Sharepoint2013权限管理之老王乱弹一

     最近和一些搞SharePoint的朋友在一起交流了一些关于SharePoint2013权限控制的东西，发现很多朋友对于SharePoint的权限控制，认识的不是很清晰，比如说如何通过SharePoint实现，用户可以查看但是不能下载，很多人会说，需要结合ADRMS才能做吧？但实际上，通过SharePoint默认的权限控制，定制一个权限级别，就可以实现这种功能，所以菜鸟我准备写下关于SharePoint权限控制的一些基本知识，以及设置方法，希望可以抛砖引玉，为各位提供思路。

     首先我们看一下SharePoint的权限设置都有哪些，通常情况下，我会把SharePoint权限控制，分为两个大的维度。

    第一个维度是SharePoint管理中心权限

    第二个维度是SharePoint网站集权限

    在SharePoint管理中心权限中，大体包括以下权限

     Form Administrators：此权限组的用户对于SharePoint管理中心网站，具备完全控制权限，相当于SharePoint管理中心的最大管理员，所有SharePoint服务应用程序，都会继承Form Administrators的权限设置，默认情况下，在我们安装SharePoint运行产品配置向导的时候，会有一个地方让我们设置场管理员，那个场管理员默认就属于Form administrators。

   此权限组对于SharePoint管理中心，包括管理中心的设置，备份，监控，迁移，Web应用程序的创建等等执行管理操作，都具备了完全控制的权限，如果需要在SharePoint管理中心注册一个解决方案包，或者和其它微软产品做集成，都需要Form administrators组的权限，但是Form administrators组的账户会对所有网站集具备权限吗？

    不会，如果网站集管理员，没有为Form administrators配置网站集权限，那么即使是Form administrators 也不能访问网站集。

   在正常情况下，Form administraors可以通过第一次运行产品配置向导设置，或者在SharePoint管理中心 --- 安全性--- 管理服务器场管理员组 中，将人员添加到Form Administrators。

   Delegated Administrators：此权限组的用户，对于SharePoint管理中心网站，具备了参与讨论的权限，即被委派的管理中心管理员，具备了有限的管理中心权限。该权限组的成员，可以在SharePoint管理中心 --- 安全性 --- 网站权限 中进行添加。

   以上两个权限为SharePoint管理中心的管理账户，SharePoint管理中心中，也可以针对于管理账户执行自动密码修改动作，密码过期通知动作，例如，您对SharePoint的服务应用程序设置了单独的服务账户，一旦服务账户密码过期，或者密码修改了，服务应用程序可能就会停止使用，这个时候，您就可以起提前创建一个密码更改计划，密码过期由SharePoint自动更改密码。

  这里有一点需要说明，如果SharePoint管理员希望委派另外一个管理员来管理SharePoint场，除了要赋予场管理，额外还要在指定的Web应用程序中赋予完全控制权限，以及网站集管理员。否则管理员只可以管理SharePoint管理中心而不可以管理网站集。

  以上简单的介绍了一下SharePoint管理中心相关权限，那么网站集权限呢？

  在SharePoint的网站体系架构中，最上层是SharePoint 应用程序，下一层是网站集，网站集是一个类似于根网站的级别，可以在网站集下面再建立多个网站，在每一个网站中，又可以建立多个库，列表，webpart。

  所以，在SharePoint中，如果管理员针对于网站集进行了授权，那么这个权限会继承到网站，网站的权限又会继承到下面的，库，列表，webpart。

  那么，是不是说，每一个库，列表，webpart，都需要有单独的权限配置呢，因为在库中的权限类肯定和网站类不一样。其实在SharePoint的网站权限设置过程中，网站权限的内容，就直接包括了，下面的库权限，例如网站权限设置为仅读取，那么对应到库权限，可能就是查看项目，查看应用程序。

  在SharePoint中，除了库权限，列表权限，还有一个比较特殊的权限是webpart权限，自从SharePoint 2007 开始，就有了一种特殊的权限设置方法，成为 访问群体，举个例子，我可以针对于一个webpart或者一个文档库，设置一个访问群体，例如，我的这个webpart，只允许IT部门查看，我就可以在webpart里面，添加IT部门的群体，添加好了之后，只有IT部门的人员登录后，才可以看到这个webpart    所谓目标访问群体，我的理解，就是根据规则，定义出来一个特征，凡是符合这个特征的，就自动进入这个群体，SharePoint会根据timejob定期去搜索符合条件的目标，然后加入到群体中。有了这个群体后，SharePoint管理人员就可以在网站集中，针对于这个目标访问群体，来进行特定的授权，而不仅仅是添加安全组这样简单，后续的文章中，我也会为大家实际讲解目标访问群体的用法。

  最后提一下个人权限，在SharePoint2010开始，SharePoint支持每个用户可以创建自己的自助网站，个人网站，个人webpart，所谓个人webpart，也就是说，添加了webpart之后，只有自己能看见，别人是看不到的。也就是相当于赋予了用户diy自己网站的视觉权利。而且用户在个人网站视图，个人webpart编辑的内容，不会影响到别人，以及网站的使用。

  关于SharePoint权限的详情请参考https://technet.microsoft.com/zh-cn/library/cc721640.aspx