上一篇簡單的介紹了一下SharePoint場和網站的一些基本權限概念,但這些是遠遠不夠的,以後有機會我會繼續爲大家進行詳細講解,在今天這一篇文章中,我們主要談一談,如何實現,用戶只能在SharePoint網站只能瀏覽文檔,但是不能下載。
在真正實施之前,先來帶領大家看一下一個網站中設置權限的流程,幫助大家理清一下思路,默認情況下,我們打開SharePoint網站設置
在SharePoint網站設置中,可以看到用戶和權限的主要設置就是以下四項,其中我們主要關注的是人員和組,以及網站權限這兩個設置
打開人員和組,管理人員可以看見一個非常簡單的視圖,有現成的SharePoint安全組,如果需要進行網站授權,只需要在新建--添加用戶就可以了。
例如,我們希望添加一個SharePoint網站的訪問者,就在新建的地方,選擇添加用戶即可,這個部分,也可以理解爲是設置最終權限的地方,在這個地方,管理員可以直接添加用戶,也可以添加AD內的安全組到網站權限,再多說一句,SharePoint默認網站也會有自己的安全權限,也可以使用AD的賬號進行授權,這裏來講,其實真正的最終授予出去的權限,還是一個AD賬戶,或者一個SharePoint本地賬戶,而SharePoint安全權限與AD權限的一個區別就在於,如果你在SharePoint中創建了安全組,那麼這個SharePoint安全組不能嵌套使用,如果你在添加網站人員與組中,賦予一個AD安全組,進入SharePoint安全組,那麼這個AD安全組實際上是支持嵌套的。
點擊人員與組下面的其它,可以看見所有的人員和組,這些組,有的是SharePoint創建的安全組,有的是特殊生成的組,例如,每個人,authenticate users,快速部署用戶。
看過人員和組之後,我們再進一步,看看網站權限,可以看到,這裏比人員和組,多了很多設置,例如授予權限,創建組,匿名訪問,權限級別,檢察權限,網站集管理員,在這裏可以看到,目前已有的SharePoint安全組,以及SharePoint安全組所屬的權限級別,一會我們要詳細來看這個權限級別。
那麼,所謂授予權限,就是在這裏添加進來AD安全組或者AD賬戶,可以看到和之前在人員和組設置中的不同,在人員和組中,管理員只能添加人員到組,而在網站權限這裏,管理員可以添加AD安全組或者AD賬戶至 指定的權限級別 或 至指定的SharePoint安全組,感覺上是不是比人員和組裏面的設置更加全面了一些。
授予了權限之後,我們再來看一下創建組,輸入一個組名稱,和exchange一樣,SharePoint也支持組審批,但是要求SharePoint服務器場要配置傳出郵件後,才支持這項操作。
重點在下面,當我們在網站權限中,創建組時,會讓我們選擇該SharePoint安全組,所需要獲得的權限級別,即用戶組最終可以執行的網站權限,例如我們選擇僅查看,那麼,這個安全組,今後再添加進來的人員,就都會是僅查看的權限。
和我們想象的一樣,在網站權限中創建了安全組,回到人員和組中就可以看到這個安全組,這下子幫大家撥開了一個謎團,很多人都說SharePoint會有自己的權限,可以自己創建賬戶,創建組,但是其實不是,SharePoint只是可以做到創建SharePoint自身的安全組,在AD賬戶或者本地賬戶之上又套了一層。
添加好了組之後,我們再回到網站設置,看右側,每一個SharePoint安全組都對應着一個權限級別,那麼你有沒有想過爲什麼會是這個權限級別,這個權限級別對應到網站到底是可以執行那些權限,權限級別是否是可以自己設置的,答案肯定是可以的。
選擇上方的 權限級別
可以看見SharePoint默認自帶的權限級別,這些權限級別通常被直接套用到AD安全組或者AD用戶上,也可以套用在SharePoint安全組上。
我們點擊一個僅查看的權限級別,可以看到僅查看這個權限級別下,可以執行的網站權限,列表權限,以及個人權限,所謂權限級別,就是定義用戶最終到底可以在網站下執行那些操作的具體操作項目
說到這裏,大家大概看懂了吧?其實在一個SharePoint網站,授予權限幕後發生的過程是這樣子的
自後向前來說:首先定義權限級別,定義用戶最終可以在網站、列表、個人、執行那些操作,定義好了權限級別之後,在網站權限中創建組,例如IT部門,IT部門要應用哪一個權限級別。創建好組了之後,再去人員和組,將AD安全組或AD用戶添加到SharePoint安全組,也可以不通過人員和組,直接在網站權限的地方,授予權限,將AD安全組或AD用戶套用到權限級別或者SharePoint安全組。
自前向後來說:管理人員在人員和組中,添加AD安全組或者AD用戶,實際上添加的AD用戶套用的是SharePoint安全組的權限,而這個安全組到底可以執行那些權限,是在網站權限中通過創建組來進行定義選擇,每一個權限具體可以執行那些操作,是通過在權限級別中創建出來。
通過上述的講解,希望大家可以對SharePoint網站的授權有一個基本的概念,下面我們就來講解,如何通過網站權限實現用戶可以讀取網站,可以在瀏覽器中瀏覽文檔,但是不能下載。
如果大家仔細閱讀了https://technet.microsoft.com/zh-cn/library/cc721640.aspx 這篇鏈接裏面的文檔,不難看出,在列表權限裏面有一項叫做打開項目,如果勾選了這一項,也就是具備了這一項權限的權限級別,那麼就可以在網站中 通過office打開文檔,以及下載文檔。
所以如果不想讓用戶下載文檔,就要讓用戶的權限級別中,不能包括 打開項目 這一項,在SharePoint網站集中,默認情況下,僅查看這個權限級別,就是不能打開項目,所以如果想讓用戶瀏覽網站,但是不想讓用戶可以下載文檔,最簡單的方式,直接把用戶授予僅查看的權限就可以了,我這裏直接在網站權限中操作
打開網站設置-網站權限-選擇授予權限
添加測試賬戶SP2013爲 僅查看 權限級別,請注意,最佳實踐是建議針對於AD安全組賦予SharePoint安全組權限。或者直接針對於AD安全組賦予權限。
授予權限之後,我先不用SP2013賬戶登錄,我用另外一個 具備 讀取 權限級別的賬戶登錄
雖然說 這個賬戶 是 讀取 的權限級別,但是可以看到這個用戶實際上是可以下載文檔副本的
可以看到在OWA界面也可以通過下載
管理員連接到網站設置中可以看到,雖然讀取的執行權很低,但是依然可以下載文檔,因爲讀取權限具備了可以打開項目的權限級別
下面我們再切換到 權限級別 爲 僅查看的用戶,可以看到,不能執行下載副本了
如果再切換到文檔庫內容中,同樣也是不可以下載副本的
用戶可以再OWA界面進行預覽文檔,但是同樣也不能在OWA界面進行另存爲
大家覺得這樣子好不好,不需要使用ADRMS,就是實現了這麼好的功能,其實SharePoint裏面有很多不錯的內置功能,只不過大家很少去仔細的研究,像這個問題,只不過是選擇一個合適的權限級別的問題,但是話說回來,按照我們這樣子做,有好處也有壞處,好處就是我們實現了需求,但是有一個不安全的地方,就是 僅查看的用戶,實際上是可以看見網站內容的,在網站內容界面下,通常包括開發人員寫的網頁,以及網站的所有內容,這些內容對於有的基本用戶來說是不需要讓他們看見的。
打開網站內容後,就可以看見這界面
所以,如果說,你的僅查看用戶,並不屬於高級用戶,他們只是基本用戶,查看文檔,協同辦公即可,那麼,這個頁面你就並不需要讓他們看到。
怎麼做呢,這個時候,我們就不應該使用 僅查看這個權限級別了,應該去使用 受限讀取 這個權限級別,受限讀取的權限要比僅查看的權限級別還要低一些。
打開網站設置-網站權限-權限級別
打開受限讀取權限級別,可以看到受限讀取權限級別雖然很低,但是依然可以打開項目,
所以我們要把打開項目這一項給去掉
你可以選擇自己新建一個權限級別,也可以選擇複製現有權限級別進行修改,這裏我選擇複製後修改
複製好了後,重命名爲臨時人員權限,同時取消 打開項目,最終確保臨時人員權限級別僅具備查看項目,打開網頁,查看網頁三個權限操作
確認無誤後這次選擇提交
提交完成後即可看見我們創建的權限級別
創建完成權限級別後,我們再去網站權限下選擇創建SharePoint安全組
選擇SharePoint安全組權限爲 臨時人員 權限級別
創建完成SharePoint安全組後,我們再去人員與組界面下,添加AD組或者AD用戶到SharePoint安全組
添加完成後使用SP2013賬戶登錄,可以看到,同樣不能下載
在OWA中同樣也不能另存爲
而且用戶現在不能查看網站內容
通過系列的講解,大家可以看出,SharePoint的權限控制其實還是比較細粒度的,通過訂製權限級別,可以滿足很多權限控制的需求,例如我們要控制用戶可以查看網站,但是不能下載,如果用戶是屬於高級用戶,例如開發人員,那麼就可以對用戶賦予僅查看的權限級別,如果用戶是屬於基本用戶,例如普通辦公人員,那麼就可以對用戶賦予受限讀取的權限級別,然後手動修改。