Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Comprensione dei permessi di SharePoint

Comprensione dei permessi di SharePoint

Dec 26, 2018

Lo scopo dei permessi di SharePoint

SharePoint permissions controllano l'accesso che dipendenti, partner, fornitori terzi e altri hanno ai contenuti di SharePoint. Puoi scegliere chi può leggere informazioni specifiche e chi no. I permessi di SharePoint si estendono non solo alla visualizzazione dei dati in liste e biblioteche di documenti, ma anche ai risultati di ricerca e persino all'interfaccia utente. Ad esempio, se non si dispone dei permessi per una specifica lista di documenti, allora nei risultati di una ricerca, non verranno visualizzati documenti da quella lista. Questo modello di permessi aiuta a proteggere dati sensibili da persone che non dovrebbero vederli o distribuirli.

Contenuti correlati selezionati

Ruoli di amministrazione SharePoint

La figura seguente mostra quali componenti del sistema possono gestire ciascuno dei principali ruoli di amministratore di SharePoint:

Image

Ecco i componenti del server SharePoint e i corrispondenti ruoli di amministrazione:

Ruoli di server e farm

  • Amministratori di Windows — Quando SharePoint è installato su un server Windows, il gruppo degli Amministratori locali di quel server viene automaticamente aggiunto al gruppo degli Amministratori della Farm di SharePoint. Di conseguenza, questi amministratori locali (Amministratori di Windows) hanno pieni permessi di controllo sulla farm di SharePoint — possono installare applicazioni e software e gestire i siti web di Internet Information Services (IIS) e i servizi di Windows. Tuttavia, per impostazione predefinita, non hanno accesso ai contenuti del sito.
  • Amministratori della Farm — I membri del gruppo degli Amministratori della Farm hanno permessi di controllo completo su tutte le farm di SharePoint; ciò significa che possono eseguire tutti i compiti amministrativi nella SharePoint Central Administration per la server farm. Ad esempio, possono assegnare amministratori per gestire applicazioni di servizio, funzionalità e raccolte di siti. Questo gruppo non ha accesso ai singoli siti, raccolte di siti e al loro contenuto, ma un Amministratore della Farm può facilmente prendere possesso di qualsiasi raccolta di siti e ottenere pieno accesso al suo contenuto semplicemente aggiungendosi al gruppo degli Amministratori della raccolta di siti nella pagina di Gestione Applicazioni.

Contenuti correlati selezionati

Ruoli dei servizi condivisi

  • Amministratori dell'applicazione di servizio — Questi amministratori sono selezionati dall'amministratore della farm. Possono configurare le impostazioni per una specifica applicazione di servizio all'interno di una farm. Tuttavia, non possono creare applicazioni di servizio, accedere ad altre applicazioni di servizio nella farm, o eseguire operazioni a livello di farm, come cambiamenti della topologia. Ad esempio, l'amministratore dell'applicazione di servizio per un'applicazione di ricerca in una farm può configurare le impostazioni solo per quella applicazione.
  • Amministratori di funzionalità — Un amministratore di funzionalità è associato a una o più funzionalità specifiche di un'applicazione di servizio. Questi amministratori possono gestire un sottoinsieme delle impostazioni dell'applicazione di servizio, ma non l'intera applicazione di servizio. Ad esempio, un amministratore di funzionalità potrebbe gestire la funzionalità Audiences dell'applicazione di servizio User Profile.

Contenuti correlati selezionati

Ruoli delle applicazioni web

Il livello dell'applicazione web non dispone di un gruppo di amministratori unico, ma gli amministratori della farm hanno il controllo sulle applicazioni web nel loro ambito. I membri del gruppo Farm Administrators e i membri del gruppo Administrators sul server locale possono definire una politica per concedere permessi individuali agli utenti a livello di applicazione web. Le seguenti politiche sono disponibili:

  • Politiche anonime — Definiscono le restrizioni di accesso da applicare agli utenti non autorizzati nel dominio: nessuna politica, negare l'accesso in scrittura o negare qualsiasi accesso.
  • Politiche di autorizzazione — Definiscono un insieme di permessi che possono essere concessi agli utenti o ai gruppi SharePoint per un sito, una biblioteca, un elenco, una cartella, un elemento, un documento o un'altra entità. Puoi utilizzare le politiche di autorizzazione predefinite o crearne di personalizzate.
  • Politiche utente — Un insieme di permessi di alto livello che viene applicato a un'applicazione web e ereditato da tutte le raccolte di siti. Utilizzando la politica utente, è possibile concedere a qualsiasi utente o gruppo AD permessi unici per una particolare applicazione web e tutte le raccolte di siti al suo interno.
  • Permessi utente — Definisce quali permessi avanzati gli amministratori della raccolta siti possono utilizzare per creare permessi unici per una determinata applicazione web. (Non so perché Microsoft non l'abbia chiamata anche “policy”, visto che funziona come una policy.)

Parlerò di più di queste politiche più tardi, nella discussione sull'ereditarietà.

Ruoli della raccolta siti

  • Amministratori della raccolta siti — Questi amministratori possiedono il livello di autorizzazione Controllo totale su tutti i siti di una raccolta siti. Hanno accesso Controllo totale a tutto il contenuto del sito nella raccolta siti, anche se non dispongono di autorizzazioni esplicite su quel sito. Possono eseguire l'audit di tutto il contenuto del sito e ricevere qualsiasi messaggio amministrativo. Durante la creazione di una raccolta siti possono essere specificati un amministratore primario e uno secondario della raccolta siti.
  • Proprietari del sito — Di default, i membri del gruppo Proprietari di un sito hanno il livello di autorizzazione Controllo completo su quel sito. Possono eseguire compiti amministrativi sul sito e su qualsiasi elenco o libreria all'interno del sito. Ricevono notifiche via e-mail per eventi, come la cancellazione automatica in sospeso di siti inattivi e richieste di accesso al sito.

Contenuti correlati selezionati

Tipi di permessi SharePoint predefiniti

Per impostazione predefinita, SharePoint definisce i seguenti tipi di permessi utente:

  • Accesso completo — L'utente può gestire le impostazioni del sito, creare sottositi e aggiungere utenti ai gruppi.
  • Design — L'utente può visualizzare, aggiungere, aggiornare ed eliminare approvazioni e personalizzazioni, così come creare e modificare nuove librerie di documenti e liste sul sito, ma non può gestire le impostazioni per l'intero sito.
  • Contribuire — L'utente può visualizzare, aggiungere, aggiornare ed eliminare elementi delle liste e documenti. Questi diritti sono i più comuni per gli utenti regolari di SharePoint, permettendo loro di gestire documenti e informazioni su un sito.
  • Leggi — L'utente può visualizzare elementi dell'elenco, pagine e scaricare documenti.
  • Modifica — L'utente può gestire elenchi e voci di elenco e contribuire alle autorizzazioni.
  • Visualizzazione soltanto — L'utente può visualizzare pagine, elementi di liste e documenti. I documenti possono essere visualizzati solo nel browser; non possono essere scaricati da un server SharePoint a un computer locale.
  • Accesso Limitato — L'utente può accedere a risorse condivise e asset specifici. L'Accesso Limitato è progettato per essere combinato con permessi granulari (non ereditati, permessi unici) per consentire agli utenti di accedere a una specifica lista, biblioteca di documenti, cartella, elemento di lista o documento senza concedere loro l'accesso all'intero sito. Il permesso di Accesso Limitato non può essere modificato o eliminato.

SharePoint Groups

Ci sono due modi per assegnare i permessi a un sito SharePoint tramite gruppi: Il primo è aggiungendo
un utente a un gruppo SharePoint, e il secondo è dando accesso diretto al sito a un gruppo di AD security o inserendolo in un gruppo SharePoint che ha i permessi sul sito.

I gruppi SharePoint consentono di gestire insiemi di utenti anziché utenti singoli. Un gruppo può includere utenti singoli creati in SharePoint, così come utenti o gruppi da qualsiasi sistema di identity management o servizi di dominio, come Active Directory Domain Services (AD DS), directory basate su LDAPv3, database specifici per applicazioni e modelli di identità come Windows Live ID.

I gruppi SharePoint definiti dall'utente non dispongono di diritti di accesso specifici al sito. Puoi organizzare i tuoi utenti in un numero qualsiasi di gruppi, a seconda delle dimensioni e della complessità della tua organizzazione o sito. Una cosa importante da menzionare è che i gruppi SharePoint non possono essere nidificati.

Tuttavia, esistono anche gruppi SharePoint predefiniti che concedono ai membri specifici permessi di accesso. Un insieme di gruppi predefiniti dipende dal modello di sito che si sta utilizzando. Ecco i gruppi predefiniti per un sito di team e i suoi permessi predefiniti per il sito SharePoint:

  • VisitatoriPermessi di lettura
  • MembriModifica permessi
  • ProprietariFull Control autorizzazioni
  • VisualizzatoriPermessi di sola visualizzazione

Ecco i gruppi predefiniti per il template del sito di pubblicazione e i loro permessi di default:

  • Lettori con accesso limitato — Possono visualizzare pagine e documenti, ma non possono vedere le versioni storiche o le informazioni sui permessi.
  • Style Resource Readers — Have Read permission to the Master Page Gallery and Restricted Read permission to the Style Library. By default, all authenticated users are members of this group.
  • Designer — Possono visualizzare, aggiungere, aggiornare, eliminare, approvare e personalizzare il layout delle pagine del sito utilizzando un browser o SharePoint Designer.
  • Approvatori — Possono modificare e approvare pagine, elementi di liste e documenti.
  • Responsabili della gerarchia — Possono creare siti, elenchi, elementi di elenchi e documenti.

Si noti che tutti questi gruppi e i loro permessi possono essere modificati.

La prassi migliore consiste nell'aggiungere utenti regolari che hanno solo bisogno di leggere informazioni al gruppo Visitors e aggiungere utenti che necessitano di creare o modificare documenti al gruppo Members. Questo perché gli utenti nel gruppo Members possono aggiungere, modificare o rimuovere elementi o documenti, ma non possono cambiare la struttura del sito, le impostazioni o l'aspetto. Allo stesso modo, gli utenti nel gruppo Visitors possono vedere pagine, documenti ed elementi ma non possono eseguire operazioni di aggiunta o rimozione.

Assegnazione dei permessi sugli oggetti

È possibile impostare i permessi su una varietà di elementi SharePoint:

  • SharePoint farm — Permessi amministrativi
  • Applicazione web — Politica anonima, politica utente, permessi utente
  • Servizi Condivisi — Permessi amministrativi di app e funzionalità di servizio
  • Collezione di siti — Permessi amministrativi della collezione di siti, permessi
  • Sottosito — Permessi
  • Biblioteca di documenti o elenco — Permessi di condivisione
  • Cartella nella libreria di documenti o nell'elenco — Permessi di condivisione
  • File separato — Permessi di condivisione

Migliori pratiche per l'assegnazione dei permessi

Hai l'opportunità di regolare i diritti di accesso a vari livelli. Se necessario, puoi creare eccezioni (permessi unici) nell'impostazione dei permessi ai livelli inferiori della gerarchia, e puoi anche interrompere l'ereditarietà dei permessi. Ad esempio, puoi creare permessi unici per una specifica biblioteca di documenti e impedire che essa erediti i permessi dal suo elemento padre.

Come buona prassi, dovresti progettare la struttura dei permessi di livello superiore nel modo più dettagliato possibile e minimizzare il numero di eccezioni. Più permessi unici crei a diversi livelli, più sarà difficile eseguire l'audit e controllare i diritti di accesso. Tieni presente che esistono strumenti di terze parti che semplificano l'audit e il monitoraggio dei permessi. Ad esempio, Netwrix Auditor for SharePoint può riportare lo stato attuale dei tuoi permessi di SharePoint, così come lo stato in un momento precedente, e avvisarti quando qualcuno modifica i permessi.

Contenuti correlati selezionati

Ereditarietà dei permessi

Per impostazione predefinita, i sottositi, le biblioteche e le liste ereditano i permessi dal sito in cui sono stati creati (il sito padre). Inoltre, ci sono le politiche definite a livello di applicazione web che ho descritto in precedenza. Tutte le raccolte di siti ereditano i permessi dalla politica utente e dalla politica anonima dell'applicazione web, che concede o nega l'accesso agli account utente. Le applicazioni web ereditano anche i permessi utente, che definiscono quali livelli di permesso possono essere utilizzati per creare permessi unici per le raccolte di siti. Il livello dell'applicazione web ha anche una politica di permesso, che definisce i tipi di permesso di alto livello per la politica utente.

Se interrompi l'ereditarietà dei permessi, il sottosito, la libreria di documenti, il sito web o il file potranno formare i propri permessi unici, ma, come detto in precedenza, saranno disponibili solo i livelli di permesso regolati dai permessi utente dell'applicazione web.

Pertanto, abbiamo due tipi di ereditarietà, che sono legati alle politiche configurate a livello dell'applicazione web:

  1. Politica utente, che viene ereditata da tutte le raccolte di siti di livello inferiore.
  2. Permessi utente, che sono ereditati da tutte le raccolte di siti con permessi avanzati; questa ereditarietà non può essere interrotta ai livelli inferiori.

Qualsiasi modifica dei permessi a livello del sito principale (elenco di elementi, libreria di documenti) non influenzerà gli elementi figlio con permessi univoci, e i permessi univoci prevarranno sempre quando sono in conflitto con quelli dei genitori.

Migliori pratiche per l'ereditarietà dei permessi

È molto più facile gestire i permessi quando esiste una chiara gerarchia di permessi che vengono ereditati dal genitore. Diventa più difficile quando alcune liste in un sito hanno permessi granulari (unici) applicati, e quando alcuni siti hanno sottositi con permessi unici e altri con permessi ereditati. Quindi, è una buona prassi, per quanto possibile, organizzare siti e sottositi, liste e librerie in modo che possano ereditare la maggior parte dei permessi dal genitore.

Ecco una complessa struttura di permessi SharePoint semplificata per te:

Image

Permessi avanzati

I gruppi predefiniti e i livelli di autorizzazione in SharePoint offrono un quadro generale per le autorizzazioni che è utile per molti tipi di organizzazione. Tuttavia, potrebbero non corrispondere esattamente a come gli utenti sono organizzati o ai diversi compiti che svolgono sui vostri siti. Se i livelli di autorizzazione predefiniti non si adattano alla vostra organizzazione, potete creare gruppi personalizzati, modificare le autorizzazioni incluse in livelli di autorizzazione specifici o creare livelli di autorizzazione personalizzati.

Permessi del sito SharePoint

Questi permessi influenzano le impostazioni del sito e personali, l'interfaccia web, l'accesso e la configurazione del sito:

  • Gestire i permessi — Creare e modificare i livelli di autorizzazione su un sottosito e assegnare permessi a utenti e gruppi.
  • Visualizza i dati di analisi web — Visualizza i rapporti sull'utilizzo del sito
  • Creare Sottositi — Creare sottositi come siti di team, siti di pubblicazione e siti di notizie
  • Gestisci il sito web — Esegui tutte le azioni di amministrazione e gestione dei contenuti per il sito
  • Aggiungi e personalizza le pagine — Aggiungi, modifica ed elimina pagine HTML
  • Applica Temi e Bordi — Applica un tema o dei bordi al sito
  • Applica Fogli di Stile — Applica un foglio di stile (.CSS file) al sito
  • Creare gruppi — Creare un gruppo di utenti che può essere utilizzato ovunque all'interno della raccolta siti
  • Sfoglia le Directory — Elenca file e cartelle in un sito utilizzando SharePoint
  • Utilizza la Creazione di Siti Self-Service — Crea un sito utilizzando la creazione di siti self-service
  • Visualizza Pagine — Visualizza le pagine in un sito
  • Elenca Permessi —Elenca i permessi su un sito, elenco, cartella, documento o elemento di un elenco
  • Esplora informazioni utente — Visualizza informazioni sugli utenti del sito
  • Gestisci Avvisi — Gestisci gli avvisi per tutti gli utenti del sito
  • Utilizzare interfacce remote — Utilizzare le interfacce SOAP, Web DAV, Client Object Model o SharePoint Designer per accedere al sito
  • Utilizzare le funzionalità di integrazione del client — Utilizzare le funzionalità che avviano applicazioni client nel sito (gli utenti senza questo permesso devono scaricare i documenti localmente, lavorarci e poi caricare i documenti rivisti)
  • Apri — Apri un sito, un elenco o una cartella e accedi agli elementi all'interno di quel contenitore
  • Modifica Informazioni Utente Personali — Cambiare le proprie informazioni utente, come aggiornare un numero di telefono o titolo o aggiungere una foto

SharePoint List Permissions

Questi permessi influenzano la gestione di elenchi, cartelle e documenti e la visualizzazione di elementi e pagine applicative:

  • Gestire elenchi — Creare ed eliminare elenchi, colonne di elenchi e visualizzazioni pubbliche di un elenco
  • Sovrascrivi i comportamenti dell'elenco — Scarta o registra un documento che è stato estratto da un altro utente
  • Aggiungi elementi — Aggiungi elementi alle liste e documenti alle biblioteche di documenti
  • Modifica elementi — Modifica elementi negli elenchi e documenti nelle biblioteche di documenti, e personalizza le pagine dei web part nelle biblioteche di documenti
  • Elimina elementi — Elimina elementi dalle liste e documenti dalle biblioteche di documenti
  • Visualizza elementi — Visualizza gli elementi nelle liste e i documenti nelle biblioteche di documenti
  • Approvare elementi — Approvare o rifiutare una nuova versione di un elenco, elemento o documento
  • Elementi aperti — Aprire i documenti utilizzando i gestori di file lato server (i documenti non verranno scaricati sul computer locale)
  • Visualizza Versioni — Visualizza le versioni precedenti di un elemento dell'elenco o di un documento
  • Elimina Versioni — Elimina le versioni precedenti di un elemento dell'elenco o di un documento
  • Crea Avvisi — Crea avvisi per monitorare le modifiche a liste, librerie, cartelle, file o elementi di liste
  • Visualizza pagine dell'applicazione — Visualizza moduli, viste e pagine dell'applicazione

SharePoint Permessi Personali

Questi permessi influenzano la configurazione e la gestione delle pagine personali:

  • Gestire Visualizzazioni Personali — Creare, modificare ed eliminare visualizzazioni personali delle liste
  • Aggiungi/Rimuovi Web Part personali — Aggiungi o rimuovi Web Part personali
  • Aggiorna Personal Web Parts — Aggiungi o modifica informazioni personalizzate nei personal web parts.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Jeff Melnick

Direttore dell'Ingegneria dei Sistemi

Jeff è un ex Direttore dell'Ingegneria delle Soluzioni Globali presso Netwrix. È un blogger di Netwrix da lungo tempo, nonché relatore e presentatore. Nel blog di Netwrix, Jeff condivide lifehack, consigli e trucchi che possono migliorare notevolmente la tua esperienza di amministrazione del sistema.

Scopri di più su questo argomento

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza