上一篇简单的介绍了一下SharePoint场和网站的一些基本权限概念,但这些是远远不够的,以后有机会我会继续为大家进行详细讲解,在今天这一篇文章中,我们主要谈一谈,如何实现,用户只能在SharePoint网站只能浏览文档,但是不能下载。
在真正实施之前,先来带领大家看一下一个网站中设置权限的流程,帮助大家理清一下思路,默认情况下,我们打开SharePoint网站设置
在SharePoint网站设置中,可以看到用户和权限的主要设置就是以下四项,其中我们主要关注的是人员和组,以及网站权限这两个设置
打开人员和组,管理人员可以看见一个非常简单的视图,有现成的SharePoint安全组,如果需要进行网站授权,只需要在新建--添加用户就可以了。
例如,我们希望添加一个SharePoint网站的访问者,就在新建的地方,选择添加用户即可,这个部分,也可以理解为是设置最终权限的地方,在这个地方,管理员可以直接添加用户,也可以添加AD内的安全组到网站权限,再多说一句,SharePoint默认网站也会有自己的安全权限,也可以使用AD的账号进行授权,这里来讲,其实真正的最终授予出去的权限,还是一个AD账户,或者一个SharePoint本地账户,而SharePoint安全权限与AD权限的一个区别就在于,如果你在SharePoint中创建了安全组,那么这个SharePoint安全组不能嵌套使用,如果你在添加网站人员与组中,赋予一个AD安全组,进入SharePoint安全组,那么这个AD安全组实际上是支持嵌套的。
点击人员与组下面的其它,可以看见所有的人员和组,这些组,有的是SharePoint创建的安全组,有的是特殊生成的组,例如,每个人,authenticate users,快速部署用户。
看过人员和组之后,我们再进一步,看看网站权限,可以看到,这里比人员和组,多了很多设置,例如授予权限,创建组,匿名访问,权限级别,检察权限,网站集管理员,在这里可以看到,目前已有的SharePoint安全组,以及SharePoint安全组所属的权限级别,一会我们要详细来看这个权限级别。
那么,所谓授予权限,就是在这里添加进来AD安全组或者AD账户,可以看到和之前在人员和组设置中的不同,在人员和组中,管理员只能添加人员到组,而在网站权限这里,管理员可以添加AD安全组或者AD账户至 指定的权限级别 或 至指定的SharePoint安全组,感觉上是不是比人员和组里面的设置更加全面了一些。
授予了权限之后,我们再来看一下创建组,输入一个组名称,和exchange一样,SharePoint也支持组审批,但是要求SharePoint服务器场要配置传出邮件后,才支持这项操作。
重点在下面,当我们在网站权限中,创建组时,会让我们选择该SharePoint安全组,所需要获得的权限级别,即用户组最终可以执行的网站权限,例如我们选择仅查看,那么,这个安全组,今后再添加进来的人员,就都会是仅查看的权限。
和我们想象的一样,在网站权限中创建了安全组,回到人员和组中就可以看到这个安全组,这下子帮大家拨开了一个谜团,很多人都说SharePoint会有自己的权限,可以自己创建账户,创建组,但是其实不是,SharePoint只是可以做到创建SharePoint自身的安全组,在AD账户或者本地账户之上又套了一层。
添加好了组之后,我们再回到网站设置,看右侧,每一个SharePoint安全组都对应着一个权限级别,那么你有没有想过为什么会是这个权限级别,这个权限级别对应到网站到底是可以执行那些权限,权限级别是否是可以自己设置的,答案肯定是可以的。
选择上方的 权限级别
可以看见SharePoint默认自带的权限级别,这些权限级别通常被直接套用到AD安全组或者AD用户上,也可以套用在SharePoint安全组上。
我们点击一个仅查看的权限级别,可以看到仅查看这个权限级别下,可以执行的网站权限,列表权限,以及个人权限,所谓权限级别,就是定义用户最终到底可以在网站下执行那些操作的具体操作项目
说到这里,大家大概看懂了吧?其实在一个SharePoint网站,授予权限幕后发生的过程是这样子的
自后向前来说:首先定义权限级别,定义用户最终可以在网站、列表、个人、执行那些操作,定义好了权限级别之后,在网站权限中创建组,例如IT部门,IT部门要应用哪一个权限级别。创建好组了之后,再去人员和组,将AD安全组或AD用户添加到SharePoint安全组,也可以不通过人员和组,直接在网站权限的地方,授予权限,将AD安全组或AD用户套用到权限级别或者SharePoint安全组。
自前向后来说:管理人员在人员和组中,添加AD安全组或者AD用户,实际上添加的AD用户套用的是SharePoint安全组的权限,而这个安全组到底可以执行那些权限,是在网站权限中通过创建组来进行定义选择,每一个权限具体可以执行那些操作,是通过在权限级别中创建出来。
通过上述的讲解,希望大家可以对SharePoint网站的授权有一个基本的概念,下面我们就来讲解,如何通过网站权限实现用户可以读取网站,可以在浏览器中浏览文档,但是不能下载。
如果大家仔细阅读了https://technet.microsoft.com/zh-cn/library/cc721640.aspx 这篇链接里面的文档,不难看出,在列表权限里面有一项叫做打开项目,如果勾选了这一项,也就是具备了这一项权限的权限级别,那么就可以在网站中 通过office打开文档,以及下载文档。
所以如果不想让用户下载文档,就要让用户的权限级别中,不能包括 打开项目 这一项,在SharePoint网站集中,默认情况下,仅查看这个权限级别,就是不能打开项目,所以如果想让用户浏览网站,但是不想让用户可以下载文档,最简单的方式,直接把用户授予仅查看的权限就可以了,我这里直接在网站权限中操作
打开网站设置-网站权限-选择授予权限
添加测试账户SP2013为 仅查看 权限级别,请注意,最佳实践是建议针对于AD安全组赋予SharePoint安全组权限。或者直接针对于AD安全组赋予权限。
授予权限之后,我先不用SP2013账户登录,我用另外一个 具备 读取 权限级别的账户登录
虽然说 这个账户 是 读取 的权限级别,但是可以看到这个用户实际上是可以下载文档副本的
可以看到在OWA界面也可以通过下载
管理员连接到网站设置中可以看到,虽然读取的执行权很低,但是依然可以下载文档,因为读取权限具备了可以打开项目的权限级别
下面我们再切换到 权限级别 为 仅查看的用户,可以看到,不能执行下载副本了
如果再切换到文档库内容中,同样也是不可以下载副本的
用户可以再OWA界面进行预览文档,但是同样也不能在OWA界面进行另存为
大家觉得这样子好不好,不需要使用ADRMS,就是实现了这么好的功能,其实SharePoint里面有很多不错的内置功能,只不过大家很少去仔细的研究,像这个问题,只不过是选择一个合适的权限级别的问题,但是话说回来,按照我们这样子做,有好处也有坏处,好处就是我们实现了需求,但是有一个不安全的地方,就是 仅查看的用户,实际上是可以看见网站内容的,在网站内容界面下,通常包括开发人员写的网页,以及网站的所有内容,这些内容对于有的基本用户来说是不需要让他们看见的。
打开网站内容后,就可以看见这界面
所以,如果说,你的仅查看用户,并不属于高级用户,他们只是基本用户,查看文档,协同办公即可,那么,这个页面你就并不需要让他们看到。
怎么做呢,这个时候,我们就不应该使用 仅查看这个权限级别了,应该去使用 受限读取 这个权限级别,受限读取的权限要比仅查看的权限级别还要低一些。
打开网站设置-网站权限-权限级别
打开受限读取权限级别,可以看到受限读取权限级别虽然很低,但是依然可以打开项目,
所以我们要把打开项目这一项给去掉
你可以选择自己新建一个权限级别,也可以选择复制现有权限级别进行修改,这里我选择复制后修改
复制好了后,重命名为临时人员权限,同时取消 打开项目,最终确保临时人员权限级别仅具备查看项目,打开网页,查看网页三个权限操作
确认无误后这次选择提交
提交完成后即可看见我们创建的权限级别
创建完成权限级别后,我们再去网站权限下选择创建SharePoint安全组
选择SharePoint安全组权限为 临时人员 权限级别
创建完成SharePoint安全组后,我们再去人员与组界面下,添加AD组或者AD用户到SharePoint安全组
添加完成后使用SP2013账户登录,可以看到,同样不能下载
在OWA中同样也不能另存为
而且用户现在不能查看网站内容
通过系列的讲解,大家可以看出,SharePoint的权限控制其实还是比较细粒度的,通过订制权限级别,可以满足很多权限控制的需求,例如我们要控制用户可以查看网站,但是不能下载,如果用户是属于高级用户,例如开发人员,那么就可以对用户赋予仅查看的权限级别,如果用户是属于基本用户,例如普通办公人员,那么就可以对用户赋予受限读取的权限级别,然后手动修改。