Embed Size (px)
Citation preview
Planejando a segurança de conteúdos e de sites noOffice SharePoint Server 2007
Microsoft Corporation
Resumo
Diversos elementos compõem a segurança de seu ambiente. Um desses elementos são as permissões que controlam o acesso aos sites e aos conteúdos nesses sites. Um novo modelo de segurança e os novos recursos de segurança (como os grupos do SharePoint® que controlam aparticipação, e as permissões de nível de item e documento) facilitam o controle sobre quem possui acesso e a quais conteúdos o acesso é permitido. Este documento explica como funciona asegurança para sites e conteúdos de sites, além de passar informações sobre as escolhas relacionadas à segurança de sites.
As informações contidas neste documento representam a visão atual da Microsoft Corporation sobre as questões discutidas até a data de publicação. Como a Microsoft deve responder às condições modificáveis do mercado, elas não devem ser interpretadas como compromisso por parte da Microsoft, e a Microsoft não pode garantir a precisão das informações apresentadas depois da publicação.
Este White Paper é apenas para fins informativos. A MICROSOFT NÃO FAZ GARANTIA, EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, QUANTO ÀS INFORMAÇÕES DESTE DOCUMENTO.
A conformidade com todas as leis aplicáveis de direitos autorais é de responsabilidade do usuário. Sem limitar os direitos protegidos pelos direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou apresentada a um sistema de recuperação, ou transmitida, de qualquer forma ou por qualquer meio (eletrônico, mecânico, fotocopiador, gravador ou outros), ou por qualquer finalidade, sem a permissão expressa por escrito da Microsoft Corporation.
A Microsoft pode possuir patentes, aplicações patentes, marcas registradas, direitos autorais ou outros direitos de propriedade intelectual que abordem os assuntos deste documento. Excetuando-se o que se encontra expressamente fornecido em qualquer contrato de licença por escrito, os complementos deste documento não provêm quaisquer licenças a essas patentes, marcas registradas, direitos autorais ou outra propriedade intelectual.
A menos que seja notificado, os exemplos de empresas, organizações, produtos, nomes de domínios, endereços de e-mail, logotipos, pessoas, locais e eventos aqui descritos são fictícios e não estão associados a qualquer empresa, organização, produto, nome de domínio, endereço dee-mail, logotipo, pessoa, local e evento reais.© 2007 Microsoft Corporation. Todos os direitos reservados.
Microsoft, Excel, SharePoint, Visual Studio e Windows são marcasregistradas ou apenas marcas da Microsoft Corporation nos EstadosUnidos e/ou outros países.Todas as outras marcas registradas pertencem a seus respectivos proprietários.
Traduzido por Francisco Baddini, Junho de 2007
Índice
Introdução .................................................................................................... 4Planeje a segurança de sites (Office SharePoint Server)...................................... 4
Sobre os elementos de segurança de sites ..................................................... 4Sobre a atribuição de permissões ................................................................. 5Sobre as permissões finamente granuladas e a herança de permissões ............. 6Selecione os níveis de segurança de sites a serem utilizados............................ 7Planeje a herança de permissões .................................................................. 8Planilha ..................................................................................................... 9
Determine níveis e grupos de permissão a serem utilizados .............................. 10Reveja os grupos padrão disponíveis........................................................... 10Reveja os níveis de permissão disponíveis ................................................... 11Determine se você precisa de níveis ou grupos adicionais de permissão .......... 12Planilha ................................................................................................... 14
Defina níveis personalizados de permissão ...................................................... 15Personalize um nível de permissão existente ................................................ 15Copie um nível de permissão existente........................................................ 15Crie um nível de permissão........................................................................ 15
Escolha quais grupos de segurança utilizar...................................................... 17Determine quais grupos e contas de segurança do Windows utilizar paraconceder o acesso aos sites ....................................................................... 17Decida utilizar todos os usuários autenticados .............................................. 17Decida permitir o acesso a usuários anônimos.............................................. 17Planilha ................................................................................................... 18
Escolha administradores e proprietários para a hierarquia de administração ........ 19Níveis de administração............................................................................. 19Planilha ................................................................................................... 20
IntroduçãoDiversos elementos compõem a segurança de seu ambiente. Um desses elementos são as permissões que controlam o acesso aos sites e aos conteúdos nesses sites. Um novo modelo de segurança e os novos recursos de segurança (como os grupos do SharePoint® que controlam a participação, e as permissões de nível de item e documento) facilitam o controle sobre quempossui acesso e a quais conteúdos o acesso é permitido. Este documento explica como funciona a segurança para sites e conteúdos de sites, além de passar informações sobre as escolhas relacionadas à segurança de sites.Um outro elemento integral à segurança de seu ambiente é a forma de estruturar a segurança no nível de aplicativo da Web - escolhendo métodos de autenticação e especificando os métodos de criptografia a serem utilizados.
Planeje a segurança de sites (Office SharePointServer)Este artigo fala sobre o planejamento do controle de acesso e da autorização nos níveis de coleção de sites, sites e subsites e não trata da segurança de seu servidor ou farm de servidores.A segurança de sites é controlada pela atribuição de permissões a usuários e grupos de um objetoalcançável específico (como site, lista ou item). Ao planejar a segurança de sites, será preciso decidir:• Para qual nível você deseja controlar as permissões para objetos alcançáveis individuais. Por
exemplo, você deseja controlar o acesso para o site inteiro ou precisa de configurações específicas de segurança para uma lista, pasta ou item em particular?
• Como você deseja categorizar e gerenciar seus usuários (utilizando grupos). Este artigo abordaos fundamentos sobre segurança de site e ajuda você a determinar os objetos alcançáveis aos quais permissões específicas serão aplicadas. Para mais informações sobre a categorização de usuários em grupos, veja: Escolha quais grupos de segurança utilizar (Office SharePointServer) em htt p://t ec hn et2 .m ic ros of t. co m/Of fice /en-u s /lib rar y/1a 45c 75 2-a 485 -439a -a1 9b-3 40a 5bd 7a 6f3 103 3.ms px .
Nota:A forma com que grupos e permissões interagem foi alterada de forma significativa desde aversão anterior, na qual grupos de nível de site eram utilizados para conter usuários epermissões, ou seja, quando um usuário era adicionado a um grupo de sites,automaticamente, eram determinadas as permissões concedidas a esse usuário para umdeterminado site. Nesta versão, os conceitos de grupos de usuários e permissões foramseparados: grupos do SharePoint no nível de coleção de sites contêm os usuários, os níveis depermissão contêm as permissões, e os grupos não possuem permissões até que seja atribuídoa eles um nível de permissão para um objeto alcançável específico (como um site, lista oubiblioteca, pasta, item ou documento).
Sobre os elementos de segurança de sitesIndependente do tipo de site que está sendo criado, a segurança para o seu site inclui cinco elementos. São eles:• Permissões individuais de usuário Permissões individuais que concedem a capacidade de
realizar ações específicas. Por exemplo, a permissão Visualizar Itens (View Items) concede ao
usuário a habilidade para visualizar itens em uma lista. Administradores de farm podemcontrolar quais permissões estão disponíveis para o farm de servidores, utilizando a página Permissões de Usuário para Aplicativos Web (User Permissions for Web Application) em Administração Central. (Para obter esta página, na página Application Management, - Gerenciamento de Aplicativos - em Application Security (Segurança de Aplicativos), clique em Permissões de usuários para aplicativo da Web (User permissions for Web application.)
• Nível de permissão Um conjunto predefinido de permissões que concede aos usuários permissões para realizar ações relacionadas. Os níveis de permissão padrão são: Acesso Limitado (Limited Access), Ler (Read), Contribuir (Contribute), Projetar (Design) e ControleTotal (Full Control). Por exemplo, o nível de permissão Ler inclui as permissões Visualizar Itens (View Items), Abrir Itens (Open Items), Visualizar Páginas (View Pages) e Visualizar Versões (View Versions) (entre outras), todas as permissões necessárias para ler documentos, itens e páginas de um site do SharePoint. As permissões podem ser incluídas em diversos níveis de permissão. Os níveis de permissão podem ser personalizados por qualquer usuário de um nívelde permissão que inclua a permissão Gerenciar Permissões (Manage Permissions).
• Usuário Uma pessoa com uma conta de usuário que pode ser autenticada por meio do método de autenticação utilizado para o servidor. É possível adicionar usuários individuais eatribuir um nível de permissão diretamente para cada usuário; os usuários não precisam fazerparte de um grupo. Recomendamos que você atribua permissões a grupos do que a usuários. Como o processo de manter contas de usuário diretamente não é eficiente, você deve atribuir permissões em uma base por usuário somente como uma exceção.
• Grupo Um grupo de usuários. Pode ser um grupo de segurança do Windows (como Departmento_A) que você adicionou ao site ou um grupo do SharePoint, como Proprietários do Site, Membros do Site ou Visitantes do Site. A cada grupo do SharePoint é atribuído um nívelde permissão padrão. No entanto, o nível de permissão para qualquer grupo pode ser alterado quando necessário. Qualquer pessoa com um nível de permissão que inclua a permissão Criar Grupos (Create Groups), incluída no nível de permissão Controle Total por padrão, pode criar grupos personalizados do SharePoint.
• Objeto alcançável Usuários ou grupos recebem um nível de permissão para um objeto alcançável específico: site, lista, biblioteca, pasta, documento ou item. Por padrão, aspermissões para uma lista, biblioteca, pasta, documento ou item são herdadas do site pai ou da lista ou biblioteca pai. Entretanto, qualquer pessoa com um nível de permissão para um determinado objeto alcançável que inclua a permissão Gerenciar Permissões pode alterar as permissões para esse objeto alcançável. Por padrão, as permissões são inicialmentecontroladas no nível de site, com todas as listas e bibliotecas herdando as permissões de site.Utilize permissões de nível de lista, pasta e itens para obter um maior controle sobre quais usuários podem visualizar o conteúdo de sites ou interagir com esses conteúdos. Você pode retornar às permissões de herança a partir de uma lista pai, do site ou de um site pai sempre que necessário.
Sobre a atribuição de permissõesÉ possível atribuir a um usuário ou grupo um nível de permissão para um objeto alcançávelespecífico (site, lista ou item). Usuários ou grupos individuais podem possuir diferentes níveis para diferentes objetos alcançáveis.
Nota:
Devido à ineficiência em manter diretamente contas de usuários, é recomendável utilizarpermissões de grupo sempre que possível. Se você estiver utilizando permissões finamentegranuladas (ver a seção seguinte), você deverá utilizar grupos para evitar a necessidade derastrear contas de usuários individuais. As pessoas podem entrar e sair de equipes e mudar asresponsabilidades com freqüência. Controlar todas essas alterações e atualizar continuamente aspermissões para objetos exclusivamente seguros pode ser uma tarefa cansativa.
• Administradores de site e membros do grupo Proprietários de Site (Site Owners) - ou usuários com a permissão Gerenciar Site da Web em seus níveis de permissão - criam grupos eatribuem níveis de permissão para o site em sua totalidade.
• Administradores de lista ou de bibliotecas (ou usuários com permissões Gerenciar Lista em seu níveis de permissão) podem especificar permissões mais ou menos restritivas para sua lista ou biblioteca (ou uma pasta dentro da lista ou biblioteca), adicionando ou removendo níveis de permissão para usuários ou grupos.
• Criadores de itens ou documentos podem especificar permissões mais ou menos restritivas para um item ou documento, adicionando ou removendo usuários ou grupos ou até mesmo alterando os níveis de permissão para usuários ou grupos.
O diagrama a seguir mostra como usuários e grupos recebem níveis de permissão para um objetoalcançável em particular.
Sobre as permissões finamente granuladas e a herança de permissõesVocê pode utilizar permissões finamente granuladas (permissões no nível de lista ou biblioteca, pasta, item ou documento) para controlar, de forma mais precisa, quais ações os usuários podem realizar em seu site. Os objetos alcançáveis a seguir estão disponíveis para atribuições de permissão:
• Site Controla o acesso ao site em sua totalidade.• Lista ou biblioteca Controla o acesso a uma lista específica ou biblioteca.• Pasta Controla o acesso às propriedades de uma pasta (como o nome da pasta).• Item ou documento Controla o acesso a um item ou documento de lista específico.
Herança de permissões e permissões finamentegranuladasPor padrão, as permissões em um site são herdadas do site. Entretanto, é possível quebrar esta herança para qualquer objeto alcançável em um nível mais baixo na hierarquia, editando as permissões (criando uma atribuição de permissões exclusiva) nesse objeto. Por exemplo, é possível editar as permissões para uma biblioteca de documentos que quebre a herança do site.Entretanto, a herança é quebrada somente para o objeto alcançável em específico; o restante das permissões do site não é alterado. Você pode retornar para as permissões de herança do site ou lista a qualquer momento.
Herança de permissões e subsitesOs sites da Web são um objeto alcançável ao qual é possível atribuir permissões. Você pode configurar subsites de forma que eles herdem permissões de um site pai ou criar permissões exclusivas para um site específico. Herdar permissões é a maneira mais fácil de gerenciar umgrupo de sites da Web. No entanto, se um subsite herdar permissões de seu pai, esse conjunto de permissões será compartilhado. Isso significa que proprietários de subsites que herdampermissões do site pai podem editar as permissões do pai. Se você quiser alterar as permissões somente para o subsite, será preciso parar as permissões de herança e depois fazer a alteração. Os subsites podem herdar permissões de um site pai. Você pode parar a herança de permissõespara um subsite, criando permissões exclusivas. Isso irá copiar os grupos, os usuários e os níveisde permissão do site pai para o subsite e depois quebrar a herança. Se você fizer uma alteração de permissões exclusivas para herdadas, usuários, grupos e níveis de permissão passarão a ser herdados, e você perderá quaisquer usuários, grupos ou níveis de permissão definidos exclusivamente no subsite. Os níveis de permissão também podem ser herdados (e, por padrão, são), de forma que o nível de permissão Ler é o mesmo, não importando a qual objeto ela éaplicada. É possível quebrar essa herança, editando o nível de permissão. Por exemplo, você podenão querer o nível de permissão Ler em um subsite em particular para incluir a permissão CriarAlertas.
Selecione os níveis de segurança de sites a serem utilizadosAo criar sua estrutura de permissões, é importante encontrar o equilíbrio entre a facilidade de administração e desempenho e a necessidade de controlar permissões específicas para itens individuais. Se você utilizar amplamente permissões finamente granuladas, você gastará mais tempo gerenciando as permissões, fazendo com que os usuários tenham desempenho mais lentoao tentar acessar os conteúdos do site. Assim como com qualquer servidor ou site da Web, é importante seguir o princípio de privilégio mínimo quando o assunto é autorizar o acesso ao site: Usuários deverão ter apenas os níveis de permissão de que precisam. Comece utilizando os grupos padrão (como Membros, Visitantes e Proprietários) e controle as permissões no nível de site para uma experiência de administração mais fácil. Faça com que a maioria dos usuários seja membrodos grupos Visitantes ou Membros. Limite o número de pessoas no grupo Proprietários somentepara os usuários que você deseja permitir que façam alterações na estrutura do site ou nas configurações e na aparência do site. Por padrão, os usuários no grupo Membros podem contribuir com o site, adicionando ou removendo itens e documentos, mas sem poder alterar a estrutura do site ou as configurações e a aparência do site. É possível criar grupos adicionais do SharePoint e níveis de permissão caso você precise de maior controle sobre as ações que podem ser realizadas pelos usuários.
Se houver listas, pastas, itens ou documentos particulares que contenham dados importantes eprecisam ficar mais seguros, você poderá conceder permissões a um grupo específico ou usuário individual. Fique atento, entretanto, quanto ao fato de que não há uma maneira de visualizartodas as permissões específicas para listas, bibliotecas, pastas, itens ou documentos em um site.Isso significa que é difícil determinar rapidamente quem possui permissões e em quais objetos alcançáveis, como também redefinir qualquer permissão finamente granulada em grande volume.
Planeje a herança de permissõesSerá muito mais fácil gerenciar permissões quando houver uma hierarquia clara de permissões e permissões herdadas. Isso fica muito mais difícil quando algumas listas em um site possuem permissões finamente granuladas aplicadas e quando alguns sites possuem subsites com permissões exclusivas com permissões herdadas. Faça o máximo para organizar sites, subsites, listas e bibliotecas de forma que eles possam compartilhar a maior parte das permissões. Separeos dados mais importantes em suas próprias listas, bibliotecas ou subsites.Por exemplo, é muito mais fácil gerenciar um site que possua herança de permissões conforme ilustrado na seguinte tabela:
Objeto alcançável Descrição Permissões exclusivas ouherdadas
SiteA Página inicial do grupo Exclusivas
SiteA/SubsiteA Grupo Importante Exclusivas
SiteA/SubsiteA/ListaA Dados importantes Exclusivas
SiteA/SubsiteA/BibliotecaA Documentos importantes Exclusivas
SiteA/SubsiteB Informações do projetocompartilhadas com o grupo
Herdadas
SiteA/SubsiteB/ListaB Dados não importantes Herdadas
SiteA/SubsiteB/BibliotecaB Documentos não importantes Herdadas
Fazendo uma comparação, não é tão fácil gerenciar um site que possua herança de permissõesconforme ilustrado na tabela a seguir.Objeto alcançável Descrição Permissões exclusivas ou
herdadas
SiteA Página inicial do grupo Exclusivas
SiteA/SubsiteA Grupo Importante Exclusivas
SiteA/SubsiteA/ListaA Dados não importantes Exclusivas, mas com asmesmas permissões do SiteA
SiteA/SubsiteA/BibliotecaA Documentos não importantes, mas com um ou dois documentos importantes
Herdadas, com permissões exclusivas no nível de documento
SiteA/SubsiteB Informações do projeto compartilhadascom o grupo
Herdadas
Objeto alcançável Descrição Permissões exclusivas ouherdadas
SiteA/SubsiteB/ListaB Documentos não importantes, mas com um ou dois documentos importantes
Herdadas, com permissões exclusivas no nível de item
SiteA/SubsiteB/BibliotecaB Documentos não importantes, mascom uma pasta especial que contémdocumentos importantes
Herdadas, com permissõesexclusivas no nível de pastae documento
PlanilhaNa planilha de segurança de sites e conteúdos em h t tp:/ / go . m i c r os o f t . co m / f wl i n k / ? L i n k I d = 7 3 135 &c l c id = 0x 4 09 , preencha sua hierarquia de site e depois relacione as permissões necessárias em cada nível da hierarquia e qualquer herança de permissões.
Determine níveis e grupos de permissão a seremutilizadosA decisão mais importante quanto à segurança de seu site e dos conteúdos no Microsoft Office SharePoint Server 2007 é decidir como categorizar seus usuários e quais níveis de permissão devem ser atribuídos.Existem diversos grupos padrão do SharePoint que têm como objetivo ajudar a categorizar seususuários com base nos tipos de ação que eles devem executar. No entanto, você pode terrequisitos exclusivos ou outras formas de lidar com os usuários. Do mesmo modo, existem níveis padrão de permissões, os quais nem sempre poderão estar alinhados com as tarefas que devemser executadas pelos seus grupos.Neste artigo, você irá rever os grupos e os níveis de permissão padrão e decidir se eles serão utilizados como estão, se será preciso personalizá-los ou criar diferentes grupos e níveis de permissão.
Reveja os grupos padrão disponíveisCom os grupos do SharePoint, você gerencia grupos de usuários em vez de usuários individuais.Os grupos do SharePoint podem ser compostos por muitos usuários individuais, podem conter um único grupo de segurança do Windows ou ainda podem ser uma combinação dessas duassituações. Os grupos do SharePoint não concedem direitos especiais ao site; eles são apenas uma forma utilizada para conter um conjunto de usuários. Dependendo do tamanho e da complexidadede sua organização ou site da Web, você poderá organizar seus usuários em diversos grupos ou em apenas alguns.Os grupos padrão do SharePoint criados para sites no Office SharePoint Server 2007 estão listados na
tabela a seguir.Nome do grupo Nível de permissão padrão
Leitores Restritos (RestrictedReaders)
Leitura Restrita (Restricted Read) ao site (mais Acesso Limitado alistas específicas)
Leitores de Recursos de Estilo(Style Resource Readers)
Ler a Galeria da Página Mestra (Read to the Master Page Gallery)e Leitura Restrita da Biblioteca de Estilos (Restricted Read to theStyle Library).
Visualizadores Somente Visualizar
Visitantes (Home Visitors) Ler
Membros (Home Members) Contribuir
Implantação Rápida deUsuários (Quick Deploy Users)
Contribuir com a biblioteca de Itens de Implantação Rápida (maisAcesso Limitado ao restante do site)
Aprovadores Aprovar (mais Acesso Limitado)
Designers Projetar
Gerentes da Hierarquia Gerenciar a Hierarquia (mais Acesso Limitado)
Proprietários Controle Total
Nota:O nível de permissão Acesso Limitado é utilizado para conceder aos grupos o acesso a uma lista,biblioteca de documentos, item ou documento específicos, sem conceder a eles o acesso ao siteinteiro. Não remova esse nível de permissão dos grupos listados acima. Se esse nível forremovido, pode ser que os grupos não consigam navegar pelo site a fim de obter itensespecíficos com os quais eles precisam interagir.
Além disso, os seguintes usuários e grupos especiais estão disponíveis para a realização de tarefas de administração de maior nível:• Administradores de coleção de sites Você pode designar um ou mais usuários como sendo
os administradores primários e secundários de uma coleção de sites. Esses usuários são registrados no banco de dados como os contatos para a coleção de sites, possuem controletotal de todos os sites da coleção de sites, podem auditorar todo o conteúdo do site, além de receber quaisquer alertas administrativos (como para verificar se o site ainda está em uso). Geralmente, os administradores de coleção de sites são designados quando o site é criado. No entanto, você pode alterá-los conforme necessário, utilizando o site Administração central ou as páginas Configurações do Site.
• Administradores de farm Controla quais usuários podem gerenciar as configurações de servidor e de farm de servidor. O grupo Administradores de Farm substitui a necessidade de adicionar usuários ao grupo Administradores para o servidor ou ao grupo Administradores do SharePoint que era utilizado no Windows SharePoint Services versão 2.0. Por padrão, os administradores de farm não possuem acesso ao conteúdo do site; é preciso que eles tomem a propriedade do site para visualizar qualquer conteúdo. Para fazer isso, eles se adicionam como administradores da coleção de sites. Essa ação será gravada nos logs de auditoria. O grupo Administradores de Farm é utilizado somente no site Administração Central e não estádisponível para nenhum outro site.
• Administradores Os membros do grupo Administradores no servidor local podem executar todas as ações de administrador de farm e muito mais, incluindo:
• Instalar novos produtos ou aplicativos.• Implantar Web Parts e novos recursos para o cache de assembly global.• Criar novos aplicativos Web e novos sites da Web do IIS.• Iniciar serviços.
Como o grupo Administradores de Farm, por padrão, os membros do grupo Administradores no servidor local não possuem acesso ao conteúdo do site.
Após identificar os grupos de que você precisa, determine os níveis de permissão a serematribuídos a cada grupo em seu site.
Ação da Planilha
Utilize a Planilha de grupos e níveis de permissão personalizados emh t tp:/ / go . m i c r os o f t . co m / f wl i n k / ?LinkId=73134&clcid=0x409 para registrar os grupos que terão deser criados.
Reveja os níveis de permissão disponíveisA capacidade de visualizar, alterar ou gerenciar um site em particular é determinada pelo nível de permissão atribuído a um usuário ou grupo. Esse nível de permissão controla todas as permissões para o site e quaisquer subsites, listas, bibliotecas de documentos, pastas, itens ou documentos
que herdem as permissões do site. Sem os níveis de permissão apropriados, os usuários podemnão conseguir realizar suas tarefas, ou ainda, eles podem conseguir realizar tarefas, as quais você não deseja que eles realizem.Por padrão, os seguintes níveis de permissão estão disponíveis:• Acesso Limitado Inclui permissões que autorizam os usuários a visualizar listas específicas,
bibliotecas de documento, itens de lista, pastas ou documentos.• Ler Inclui permissões que autorizam os usuários a visualizar itens em páginas dos sites.• Contribuir Inclui permissões que autorizam os usuários a adicionar ou alterar itens em
páginas do site ou em listas e bibliotecas de documentos.• Projetar Inclui permissões que autorizam os usuários a alterar o layout das páginas do site,
utilizando o navegador ou o Microsoft Office SharePoint Designer 2007.• Aprovar Inclui permissões para editar e aprovar páginas, itens de lista e documentos.• Gerenciar Hierarquia Inclui permissões para sites e páginas de edição, itens de lista e
documentos.• Leitura Restrita Inclui permissões para visualizar páginas e documentos, mas não para
visualizar versões de histórico ou informações de direitos de usuário.• Controle Total Inclui todas as permissões.
Determine se você precisa de níveis ou grupos adicionais de permissãoOs grupos padrão e os níveis de permissão são projetados para fornecer um framework geral paraas permissões, abrangendo um grande conjunto de tipos e funções de organização nessas organizações. Entretanto, eles podem não mapear exatamente como os usuários estãoorganizados ou a variedade de tarefas realizadas pelos usuários nos sites. Se os grupos padrão e os níveis de permissão não se adequarem a sua organização, você poderá criar grupospersonalizados, alterar as permissões incluídas em níveis específicos de permissão ou mesmo criar níveis personalizados de permissão.
Você precisa de grupos personalizados?A decisão de criar grupos personalizados é muito direta e causa pouco impacto na segurança de seu site. Essencialmente, você deverá criar grupos personalizados em vez de utilizar grupos padrão caso uma das seguintes situações seja aplicada:• Você possui mais (ou menos) funções de usuário em sua organização do que aparenta nos
grupos padrão. Por exemplo, se, além de Aprovadores, Designers e Gerentes de Hierarquia, você tiver um conjunto de pessoas que deve realizar tarefas relacionadas à publicação de conteúdos no site, você pode precisar criar um grupo chamado Publicadores.
• Existem nomes conhecidos para funções exclusivas em sua organização que executam tarefas muito diferentes nos sites. Por exemplo, se você estiver criando um site público para vender os produtos de sua empresa, você pode desejar criar um grupo chamado Clientes que substitua o grupo Visitantes ou o grupo Visualizadores.
• Você deseja preservar um relacionamento um-para-um entre os grupos de segurança doWindows e os grupos do SharePoint. (Por exemplo, sua empresa possui um grupo de segurança para os Gerentes de Site da Web, e você deseja utilizar esse nome como o nome de grupo para uma fácil identificação durante o gerenciamento do site).
• Você prefere outros nomes de grupos.
Você precisa de níveis de permissão personalizados?A decisão de criar níveis de permissão personalizados é menos direta do que a decisão de personalizar grupos do SharePoint. Se você personalizar as permissões atribuídas a um nível de permissão em particular, será preciso manter o controle dessa alteração, verificar se ela funciona para todos os grupos e sites afetados pela alteração, além de garantir que a alteração não afete negativamente sua segurança ou a capacidade e o desempenho de seu servidor.Por exemplo, quanto à segurança, se você personalizar o nível de permissão Contribuir para incluira permissão Criar Subsites, a qual tipicamente faz parte do nível de permissão Controle Total, os membros do grupo Contribuintes poderão criar e possuir subsites, podendo convidar usuários maliciosos para acessar seus subsites ou mesmo publicar conteúdos não-autorizados. Quanto à capacidade, se você personalizar o nível de permissão Ler para incluir a permissão Criar Alertas, a qual tipicamente faz parte do nível de permissão Contribuir, todos os membros do grupo Visitantes poderão criar alertas, o que poderá sobrecarregar os seus servidores.Você deverá personalizar os níveis de permissão padrão caso uma das seguintes situações sejaaplicada:• Um nível de permissão padrão inclui todas as permissões, exceto uma de que seus usuários
precisam para realizar suas tarefas, e você deseja adicionar essa permissão.• Um nível de permissão padrão inclui uma permissão da qual seus usuários não precisam.
Nota:Você não deve personalizar os níveis de permissão padrão caso sua organização possuasegurança ou outras questões relacionadas a uma permissão em particular e deseje tornaressa permissão indisponível para todos os usuários que possuem esse nível de permissão ouníveis que incluem essa permissão. Neste caso, você deverá desabilitar essa permissão paratodos os aplicativos Web em seu farm de servidores em vez de alterar todos os níveis depermissão. Para gerenciar permissões para um aplicativo Web, no site Administração Central,na página Gerenciamento de Aplicativos, clique em Permissões de usuário paraaplicativos Web na seção Segurança de Aplicativos.
Se você precisar fazer diversas alterações em um nível de permissão em particular, será melhor criar um nível de permissão personalizado que inclua todas as permissões necessárias.Você pode querer criar níveis adicionais de permissão caso uma das seguintes situações sejaaplicada:• Você deseja excluir diversas permissões de um nível de permissão em particular.• Você deseja definir um conjunto exclusivo de permissões para um novo conjunto de
permissões.Para criar um nível de permissão, você poderá copiar um nível já existente e depois fazer asalterações. Além disso, é possível criar um nível de permissão e depois selecionar as permissões que deseja incluir.
Nota:Algumas permissões dependem de outras. Se você excluir uma permissão da qual uma outradepende, a outra permissão também será excluída.
Ação da Planilha
Utilize a Planilha de grupos e níveis de permissão personalizados em
Ação da Planilha
h t tp:/ / go . m i c r os o f t . co m / f wl i n k / ?LinkId=73134&clcid=0x409 para registrar os níveis de permissãoque você deseja personalizar ou criar.
PlanilhaUtilize a seguinte planilha para determinar os níveis de permissão e os grupos a serem utilizados:• Planilha de grupos e níveis de permissão personalizados em
h tt p :/ / g o . m i c r o so f t . c o m/ f w l i n k / ?L i n k I d= 7 31 3 4 &c l c id = 0 x 40 9
Defina níveis personalizados de permissãoDepois de determinar que você precisa de níveis personalizados de permissão e decidir quais permissões serão incluídas no novo nível de permissão, será possível criar um nível personalizadode permissão. Os níveis de permissão podem ser criados para um site ou uma coleção de sites. Você pode criar um nível personalizado de permissão utilizando qualquer um dos três procedimentos descritos neste artigo.
Personalize um nível de permissão existenteSe o nível personalizado de permissão que você deseja for muito parecido com um nível depermissão padrão existente, e você não precisar utilizar o nível de permissão padrão, será possível personalizar o nível de permissão padrão para incluir ou excluir as permissões de que você precisaou não.1. Na página Configurações do Site, em Usuários e Permissões, clique em Permissões
avançadas.2. Feito isso, na barra de ferramentas, clique em Configurações e depois em Níveis de
Permissão.3. Na lista de níveis de permissão, clique no nível que você deseja personalizar.4. Na lista de permissões, marque ou desmarque as caixas de seleção para adicionar ou remover
permissões do nível de permissão.5. Clique em Enviar.
Copie um nível de permissão existenteSe o nível personalizado de permissão que você deseja for parecido com um nível de permissão padrão existente, e você precisar utilizar o nível de permissão padrão e o seu nível personalizadode permissão, será possível copiar o nível de permissão padrão e depois modificar a cópia e salvá-la como um novo nível de permissão.1. Na página Configurações do Site, em Usuários e Permissões, clique em Permissões
avançadas.2. Feito isso, na barra de ferramentas, clique em Configurações e depois em Níveis de
Permissão.3. Na lista de níveis de permissão, clique no nível de permissão que deseja copiar.4. Na parte inferior da página, clique em Copiar Nível de Permissão.5. Na página Copiar Nível de Permissão, no campo Nome, digite um nome para o novo nível de
permissão.6. Em Descrição, digite uma descrição para o novo nível de permissão.7. Na lista de permissões, marque ou desmarque as caixas de seleção para adicionar ou remover
permissões do nível de permissão.8. Clique em Criar.
Crie um nível de permissãoSe não houver nenhum nível de permissão parecido com o que você precisa, será possível criar um e incluir somente as permissões de que você precisa.1. Na página Configurações do Site, em Usuários e Permissões, clique em Permissões
avançadas.2. Feito isso, na barra de ferramentas, clique em Configurações e depois em Níveis de
Permissão.
3. Na barra de ferramentas, clique em Adicionar um Nível de Permissão.4. Na página Adicionar um Nível de Permissão, no campo Nome, digite um nome para o novo
nível de permissão.5. Em Descrição, digite uma descrição para o novo nível de permissão.6. Na lista de permissões, marque as caixas de seleção para adicionar as permissões ao nível de
permissão.7. Clique em Criar.
Escolha quais grupos de segurança utilizarPara facilitar o gerenciamento de usuários, recomendamos que você atribua permissões de site a grupos em vez de a usuários individuais. No serviço de diretório Microsoft Active Directory, dois tipos de grupos são comumente utilizados para a organização de usuários. São eles:• Grupo de distribuição Um grupo que é utilizado somente para a distribuição de e-mails e
que não possui segurança habilitada. Os grupos de distribuição não podem ser listados nas DACLs (discretionary access control lists) utilizadas para definir permissões para recursos e objetos.
• Grupo de segurança Um grupo que pode ser listado nas DACLs utilizadas para definir as permissões para recursos e objetos. Um grupo de segurança também pode ser utilizado como uma entidade de e-mail.
Você pode utilizar grupos de segurança a fim de controlar permissões para seu site, adicionandodiretamente o grupo de segurança e concedendo o grupo inteiro de permissões. Não é possível utilizar grupos de distribuição desta forma; entretanto, você poderá expandir uma lista de distribuição e adicionar usuários individuais a um grupo do SharePoint. Se você utilizar este método, será preciso gerenciar o processo de manter o grupo do SharePoint sincronizado com ogrupo de distribuição. Se você utilizar grupos de segurança, não será preciso gerenciar os usuários individualmente no aplicativo SharePoint. Como você incluiu o próprio grupo de segurança e não membros individuais do grupo, o Active Directory gerenciará os usuários para você.
Determine quais grupos e contas de segurança do Windows utilizar para conceder o acesso aos sites Cada organização configura seus grupos de segurança do Windows de forma diferente. Parafacilitar o gerenciamento de permissões, os grupos de segurança deverão ser:• Grandes e estáveis o suficiente de forma que não seja necessário adicionar grupos
constantemente aos sites do SharePoint.• Pequeno o suficiente de forma que seja possível atribuir as devidas permissões.Por exemplo, um grupo de segurança chamado "Todos os usuários do prédio 2", provavelmente, não é pequeno o suficiente para atribuir permissões, a menos que todos os usuários do prédio 2 possuam a mesma função, como funcionários do Contas a Receber. Isso raramente acontece e, por isso, você deverá manter o foco para um conjunto menor de usuários, como o "Contas a Receber" ou algum outro menor, estritamente relacionado.
Decida utilizar todos os usuários autenticadosSe você desejar que todos os usuários de seu domínio possam visualizar conteúdos em seu site, considere a concessão de acesso a todos os usuários autenticados (o grupo de segurança do Windows Usuários de Domínio - Domain Users). Este grupo especial permite que todos os membros de seu domínio acessem um site da Web (no nível de permissão escolhido), sem que seja preciso habilitar o acesso anônimo.
Decida permitir o acesso a usuários anônimosVocê pode habilitar o acesso anônimo para permitir que os usuários visualizem páginas anonimamente. A maioria dos sites da Web permite a visualização anônima do site, mas pode solicitar a autenticação quando alguém desejar editar o site ou adquirir um item em um site de compras, por exemplo. O acesso anônimo deverá ser concedido no nível de aplicativo da Web no
momento em que o aplicativo Web for criado. Se o acesso anônimo é permitido para o aplicativoda Web, os administradores do site poderão decidir se irão:• Conceder acesso anônimo a um site.• Conceder acesso anônimo somente para listas e bibliotecas.• Bloquear o acesso anônimo para todo o site.O acesso anônimo confia na conta de usuário anônima do servidor Web. Essa conta é criada e mantida pelo IIS (Microsoft Internet Information Services) e não pelo seu site SharePoint. Por padrão, no IIS, a conta de usuário anônima é IUSR_ NomedoComputador. Ao habilitar o acesso anônimo, você estará, de fato, concedendo acesso de conta para o site SharePoint. Permitir o acesso a sites, listas ou bibliotecas concede a permissão Visualizar Itens para a conta de usuário anônima. Entretanto, mesmo com a permissão Visualizar Itens, existem restrições quanto ao queos usuários anônimos podem fazer. Os usuários anônimos não podem:• Utilizar a RPC (remote procedure call) do Microsoft Office SharePoint Designer. Em outras
palavras, eles não podem abrir sites para edição no Office SharePoint Designer. Eles também não utilizam o DAV (o protocolo Pastas da Web no Windows), ou seja, eles não podem visualizar o site em Meus Locais de Rede.
• Fazer o upload de documentos ou editá-los em bibliotecas de documentos, inclusive bibliotecaswiki.
Importante:Para criar sites, listas ou bibliotecas mais seguros, não habilite o acesso anônimo. Ao habilitá-lo, os usuários terão permissão para contribuir em listas, discussões e pesquisas, o quepoderá esgotar o espaço em disco e outros recursos. Além disso, ele permite que usuáriosanônimos tenham acesso a informações do site, incluindo endereços de e-mail dos usuários equalquer outro conteúdo publicado em listas, bibliotecas e discussões.
Também é possível definir diretivas de permissões para o usuário anônimo em diferentes zonas (Internet, Extranet, Intranet, outros), se você tiver o mesmo aplicativo Web fornecendo conteúdos nessas diferentes zonas. As diretivas estão descritas na lista a seguir:• Nenhuma Nenhuma diretiva. Esta é a opção padrão. Nenhuma restrição ou adição de
permissão adicional será aplicada aos usuários anônimos do site.• Ler Os usuários anônimos podem ler conteúdos, a menos que o administrador do site
desabilite o acesso anônimo.• Negar Escrita Os usuários anônimos não podem escrever conteúdos, mesmo se o
administrador do site tentar conceder essa permissão ao usuário anônimo.• Negar Tudo Os usuários anônimos não têm nenhum acesso, mesmo se os administradores
dos sites tentarem conceder o acesso a seus sites à conta de usuário anônima.
PlanilhaNa planilha Segurança de conteúdos e de sites ( h t tp: / / go . m i c r o s o f t . co m / f w l i n k / ?LinkId=73135&clcid=0x409), liste os grupos de segurança que você irá utilizar e os níveis de permissão de que eles precisarão em cada nível de sua hierarquiade sites.
Escolha administradores e proprietários para ahierarquia de administraçãoA administração do Microsoft Office SharePoint Server 2007 ocorre em muitos níveis, como no farm de servidores, em serviços compartilhados e em sites individuais. Muitas pessoas podem estar envolvidas no gerenciamento do Office SharePoint Server 2007.
Níveis de administraçãoA maioria dos níveis do servidor e da hierarquia de sites possui um grupo de administração correspondente. Embora o nível de aplicativo da Web não possua um grupo exclusivo de administradores, os administradores de farms e de serviços possuem controle sobre os aplicativos Web em seus escopos. Os membros do grupo Administradores de Farm e do grupoAdministradores no servidor local podem definir uma diretiva para conceder permissões de usuárioindividuais no nível de aplicativo da Web. Para mais informações sobre as diretivas, veja "Diretivas para aplicativos Web" no artigo Componentes da Arquitetura Lógica TBD em h t tp:/ / t e c h n e t 2 . m i c r o so f t . c o m/ O f f i ce / e n - u s / li b r a r y/ a a e d3 a 01- f 4d c - 4 35 3 - a b d a- 0b ec ed 208 0b6 1033 .ms px .
Os grupos de usuários que possuem permissões administrativas em níveis diferentes são descritos na lista a seguir:• Nível de servidor ou de farm de servidor
• Grupo Administradores de farm Os membros do grupo Administradores de Farm possuem permissões para todos os servidores no farm de servidores. Os membros podem executar todas as tarefas administrativas no site Administração Central para o servidor ou farm de servidores. Os membros desse grupo também podem realizar operações em linha de comando. Esse grupo não possui acesso a sites individuais ou aseus conteúdos. Entretanto, os membros podem tomar a propriedade de uma coleção de sites específica, se necessário (por exemplo, se o administrador de um site deixar a empresa e um novo administrador precisar ser adicionado).
• Grupo Administradores Os membros do grupo Administradores podem executartodas as ações de administrador de farm e muitas outras, incluindo a instalação de novos produtos ou aplicativos, a implantação de Web Parts e novos recursos no cache de assembly global, a criação de novos aplicativos Web e novos sites da Web do IIS, alémda inicialização de serviços. Assim como os administradores de farm, por padrão, osmembros desse grupo no servidor local não possuem acesso aos conteúdos do site.
Nota:
Os administradores de farm podem tomar a propriedade de coleções de sitesespecíficas, se necessário. Para a tomada de propriedade, eles se adicionam como oadministrador da coleção de sites, utilizando a página Administradores da Coleção deSites, no site Administração Central.
• Nível de serviços compartilhados
• Administradores de SSP Podem controlar quais serviços estão inclusos em um SSP(Shared Services Provider - Provedor de Serviços Compartilhados) e fazer as configurações para esses serviços.
• Administradores de serviço Podem definir as configurações para um serviçoespecífico de um SSP. Por exemplo, o administrador do serviço Busca, em Serviço1, pode definir as configurações de busca para Serviço 1.
• Nível de site• Administradores de coleção de sites Possuem o nível de permissão Controle Total
em todos os sites da Web de uma coleção de sites. Isso significa que esses administradores possuem acesso ao conteúdo de todos os sites dessa coleção de sites, mesmo se não possuírem permissões explícitas nesse site.
• Proprietários de site Por padrão, os membros do grupo Proprietários de um site possuem o nível de permissão Controle Total nesse site. Eles podem executar tarefasadministrativas no site e em qualquer lista ou biblioteca desse site.
Ação da Planilha
Utilize a planilha Administradores e proprietários emh t tp:/ / go . m i c r os o f t . co m / f wl i n k / ?LinkId=73126&clcid=0x409 para registrar quais administradoresserão designados para cada nível. Consulte o diagrama da hierarquia de seu site para ter a certezade que você designou proprietários para cada coleção de sites, site da Web de nível superior esubsite que você está planejando.
PlanilhaUtilize a seguinte planilha para selecionar os administradores e os proprietários para a hierarquia de administração:• Planilha Administradores e proprietários em
h tt p :/ / g o . m i c r o so f t . c o m/ f w l i n k / ?L i n k I d= 7 31 2 6 &c l c id = 0 x 40 9
