Ограничение доступа пользователей к созданию персональных сайтов

Некоторые администраторы хотят ограничить использование персональных сайтов — например, опробовать их применение на ограниченной группе пользователей, или на короткий срок, или по каким-то производственным причинам навсегда исключить некоторые группы пользователей. Как уже было сказано в данной главе, для семейства сайтов, которое содержит хост My Site, необходимо активировать параметр Self-Service Site Creation (Самостоятельное создание сайтов).

Допустим, что это сделано. Тоща наиболее простой способ управления доступом таков-пользователь с полномочиями администратора семейства сайтов на хосте персональных сайтов должен зайти на свой персональный сайт, а затем щелкнуть на ссылке Site Settings (Параметры сайта) и изменить права пользователей. Выполните следующие шаги, чтобы изменить параметры My Site и запретить группе NT Author ity\Authenticated Users доступ к семейству персональных сайтов, а затем добавить отдельные группы, которым разрешено создавать персональные сайты и заходить на них:

1. Находясь в нужной ферме, зайдите на домашнюю страницу портала с учетной записью, у которой имеются полномочия администратора для семейства сайтов, где содержится служба My Site портала. При возникновении сомнений зайдите на страницу персонального сайта данной учетной записи, и если оттуда нет доступа к странице Site Settings, то эта учетная запись не является администратором семейства сайтов.

2. В меню с именем пользователя (в нашем случае это пользователь Userl) выберите пункт My Site (Персональный сайт).

3. Когда загрузится страница персонального сайта, откройте меню Site Actions (Действия сайта) и выберите пункт Site Settings (Параметры сайта) — загрузится знакомая страница управления. Щелкните на ссылке Site Permissions (Права доступа сайта).

4. На этой странице выводятся уровни прав, назначенные различным группам, которые могут различаться в зависимости от конфигурации хоста My Site; в нашем случае здесь перечислены группы Members (Члены), Owners (Владельцы), Visitors (Посетители), NT Autflority\Auttienticated Users (Полномочия ЫТ\Аутентифицированные пользователи) и другие лица и группы.

5. Установите флажок рядом с NT Authority\Authenticated Users, щелкните на кнопке Remove User Permissions (валить права пользователя) на инструментальной ленте, а затем щелкните на кнопке ОК при появлении запроса подтверждения.

6. Щелкните на кнопке Grant Permissions (Назначить права доступа) на инструментальной ленте и добавьте отдельных пользователей или группы AD, которые должны иметь права на создание и использование учетных записей My Site. Этих пользователей и группы можно добавить в существующую группу или назначить права непосредственно. Минимальным требованием являются права на чтение, т.к. активирован параметр Self-Service Site Creation (Самостоятельное создание сайтов), который позволяет создавать собственные семейства сайтов, в которых их создатель должен иметь достаточные права для нормальной работы.

7. Для восстановления доступа к персональным сайтам группу NT Authority\ Authenticated Users можно добавить, щелкнув на ссылке Grant Permissions (Назначить права доступа) и указав право Read (Чтение). Однако обычно рекомендуется вместо этого добавить группу пользователей имя_домена\с!отал.п — это действительная группа безопасности AD, которая считается более безопасной — и назначить ей права на чтение.

Другой способ — создание пользовательской политики для веб-приложения. Это может повлиять на доступ ко всему веб-приложению, поэтому такой способ не следует применять для ограничения доступа к персональным сайтам, если они содержатся в том же веб-приложении, что и семейство сайтов интрасети или портала! Так что здесь предполагается, что для персональных сайтов создано отдельное веб-приложение, и политика пользователей не допустит некоторых пользователей к этому веб-приложению. Для создания политики запрета доступа к выделенному веб-приложению My Site выполните следующие шаги:

1. Зайдите на сайт центра администрирования и щелкните на ссылке Application Management (Управление приложениями), а затем на ссылке Manage Web Applications (Управление веб-приложениями).

2. Выберите веб-приложение My Site и щелкните на кнопке Policy (Политика) на ленточной вкладке Web Applications (Веб-приложения).

3. Щелкните на кнопке Add Users (Добавить пользователей).

4. Оставьте выбранным вариант All Zones (Все зоны) и щелкните на кнопке Next (Далее).

5. В окне Add Users добавьте имя пользователя или группы AD в поле Choose Users (Выбор пользователей), как показано на рис. 23.5, и щелкните на кнопке на кнопке Check Names (Проверить имена), либо найдите нужное имя пользователя или группы с помощью средства Browse (Обзор). В нашем примере группе AD Contractors будет запрещен любой доступ к веб-приложению, содержащему My Site, чтобы ее члены не могли просматривать никакие персональные сайты. Щелкните на кнопке ОК.

6. Теперь войдите в SharePoint с учетной записью члена группы, к которой применяется эта политика, и попытайтесь зайти на персональный сайт. В нашем примере пользователь Contractorl из группы Contractors попытался войти на свой персональный сайт и получил сообщение “Access Denied" (Доступ запрещен).

СОВЕТ

Политики веб-приложения “сильнее" политик семейства сайтов, и политики запрета для ве&приложения перекрывают политики разрешения для веб-приложения. Например, в предыдущем упражнении была создана политика для ве&приложения My Site Host, которое запрещает любой доступ членам группы Contractors. Если администратор семейства сайтов даст разрешения доступа к веб-приложению My Site Host непосредственно каким-то членам группы Contractors, то любой член группы все равно будет получать Сообщение “Access Denied" (Доступ запрещен). Это важно знать при устранении неполадок, связанных с подобными ошибками.

WBWWWP1WI'IPHHH HHffHWH -

Насть IV