裡直接在網站權限中操作

  打開網站設定-網站權限-選擇授予權限

<a href="http://s3.51cto.com/wyfs02/M00/6E/9B/wKioL1WBEG3RcSDZAAmSUPPZXXU754.jpg" target="_blank"></a>

  添加測試賬戶SP2013為 僅檢視 權限級别，請注意，最佳實踐是建議針對于AD安全組賦予SharePoint安全組權限。或者直接針對于AD安全組賦予權限。

<a href="http://s3.51cto.com/wyfs02/M01/6E/9B/wKioL1WBEIOCU_S1AAf05C6jC2M457.jpg" target="_blank"></a>

授予權限之後，我先不用SP2013賬戶登入，我用另外一個 具備 讀取 權限級别的賬戶登入

<a href="http://s3.51cto.com/wyfs02/M00/6E/9F/wKiom1WBD7uT9ddLAAp2bJjFrXM034.jpg" target="_blank"></a>

雖然說 這個賬戶 是 讀取 的權限級别，但是可以看到這個使用者實際上是可以下載下傳文檔副本的

<a href="http://s3.51cto.com/wyfs02/M01/6E/9F/wKiom1WBD_Pgmz8JAAShfrlkayQ012.jpg" target="_blank"></a>

可以看到在OWA界面也可以通過下載下傳

<a href="http://s3.51cto.com/wyfs02/M01/6E/9B/wKioL1WBEZfTsF0TAAWmj85wJkA879.jpg" target="_blank"></a>

管理者連接配接到網站設定中可以看到，雖然讀取的執行權很低，但是依然可以下載下傳文檔，因為讀取權限具備了可以打開項目的權限級别

<a href="http://s3.51cto.com/wyfs02/M01/6E/9F/wKiom1WBE0yTccsLAAy3SfwY-SQ014.jpg" target="_blank"></a>

下面我們再切換到 權限級别 為 僅檢視的使用者，可以看到，不能執行下載下傳副本了

<a href="http://s3.51cto.com/wyfs02/M01/6E/9B/wKioL1WBFojQDi_CAAsIJVCXuKo530.jpg" target="_blank"></a>

如果再切換到文檔庫内容中，同樣也是不可以下載下傳副本的

<a href="http://s3.51cto.com/wyfs02/M02/6E/9B/wKioL1WBFrrzWK-XAAkKHtPrRno865.jpg" target="_blank"></a>

使用者可以再OWA界面進行預覽文檔，但是同樣也不能在OWA界面進行另存為

<a href="http://s3.51cto.com/wyfs02/M01/6E/9B/wKioL1WBFtvSVCV-AAWkXNjng4g149.jpg" target="_blank"></a>

大家覺得這樣子好不好，不需要使用ADRMS，就是實作了這麼好的功能，其實SharePoint裡面有很多不錯的内置功能，隻不過大家很少去仔細的研究，像這個問題，隻不過是選擇一個合适的權限級别的問題，但是話說回來，按照我們這樣子做，有好處也有壞處，好處就是我們實作了需求，但是有一個不安全的地方，就是 僅檢視的使用者，實際上是可以看見網站内容的，在網站内容界面下，通常包括開發人員寫的網頁，以及網站的所有内容，這些内容對于有的基本使用者來說是不需要讓他們看見的。

<a href="http://s3.51cto.com/wyfs02/M02/6E/9B/wKioL1WBF9mzmSzUAAmzMNO_AoU490.jpg" target="_blank"></a>

打開網站内容後，就可以看見這界面

<a href="http://s3.51cto.com/wyfs02/M02/6E/9B/wKioL1WBF_-CNrTiAArHK3QrGqs719.jpg" target="_blank"></a>

是以，如果說，你的僅檢視使用者，并不屬于進階使用者，他們隻是基本使用者，檢視文檔，協同辦公即可，那麼，這個頁面你就并不需要讓他們看到。

怎麼做呢，這個時候，我們就不應該使用 僅檢視這個權限級别了，應該去使用 受限讀取 這個權限級别，受限讀取的權限要比僅檢視的權限級别還要低一些。

打開網站設定-網站權限-權限級别

<a href="http://s3.51cto.com/wyfs02/M00/6E/9C/wKioL1WBHCKgXzDiAAkoGgaQ2j4938.jpg" target="_blank"></a>

打開受限讀取權限級别，可以看到受限讀取權限級别雖然很低，但是依然可以打開項目，

是以我們要把打開項目這一項給去掉

<a href="http://s3.51cto.com/wyfs02/M00/6E/A0/wKiom1WBGojx4C_IAA1FJlNkaVc946.jpg" target="_blank"></a>

你可以選擇自己建立一個權限級别，也可以選擇複制現有權限級别進行修改，這裡我選擇複制後修改

<a href="http://s3.51cto.com/wyfs02/M00/6E/9C/wKioL1WBHIfiCL40AAzRiZk3myA207.jpg" target="_blank"></a>

複制好了後，重命名為臨時人員權限，同時取消 打開項目，最終確定臨時人員權限級别僅具備檢視項目，打開網頁，檢視網頁三個權限操作

<a href="http://s3.51cto.com/wyfs02/M02/6E/9C/wKioL1WBHb6TivYpAAyZ1sA5UKA757.jpg" target="_blank"></a>

确認無誤後這次選擇送出

<a href="http://s3.51cto.com/wyfs02/M00/6E/9C/wKioL1WBHfnw3o0PAA2dwlJ4-74220.jpg" target="_blank"></a>

送出完成後即可看見我們建立的權限級别

<a href="http://s3.51cto.com/wyfs02/M00/6E/A0/wKiom1WBHC7huiNXAAiPdvIoiAM577.jpg" target="_blank"></a>

建立完成權限級别後，我們再去網站權限下選擇建立SharePoint安全組

<a href="http://s3.51cto.com/wyfs02/M01/6E/A0/wKiom1WBHJWhCPuHAAtiagJmyAE932.jpg" target="_blank"></a>

選擇SharePoint安全組權限為 臨時人員 權限級别

<a href="http://s3.51cto.com/wyfs02/M00/6E/9C/wKioL1WBHmXx03E-AA1NEfkhlBM297.jpg" target="_blank"></a>

建立完成SharePoint安全組後，我們再去人員與組界面下，添加AD組或者AD使用者到SharePoint安全組

<a href="http://s3.51cto.com/wyfs02/M01/6E/9C/wKioL1WBHqTjzDYhAAhjbUYT-3Q240.jpg" target="_blank"></a>

添加完成後使用SP2013賬戶登入，可以看到，同樣不能下載下傳

<a href="http://s3.51cto.com/wyfs02/M00/6E/A0/wKiom1WBHSKgli9mAAna_d2F77M376.jpg" target="_blank"></a>

在OWA中同樣也不能另存為

而且使用者現在不能檢視網站内容

<a href="http://s3.51cto.com/wyfs02/M00/6E/A0/wKiom1WBHVugJcxdAAOuqlNEupw819.jpg" target="_blank"></a>

通過系列的講解，大家可以看出，SharePoint的權限控制其實還是比較細粒度的，通過訂制權限級别，可以滿足很多權限控制的需求，例如我們要控制使用者可以檢視網站，但是不能下載下傳，如果使用者是屬于進階使用者，例如開發人員，那麼就可以對使用者賦予僅檢視的權限級别，如果使用者是屬于基本使用者，例如普通辦公人員，那麼就可以對使用者賦予受限讀取的權限級别，然後手動修改。

本文轉自 老收藏家 51CTO部落格，原文連結:http://blog.51cto.com/wzde2012/1662772