SharePoint 中的許可權繼承

  • 文章

雖然 SharePoint 允許大量自訂網站許可權,包括變更繼承,但我們強烈建議您不要中斷繼承。 針對通訊網站使用內建的 SharePoint 群組,並透過相關聯的 Microsoft 365 群組管理小組網站許可權。 使用共用連結與網站外部的人員共用個別檔案和資料夾。 這使得管理更加容易。 如需在 SharePoint 新式體驗中管理許可權的資訊,請參閱 SharePoint 新式體驗中的共用和許可權

什麼是權限繼承?

許可權繼承表示網站集合中專案的許可權設定會傳遞給該專案的子系。 如此一來,網站就會繼承來自網站集合最上層 (「根」) 網站的許可權、從包含文件庫的網站繼承的文件庫等等。 許可權繼承可讓您進行一次許可權指派,並將該許可權套用至繼承許可權的所有網站、清單、文件庫、資料夾和專案。 此行為可以降低複雜度,以及網站集合系統管理員和網站擁有者花費在安全性管理上的時間量。

根據預設,SharePoint 網站會繼承父網站的許可權。 這表示當您將使用者指派給成員群組時,使用者的許可權會自動向下串連所有繼承許可權等級的網站、清單、文件庫、資料夾和專案。

什麼是 SharePoint 許可權中的父系?

父系一詞在 SharePoint 許可權中使用時,只是強調繼承的方式。 父系會將其許可權設定傳遞給其所有子系。 根據預設,網站集合的根網站是月臺階層中所有網站和其他物件的第一個父代。

網站集合的根網站不是唯一的父代。 網站集合中 (網站、文件庫、清單等) 的每個安全物件都可以是父代。 也就是說,根網站是其子網站的父代,每個網站都是其程式庫和清單的父代,而每個清單都是其中清單專案的父代。 在此術語中,具有父系的物件稱為子系。 因此,子網站是其父月臺的子網站,清單專案是其清單父系的子系,依此類推。

重要事項

建議您為每個工作單位建立網站集合,而不是使用子網站建立階層式結構。 瞭解如何使用中樞網站來組織內部網路

根據預設,許可權會從父系繼承至子系。 也就是說,如果您未變更許可權結構,則清單專案會透過其父清單) 從集合中的根網站繼承許可權 (。 不過,即使您中斷清單的繼承,該清單仍是其本身清單專案的父代。 清單的清單專案會繼承清單擁有的許可權,如果您變更清單的許可權,清單專案就會繼承變更。

當您第一次中斷從父系到子系的繼承鏈結時,子系會以父許可權的複本開始。 然後,您可以編輯這些許可權,使其成為您想要的方式。 您可以新增許可權、移除許可權、建立特殊群組等等。 沒有任何變更會影響原始父系。 而且,如果您決定中斷繼承是錯誤的決策,您可以隨時繼續繼承許可權。

當使用者共用或停止共用包含繼承中斷之其他專案的專案時,該許可權新增或移除的一次性推播會傳送至所有子專案,即使是繼承中斷的專案。 直接許可權和共用連結都是如此。 管理具有中斷繼承之專案的許可權時,使用者可以移除該專案的任何直接許可權。 如果在其中一個父資料夾上建立的共用連結可以存取具有中斷繼承的專案,而且使用者不希望該連結授與專案的存取權,則使用者可以完全移除連結,或將檔案移到共用連結具有許可權的資料夾外部。

深入瞭解許可權繼承

許可權繼承可讓系統管理員一次指派許可權等級,並在整個網站集合中套用許可權。 許可權會從月臺頂層傳遞至整個 SharePoint 階層中的子系。 許可權繼承可以為網站管理員節省時間,特別是在大型或複雜的網站集合上。

不過,某些案例有不同的需求。 在一個案例中,您可能必須限制對網站的存取,因為它包含您必須保護的敏感性資訊。 在不同的案例中,您可能想要擴充存取權,並邀請其他人共用資訊。 如有需要,您可以中斷繼承行為, (停止在階層中的任何層級) 繼承許可權。

讓我們看看這些不同案例的範例。

假設您有一家名為 Northwind Traders 的公司。 您可以使用 URL northwindtraders.sharepoint.com/sites/benefits 建立名為 「權益」的通訊網站。 在網站集合根目錄中,您可以設定 SharePoint 群組、指派許可權等級,以及將使用者新增至群組。

假設您接著為「權益」網站建立子網站,例如「醫療保健」 (northwindtraders.sharepoint.com/sites/benefits/healthcare) 和「淘汰」 (northwindtraders.sharepoint.com/sites/benefits/retirement) 。 這些子網站甚至可以包含更多子網站。 例如,「醫療保健」子網站可能會有一個「大寫」子網站 (northwindtraders.sharepoint.com/sites/benefits/healthcare/dental) 。

使用預設行為的案例

根據預設,許可權會直接傳遞給子網站。 也就是說,您在網站集合根目錄指派的群組和許可權層級會自動傳遞至子網站以供重複使用。

限制網站及其子系存取的案例

假設您的公司只為主管提供特殊權益。 在此情況下,系統管理員決定分隔「主管」子網站,並中斷與父網站「權益」的繼承。

「主管」網站的網站擁有者會變更網站的許可權,移除某些群組並建立其他群組。 「主管」網站的子網站「企業」和「公司運輸」現在只會從「主管」子網站繼承許可權。 只有「主管」的群組和使用者可以存取包含敏感性資訊的清單和文件庫。

為了方便維護,建議您使用類似的方法來限制存取。 也就是說,組織您的網站,讓敏感性資料位於相同的位置。 如果您以這種方式組織網站,您只需要針對該特定網站或文件庫中斷繼承一次。 這是較少的額外負荷。 相較于在多個位置中為個別子網站和程式庫建立個別的許可權結構,它需要的工作少許多。

共用資料夾及其子系存取權的案例

假設 Northwind Traders 的員工雇用顧問,並想要與他們共同處理 SharePoint 中的檔。 員工不想要讓顧問存取 SharePoint 網站上的任何其他專案。

當員工與顧問共用資料夾時,SharePoint 會藉由中斷資料夾本身的繼承,自動處理許可權和存取權的所有詳細資料。 顧問可以存取資料夾中的所有檔,但無法檢視或存取網站上的任何其他資訊。 雖然繼承在技術上已中斷,但若稍後將人員新增至父網站集合,系統會自動授與共用資料夾的許可權。