Наследование разрешений в SharePoint

Хотя SharePoint позволяет значительно настраивать разрешения на сайте, включая изменение наследования, мы настоятельно рекомендуем не нарушать наследование. Используйте встроенные группы SharePoint для сайтов связи и управляйте разрешениями сайта группы через связанную Microsoft 365 группу. Используйте ссылки общего доступа для обмена отдельными файлами и папками с людьми за пределами сайта. Это значительно упрощает администрирование. Сведения об управлении разрешениями в современном SharePoint см. в разделе Sharing and permissions in the SharePoint опытом.

Что такое наследование разрешений?

Наследование разрешений означает, что параметры разрешений элемента в коллекции сайтов передаются детям этого элемента. Таким образом, сайты наследуют разрешения с верхнего уровня ("корневого") сайта коллекции сайтов, библиотеки наследуют от сайта, который содержит библиотеку, и так далее. Наследование разрешений позволяет один раз выполнять назначение разрешений и применять это разрешение для всех сайтов, списков, библиотек, папок и элементов, наследующих разрешения. Такое поведение может снизить сложность и сократить время, которое администраторы и владельцы сайтов тратят на управление безопасностью.

По умолчанию SharePoint наследуют разрешения с родительского сайта. Это означает, что при назначении пользователя группе Участников разрешения пользователя автоматически каскадируются через все сайты, списки, библиотеки, папки и элементы, наследующих уровень разрешений.

Что такое родитель в SharePoint разрешениях?

Термин "родитель", используемый в SharePoint разрешениях, является просто способом подчеркнуть наследование. Родитель передает параметры разрешений всем своим детям. По умолчанию корневой сайт коллекции сайтов является первым родителем для всех сайтов и других объектов, которые находятся ниже него в иерархии сайтов.

Корневой сайт коллекции сайтов не является единственным родителем. Каждый защищаемый объект (сайты, библиотеки, списки и так далее) в коллекции сайтов может быть родительским. То есть корневой сайт является родителем его подсейтев, каждый сайт является родителем своих библиотек и списков, и каждый список является родителем элементов списка в нем. В этой терминологии объект с родителем известен как ребенок. Таким образом, подмышка является ребенком родительского сайта, элемент списка — ребенком родительского списка и так далее.

Рекомендуется создать коллекцию сайтов для каждого подразделения работы, а не использовать подвиды, создав иерархическую структуру. Узнайте об использовании сайтов-концентраторов для организации интрасети

По умолчанию разрешения наследуются от родительского к ребенку. То есть если вы не измените структуру разрешений, элемент списка наследует разрешения (через родительский список) с корневого сайта в коллекции. Однако, даже если вы разбиваем наследование для списка, этот список по-прежнему является родительским для собственных элементов списка. Элементы списка для списка наследуют разрешения, которые есть в списке, и если вы измените разрешения для списка, элементы списка наследуют изменения.

При первом разрыве этой цепочки наследования от родителя к ребенку ребенок начинается с копии родительских разрешений. Затем вы редактируете эти разрешения, чтобы сделать их нужными. Можно добавлять разрешения, удалять разрешения, создавать специальные группы и так далее. Ни одно из изменений не влияет на первоначальный родитель. И если вы решите, что нарушение наследства было неправильным решением, вы можете возобновить наследование разрешений в любое время.

Когда пользователь делится или прекращает делиться элементом, который содержит другие элементы с нарушенным наследованием, разовая отжимаемая часть этого добавления или удаления разрешений отправляется всем детским элементам, даже с нарушенным наследованием. Это относится как к прямым разрешениям, так и к ссылкам общего доступа. При управлении разрешениями для элемента с нарушенным наследованием пользователи могут удалять любые прямые разрешения на него. Если элемент с нарушенным наследованием доступен по ссылке общего доступа, созданной в одной из родительских папок, и пользователь не хочет, чтобы эта ссылка предоставила доступ к элементу, пользователи могут удалить ссылку полностью или переместить файл за пределы папки, для которой у ссылки общего доступа есть разрешения.

Дополнительные информацию о наследовыве разрешений

Наследование разрешений позволяет администратору назначать уровни разрешений одновременно, а разрешения применяются во всей коллекции сайтов. Разрешения передаются от родительского к ребенку по всей SharePoint иерархии, от верхнего уровня сайта до нижнего. Наследование разрешений может сэкономить время для администраторов сайтов, особенно для больших или сложных коллекций сайтов.

Однако некоторые сценарии имеют разные требования. В одном случае может потребоваться ограничить доступ к сайту, так как он содержит конфиденциальные сведения, которые необходимо защитить. В другом сценарии может потребоваться расширить доступ и предложить другим обмениваться информацией. Если вы хотите, вы можете разорвать поведение наследования (прекратить наследование разрешений) на любом уровне в иерархии.

Рассмотрим примеры этих разных сценариев.

Предположим, что у вас есть компания под названием Northwind Traders. Вы создаете сайт связи "Преимущества" с URL-адресом northwindtraders.sharepoint.com/sites/benefits. В корневой коллекции сайтов вы SharePoint группы, назначаете уровни разрешений и добавляете пользователей в группы.

Предположим, что вы создадите подвиды для сайта "Преимущества", такие как "Здравоохранение" (northwindtraders.sharepoint.com/sites/benefits/healthcare) и "Выход на пенсию" (northwindtraders.sharepoint.com/sites/benefits/retirement). Эти подвиды могут содержать даже больше подвидов. Например, подмышка "Здравоохранение" может иметь подмышку "Dental" (northwindtraders.sharepoint.com/sites/benefits/healthcare/dental).

По умолчанию разрешения передаются непосредственно подвидам. То есть группы и уровни разрешений, которые вы назначены в корневой коллекции сайтов, автоматически передаются в подзайм для повторного использования.

Предположим, что ваша компания предлагает специальные преимущества только для руководителей. В этом случае администраторы решают отделить подсеть "Executive" и разорвать наследование от родительского сайта "Преимущества".

Владельцы сайтов для сайта "Executive" меняют разрешения на сайт, удаляя некоторые группы и создавая другие. Подвиды сайта "Executive", "Бонусы" и "Транспорт компании" теперь наследуют разрешения только из подподстанции "Executive". Только группы и пользователи для "Executive" могут получить доступ к спискам и библиотекам, которые содержат конфиденциальную информацию.

Для удобства обслуживания рекомендуется использовать аналогичный метод для ограничения доступа. То есть устройте свой сайт так, чтобы конфиденциальный материал был в том же месте. Если вы организуете сайт таким образом, вам нужно разорвать наследование только один раз, для этого конкретного сайта или библиотеки. Это гораздо меньше накладных расходов. Это требует гораздо меньше работы, чем создание отдельных структур разрешений во многих местах для отдельных подвидов и библиотек.

Предположим, что сотрудник Northwind Traders нанял консультантов и хочет сотрудничать с ними по документам в SharePoint. Сотрудник не хочет предоставить консультантам доступ ко всему другому на SharePoint сайте.

Когда сотрудник делит папку с консультантами, SharePoint автоматически обрабатывает все сведения о разрешениях и доступе, нарушая наследование в самой папке. Консультанты могут получить доступ ко всем документам в папке, но не могут просматривать или получать доступ к другим сведениям на сайте. Даже если наследование технически нарушено, если позже в родительское собрание сайтов будут добавлены люди, им автоматически будет предоставлено разрешение общей папке.