Cómo se asignan los elementos de seguridad a un objeto asegurable

Jerarquía y herencia

Como propietario de un sitio, al crear la estructura de permisos para el sitio o el grupo de sitios, debe encontrar un equilibro entre facilitar la administración y controlar los permisos concretos para objetos individuales asegurables. En cualquier sitio Web también es importante seguir el principio de mínimo privilegio al autorizar el acceso al mismo.

Para facilitar al máximo posible la administración, comience por usar los grupos estándar de SharePoint (que son Propietarios de nombre del sitio, Miembros de nombre del sitio y Visitantes de nombre del sitio) y asignar los permisos en el nivel de sitio. Se recomienda que haga que la mayor parte de los usuarios sean miembros de los grupos de SharePoint Visitantes de nombre del sitio o Miembros de nombre del sitio. No agregue cada usuario como miembro del grupo de SharePoint Propietarios de nombre del sitio. De forma predeterminada, los miembros del sitio pueden colaborar en el mismo, agregando o quitando elementos o documentos, pero no pueden cambiar la estructura, la configuración ni la apariencia. Puede crear grupos de SharePoint adicionales y niveles de permisos si necesita un control más minucioso sobre las acciones que los usuarios pueden realizar.

Si hay listas, bibliotecas, carpetas dentro de una lista o biblioteca, elementos de una lista o documentos concretos que contengan datos confidenciales cuya seguridad deba incluso reforzarse, utilice la personalización avanzada para conceder derechos a un grupo o usuario individual de SharePoint. Sin embargo, tenga en cuenta que administrar la personalización avanzada de permisos puede llevar mucho tiempo.

Cómo se asignan elementos de seguridad a un objeto asegurable

Puede conceder permisos específicos a los usuarios y a los grupos de SharePoint (que contienen usuarios) para un objeto asegurable, como un sitio, una lista, una biblioteca o una carpeta dentro de una lista o biblioteca, elemento o documento. Dado que no es eficaz mantener directamente las cuentas de usuario, use los grupos de SharePoint cuanto sea posible para administrar los usuarios.

En la ilustración siguiente se muestra cómo se asignan niveles de permisos específicos a los usuarios y grupos de SharePoint en un sitio o un objeto asegurable en un sitio de SharePoint.

* Un único usuario puede ser asignado directamente sin necesidad de ser miembro de un grupo de SharePoint.

Observe que la asignación de un permiso se crea en un objeto asegurable concreto. Esta asignación de permiso incluye un usuario o grupo de SharePoint y un nivel de permisos. Cada nivel de permisos tiene un conjunto específico de permisos.

Puede asignar a usuarios y grupos diferentes de SharePoint niveles de permisos distintos para un sitio, lista, biblioteca, carpeta dentro de una lista o biblioteca, elemento de una lista o documento específicos. Los usuarios individuales o los grupos de SharePoint pueden tener niveles de permisos distintos para los distintos objetos asegurables.

• Cualquiera que tenga el permiso Administrar permisos puede crear grupos de SharePoint y asignar niveles de permisos para el sitio en general. Tenga en cuenta, sin embargo, que es posible que no se pueda agregar o quitar usuarios ni grupos de dominio en un grupo de SharePoint. Los administradores de la colección de sitios y los propietarios de los sitios tienen este permiso de forma predeterminada.
• Los administradores de las bibliotecas o listas pueden especificar permisos más o menos restrictivos para su lista o biblioteca (o una carpeta dentro de la lista o biblioteca) agregando o quitando usuarios o grupos de SharePoint, o cambiando los niveles de permisos para los usuarios o grupos de SharePoint.
• Los creadores de los documentos o de los elementos de las listas pueden especificar permisos más o menos restrictivos para un elemento o documento agregando o quitando usuarios de los grupos de SharePoint, o cambiando los niveles de permisos para los usuarios o grupos de SharePoint.

Jerarquía y herencia

De forma predeterminada, los permisos de listas, bibliotecas, carpetas dentro de listas y bibliotecas, elementos y documentos se heredan del sitio primario. Sin embargo, puede interrumpir esta herencia para cualquier objeto asegurable en un nivel inferior de la jerarquía modificando los permisos, es decir, creando una asignación de permiso único en ese objeto asegurable. Por ejemplo, puede modificar los permisos de una biblioteca de documentos, lo que interrumpe la herencia del sitio.

Los sitios Web son, por sí mismos, objetos asegurables en los que se pueden asignar permisos. Es posible configurar los subsitios para heredar los permisos de un sitio primario o interrumpir la herencia y crear permisos únicos para un sitio en particular. La herencia de permisos es la forma más sencilla de administrar un grupo de sitios Web. Sin embargo, si un sitio hereda los permisos de su elemento primario, ese conjunto de permisos se comparte.

 Precaución    Los propietarios de los subsitios que heredan los permisos del sitio primario pueden modificar los permisos de dicho sitio primario. Asegúrese de que los cambios que haga en los permisos del sitio primario sean apropiados para este sitio y para todos los subsitios que los hereden.

En la ilustración siguiente se muestra la jerarquía de una colección de sitios con un sitio Web de nivel superior y subsitios que heredan los permisos del sitio primario, así como un subsitio con permisos únicos.

En la ilustración, el subsitio 1 hereda los permisos del sitio Web de nivel superior. Esto significa que los cambios efectuados en los grupos de SharePoint y los niveles de permisos en el sitio de nivel superior también afectan al subsitio 1.

El subsitio 2 hereda igualmente los permisos de su sitio primario (el subsitio 1). Sin embargo, como el subsitio 1 hereda a su vez los permisos de su sitio primario, los cambios efectuados en los grupos de SharePoint y los niveles de permisos en el sitio de nivel superior afectan ambos al subsitio 2. Esto se debe a que no puede administrar los permisos en un subsitio que herede permisos. En cambio, debe administrar los permisos del sitio primario (que es el sitio Web de nivel superior para los subsitios 1 y 2) o puede interrumpir la herencia y crear permisos únicos.

Observe que el subsitio 3 tiene permisos únicos. Esto significa que no hereda los permisos del sitio primario. Por lo tanto, cualquier cambio efectuado en los niveles de permisos y en los grupos de SharePoint en el subsitio 3 no afectan al sitio primario. Puesto que el subsitio 4 hereda los permisos del subsitio 3, cualquier cambio en los niveles de permisos o en los grupos de SharePoint en el subsitio 3 afectará a ambos sitios.

Cada sitio contiene objetos adicionales asegurables con una posición particular en la jerarquía de sitios, según se muestra en la ilustración siguiente.

Los objetos asegurables de nivel inferior heredan automáticamente los permisos de sus objetos primarios. Por ejemplo, una lista o biblioteca hereda los permisos del sitio y los elementos de una lista y los documentos los heredan de la lista, biblioteca o carpeta que los contiene. Puede interrumpir esta herencia en cualquier nivel de la jerarquía y asignar permisos únicos. Cuando interrumpe la herencia del elemento primario, el objeto asegurable a partir del que interrumpe la herencia recibe una copia de los permisos del objeto primario. Entonces puede modificar estos permisos para que sean únicos, lo que significa que cualquier cambio que realice en los permisos de ese objeto no afectan al objeto primario. 

Planear la herencia de permisos

Es más fácil administrar los permisos sólo en el nivel de sitio, siempre que sea posible. Esto significa que debería crear la jerarquía de sitios de modo que permita asignar permisos a los sitios que sean apropiados para todos los elementos asegurables dentro del sitio, como las listas, las bibliotecas, las carpetas dentro de listas o bibliotecas, los documentos y los elementos. Aunque puede asignar permisos únicos en cualquier objeto asegurable de la jerarquía de sitios, es más trabajoso que heredar los permisos. Se dificulta aún más cuando algunas listas o bibliotecas dentro de un sitio tienen aplicada la personalización avanzada de permisos y cuando algunos sitios tienen algunos subsitios con permisos únicos y otros con permisos heredados. Siempre que sea posible, organice los sitios, subsitios, listas y bibliotecas de modo que puedan heredar la mayor parte de los permisos. Coloque los datos confidenciales en subsitios, listas, bibliotecas y otros elementos independientes.

Por ejemplo, es mucho más fácil administrar los permisos usando una jerarquía como la que se muestra en el ejemplo siguiente, en lugar de mezclar datos confidenciales y no confidenciales en los mismos sitios, listas y bibliotecas.

• Sitio A  Página principal del grupo
• Lista A  Datos no confidenciales (permisos heredados)
• Biblioteca de documentos A  Datos no confidenciales (permisos heredados)
• Subsitio B  Datos confidenciales (permisos únicos)
• Lista B  Datos confidenciales (permisos únicos)
• Biblioteca de documentos B  Datos confidenciales (permisos únicos)

Observe que la lista y la biblioteca del sitio A contienen datos no confidenciales y que el subsitio B se creó debajo del sitio A para contener una lista y una biblioteca en las que almacenar datos confidenciales. En este escenario, puede asignar permisos al sitio A que sean apropiados para la lista A y la biblioteca de documentos A, y crear permisos únicos en el subsitio B que sean apropiados para la lista B y la biblioteca de documentos B.