Освоение SharePoint Уникальные разрешения для администраторов

Уникальные разрешения в SharePoint обеспечивают контроль, но также могут вызвать сложности и потенциальную путаницу среди ваших пользователей. В этой статье мы рассмотрим, как возникают уникальные разрешения, их влияние и, самое главное, лучшие методы эффективного управления ими для вас как администратора.

По умолчанию файлы и папки SharePoint наследуют права доступа от сайта, к которому они принадлежат. Это означает, что все пользователи, входящие в состав сайта с правами добавления/редактирования/удаления, могут добавлять/редактировать/удалять любые файлы и папки на этом сайте.

Уникальные разрешения - это пользовательские разрешения: Изменение безопасности для определенного файла или папки создает уникальные разрешения. Допустим, вы скрываете этот файл или папку от всех членов команды и разрешаете только некоторым: вы предоставили ему уникальные разрешения. Но это не единственный способ появления уникальных разрешений.

Есть несколько причин, по которым вы можете получить уникальные разрешения на сайте SharePoint.

1. Уникальные разрешения, установленные вручную

Это самый распространенный случай, о котором мы уже говорили. Если вы решите изменить безопасность для данного файла или папки с помощью функции Управление доступом вы устанавливаете уникальные разрешения для этого файла или папки.

Если вы хотите узнать все о ручной настройке разрешений для библиотек, папок и файлов SharePoint, то вот учебник.

2. Уникальные разрешения, устанавливаемые при совместном использовании контента

Когда членам вашей команды нужно поделиться файлами с кем-то за пределами команды, вы не хотите, чтобы они отправляли по электронной почте огромные вложения - это уже 2010 год! Вы хотите, чтобы они делились этими файлами с помощью ссылок общего доступа. В зависимости от того, как вы создаете эти ссылки общего доступа, вы можете предоставлять уникальные разрешения. Это происходит, когда вы используете Конкретные люди вариант.

3. Уникальные разрешения устанавливаются автоматически

Если вы используете сторонние решения, которые затрагивают разрешения SharePoint, например CB Dynamics 365 to SharePoint Permissions Replicator Connecting Software, у вас будут уникальные разрешения, которые автоматически устанавливаются инструментом.

В общем, нет ничего плохого в уникальных разрешениях. Просто нужно помнить о двух вещах:

1. При создании уникальных разрешений вручную, например, при удалении группы Team Members из папки, папка становится независимым объектом со своей собственной системой безопасности и разрешениями. С этого момента любые изменения разрешений на уровне сайта (например, добавление новых членов на сайт) больше не будут применяться к этой папке и потребуют ручной правки. Потенциально это может стать большой работой, а также точкой отказа с точки зрения безопасности.
2. Microsoft ограничивает количество уникальных разрешений. Об этом следует знать, если вы вручную устанавливаете разрешения для многих файлов и папок или если вы устанавливаете разрешения автоматически. Хорошая новость заключается в том, что существуют инструменты для обхода этих ограничений, о которых говорится в статье Решения и обходные пути для лимитов разрешений SharePoint.

Чтобы просмотреть все уникальные разрешения, которыми вы обладаете на уровне сайта, выполните следующие действия:

1. Значок шестеренки > Разрешения сайта

2. Нажмите на Дополнительные настройки разрешений

3. Откроется список разрешений на уровне сайта. Чуть выше списка пользователей и их разрешений найдите сообщение: "Некоторые материалы на этом сайте имеют разрешения, отличные от тех, что вы видите здесь". Нажмите на Показать эти предметы Обратите внимание, что если вы не видите этого сообщения, значит, у вас еще нет уникальных прав.

4. Вы увидите все списки или библиотеки на вашем сайте с уникальными разрешениями. В данном случае у нас есть уникальные разрешения для файлов и папок внутри Документы Нажмите на кнопку просмотр исключений ссылка.

5. Теперь вы увидите все файлы и папки с уникальными разрешениями в этой библиотеке. Чтобы узнать, каковы эти разрешения, щелкните соответствующую кнопку управлять разрешения ссылка.

6. Наконец, вы увидите уникальные разрешения для этого файла или папки.

Чтобы удалить уникальные разрешения и восстановить наследование для файлов или папок, выполните следующие действия:

1. Нажмите Удаление уникальных разрешенийв ленте.

2. Нажмите OK при появлении всплывающего предупреждения "Вы собираетесь унаследовать права от родительской папки или библиотеки документов. Все пользовательские разрешения будут потеряны".

2. Нажмите OK при появлении всплывающего предупреждения "Вы собираетесь унаследовать права от родительской папки или библиотеки документов. Все пользовательские разрешения будут потеряны".

• Избегайте ненужных подсайтов: Каждый подсайт может отличаться от разрешений родительского сайта. Сведите к минимуму создание подсайтов с уникальными разрешениями, если в этом нет необходимости.
• Ограничьте уникальные разрешения на нижних уровнях иерархии: Если необходимы уникальные разрешения, старайтесь применять их на более низких уровнях иерархии (например, в библиотеках, списках или даже элементах), а не на уровне сайта.

• Проводите регулярные обзоры: Периодически просматривайте и проверяйте разрешения в среде SharePoint. Выявляйте и устраняйте ненужные уникальные разрешения.
• Используйте сценарии PowerShell: Используйте сценарии PowerShell для автоматизации определения уникальных разрешений и упрощения процесса аудита.

  Вы можете писать сценарии для:

  • Перечислите все сайты, списки и элементы/библиотеки с уникальными разрешениями (см. пример ниже).
  • Определите всех пользователей и группы, имеющих доступ к определенным ресурсам SharePoint.
  • Отмените наследование и установите пользовательские разрешения в соответствии с политикой управления.
  • Удалите уникальные разрешения, если они не нужны, вернувшись к унаследованным разрешениям, чтобы упростить управление.

Давайте посмотрим на пример. В следующем сценарии PowerShell вы определяете элементы в списке SharePoint с уникальными разрешениями. Сразу после сценария я помещу разбивку кода.

# Пример: Получение списка всех элементов в списке с уникальными разрешениями

$siteURL = "https://yoursite.sharepoint.com/sites/yoursitecollection"

$listName = "Ваш список"


Connect-PnPOnline -Url $siteURL -UseWebLogin

$listItems = Get-PnPListItem -List $listName -PageSize 500


foreach ($item в $listItems) {

    $hasUniquePermissions = Get-PnPListItemPermission -List $listName -ListItemId $item.Id -Includes HasUniqueRoleAssignments


    if ($hasUniquePermissions.HasUniqueRoleAssignments -eq $true) {

        Write-Host "Элемент с идентификатором $($item.Id) имеет уникальные разрешения".

    }

}

Вот что мы сделали в этом сценарии PowerShell:

• Установите переменные:

  • $siteURL: Хранит URL-адрес вашего сайта SharePoint (то, что выделено желтым цветом, должно быть заменено на ваш реальный URL-адрес).
  • $listName: Хранит имя конкретного списка, который вы хотите проверить (замените его на реальное имя списка).
• Подключен к SharePoint:
  • Connect-PnPOnline: Устанавливает соединение с сайтом SharePoint, используя учетные данные для входа в систему.
• Извлеченные элементы списка:
  • Get-PnPListItem: эта команда извлекает максимум 500 элементов из указанного списка ($listName).
• Просмотреть все предметы:
  • foreach ($item in $listItems): В этом цикле выполняется итерация по каждому элементу, полученному из списка.
• Проверено наличие уникальных разрешений:
  • Get-PnPListItemPermission: Эта команда проверяет разрешения, назначенные текущему элементу списка ($item.Id). Параметр -Includes HasUniqueRoleAssignments специально ищет уникальные разрешения.
• Идентифицированные уникальные разрешения:
  • if ($hasUniquePermissions.HasUniqueRoleAssignments -eq $true): Этот условный оператор проверяет, является ли свойство HasUniqueRoleAssignments, возвращенное предыдущей командой, истинным.
  • Если это так, значит, текущему элементу назначены уникальные разрешения.
• Выход:
  • Write-Host "Элемент с ID $($item.Id) имеет уникальные разрешения.": Если элемент имеет уникальные права, эта строка записывает сообщение в консоль с указанием ID элемента.
•  

• Обучение пользователей: Обучите пользователей влиянию уникальных разрешений и научите их делиться доступом и запрашивать его надлежащим образом.
• Публикация политик разрешений: Разработать и распространить четкие политики и процедуры выдачи разрешений.

Понимание уникальных разрешений администратором позволит вам более точно управлять безопасностью SharePoint. Следуя шагам, описанным в этой статье, вы сможете эффективно определять, управлять и даже удалять уникальные разрешения по мере необходимости.
Важно помнить, особенно при использовании инструментов репликации разрешений или автоматизации, что Microsoft устанавливает ограничения на количество уникальных разрешений. Используйте правильные стратегии и инструменты чтобы ваша среда SharePoint оставалась безопасной и управляемой, несмотря на эти ограничения.

У вас есть вопросы по управлению уникальными разрешениями в SharePoint? Сообщите нам об этом в комментариях ниже!