管理网站用户组和权限

设置网站后，需要使用一种方式来指定谁能访问它。对于典型的 Internet 网站，您可能希望每一个进入这个网站的人都能够查看内容，但是不希望他们能够更改内容。而对于一个公司的 Intranet 网站而言，您可能希望由一小部分人控制网站的结构，但是更多的人能够添加新内容或参与用户组日历或调查。对于 extranet 而言，您则可能希望小心地控制哪些人能够查看整个网站。总而言之，对网站的访问权限是通过将用户帐户和某种权限结构相结合的方式来进行控制的，该权限结构控制用户可以执行的特定操作。

Microsoft Windows SharePoint Services 通过以下几种方法提供控制网站访问权限的能力：

• 网站用户组

  网站用户组可以指定哪些用户能够在网站中执行特定操作。例如，某个用户是“讨论参与者”网站用户组的成员，那么他可以向 Windows SharePoint Services 列表添加内容，例如任务列表或文档库。

• 匿名访问控制

  您可以启用匿名访问来允许用户匿名向列表或调查中投稿，或者匿名查看网页。大多数的 Internet 网站允许匿名查看网站，但是在某人想要编辑网站或在购物网站上购买物品时要求身份验证。

  注释  您也可以向“所有验证用户”授予权限，使域内的所有成员不必启用匿名访问即可访问网站。

• 每列表权限

  您可以通过基于每个列表设置唯一权限来精确地管理权限。例如，如果有一个文档库包含下一财年的敏感财务数据，您可以限制对该列表的访问，使得只有适当的用户才能够查看。每列表权限覆盖列表中通用于网站范围的权限。

• 子网站权限

  子网站既可以使用与父网站相同的权限（继承父网站上可用的网站用户组和用户），也可使用独有权限（这样就可以创建自己的用户帐户并将它们添加到网站用户组中）。

• 网站创建权限

  一共有两种权限来控制用户是否能够创建顶级网站、子网站或工作区：使用自助式网站创建和创建子网站。

定义网站用户组

Windows SharePoint Services 使用网站用户组来管理网站范围的安全性。每个用户至少是一个网站用户组的成员。每一个网站用户组都拥有相应的权限。权限是用户能够执行的操作，例如“管理列表”。通过 Windows SharePoint Services，您可以使用下面的默认网站用户组：“来宾”、“读者”、“讨论参与者”、“网站设计者”和“管理员”。此外，Windows SharePoint Services 使您可以编辑分配给网站用户组的权限、创建新的网站用户组或删除未使用的网站用户组。您可以在 Windows SharePoint Services 中使用 HTML 管理页或命令行管理工具来管理网站用户组。请注意，不可以更改分配给“来宾”和“管理员”网站用户组的权限，也不可以直接将用户分配至“来宾”网站用户组。

注释  将用户帐户添加到网站中，而不将其分配至网站用户组是可能的。例如，如果要为网站创建新的用户帐户，您可以创建这个用户帐户，然后在晚些时候再将用户分配给网站用户组。您也可以将成员从所有的网站用户组中删除。但是，没有分配给任何网站用户组的用户没有访问网站的权限。

Windows SharePoint Services 默认包含下列网站用户组：

• “来宾”— 拥有有限的查看网页和特定网页元素的权限。此网站用户组用于给予用户访问特定网页或列表的权限，而不赋予他们查看整个网站的权限。用户不能显式地添加到“来宾”网站用户组中，不像通过每列表权限方式授予访问列表或文档库权限的用户那样，可以自动地加入到“来宾”网站用户组中。“来宾”网站用户组不可以自定义或删除。
• “读者”— 拥有查看项目、查看网页以及使用“自助式网站创建”创建顶级网站的权限。“读者”网站用户组只能阅读网站，不能添加内容。请注意，当读者使用“自助式网站创建”创建网站时，他（她）将成为网站的所有者和新网站的“管理员”网站用户组的成员。这并不影响用户在其他任何网站上的网站用户组成员关系。
• “讨论参与者”— 除拥有“读者”的权限外，还有添加、编辑和删除项目、浏览目录、管理个人视图、添加或删除个人 Web 部件、更新个人 Web 部件以及创建跨网站用户组的权限。“讨论参与者”不能创建新的列表或文档库，但是可以向现有的列表和文档库中添加内容。
• “网站设计者”— 除拥有“讨论参与者”的权限外，还有取消签出、管理列表、添加和自定义网页、定义并应用主题和边框以及应用样式表的权限。“网站设计者”可以修改网站的结构，以及新建列表或文档库。
• “管理员”— 除拥有其他网站用户组的所有权限外，还有管理网站用户组、管理列表权限、创建网站和“工作区”网站、以及查看使用率分析数据的权限。“管理员”网站用户组不能自定义或删除，而且在“管理员”网站用户组中始终必须至少有一个成员。“管理员”网站用户组的成员对网站中的任何项目始终都有权限，或者可以授予自己以权限。

  注释  网站集的所有者和第二所有者都是“管理员”网站用户组的成员，但是他们在 配置数据库中还是作为网站集的不同所有者分别标识的。要更改此所有者标志，只能通过管理中心中的“管理网站集所有者”页，或者使用 Stsadm.exe 执行 siteowner 操作来实现。如果从“管理员”网站用户组中删除网站的所有者，该所有者仍然在数据库中保留所有者标志，而且可以继续执行网站管理任务。

这些网站用户组每个网站进行定义。分配至“管理员”网站用户组的用户仅仅是特定网站的管理员。要执行能够影响到服务器计算机上所有网站和虚拟服务器的设置的任何操作，用户必须是服务器计算机上的管理员（也称作本地机器管理员），或者是 SharePoint 管理员组的成员，而不能是网站的“管理员”网站用户组的成员。

要查看用户权限的完整列表以及在每个网站用户组中默认的权限，请参见用户权限和网站用户组。

自定义网站用户组的权限

您可以新建网站用户组或自定义现有网站用户组（“来宾”和“权限”网站用户组除外，因为他们不能自定义），使其仅包含您需要的权限。例如，如果希望只有网站设计者能够编辑网站中的列表，您可以从“讨论参与者”网站用户组中删除“编辑项目”权限。

某些权限依赖于其他权限。您在编辑项目之前必须能够查看项目。如果某个权限从网站用户组中删除，则任何依赖于该权限的权限也将被删除。例如，删除“查看项目”权限后，“添加项目”、“编辑项目”以及“删除项目”权限也将删除。同样，如果添加了需要其他权限的权限，所需的权限也将添加。所以，如果授予用户“编辑项目”的权限，“查看项目”权限将会自动授予。

注释  有关用户权限中的依赖性的详细信息，请参见用户权限和网站用户组。

安全性和用户权限

用户权限赋予用户对网站执行特定操作的能力，同时限制其他用户执行这些操作。某些权限不能完全限制特定的操作。“应用主题和边框”和“应用样式表”权限使用户可以更改整个网站。但是任何拥有“添加和自定义网页”权限的用户都可以在实际的 HTML 代码中逐页地执行相同的更改。请注意，如果赋予用户“添加和自定义网页”的权限（通过将他们分配至包含此权限的网站用户组中），则同时赋予了他们更改网站中单个网页的主题、边框和样式表的能力。

向网站用户组分配权限时，请确保指定了适当的权限，而不要无心地允许该网站用户组的成员对网站执行额外的操作。相反地，请确保没有无心地限制网站用户组的成员执行他们需要执行的操作。

使用 HTML 管理页管理网站用户组

您可以使用网站的网站管理页管理网站用户组。要管理网站用户组，请单击网站管理页上的“管理网站用户组”来打开“管理网站用户组”页。在此页上可以查看网站用户组列表、更改网站用户组中包含的权限、添加新的网站用户组或删除网站用户组。

查看网站用户组列表

1. 在网站的“网站设置”页的“管理”下，单击“转到网站管理”。
2. 在网站管理页的“用户和权限”下单击“管理网站用户组”。

   网站的可用网站用户组将显示在“管理网站用户组”页中。

您可以在“管理网站用户组”页中为您的网站添加新的网站用户组。

添加新的网站用户组

1. 在“管理网站用户组”页上，单击“添加网站用户组”。
2. 在“网站用户组名称和说明”区域中，输入新网站用户组的名称和说明。
3. 在“权限”区域中，选择您希望包括到新网站用户组中的权限。
4. 单击“创建网站用户组”。

您可以基于现有的网站用户组创建新的网站用户组，还能够将现有网站用户组的成员复制到新的网站用户组中。

复制现有的网站用户组

1. 在“管理网站用户组”页中，单击要复制的网站用户组。
2. 在“‘网站用户组名称’成员”页中，单击“编辑网站用户组权限”。
3. 在“编辑网站用户组‘网站用户组名称’”页中，单击“复制网站用户组”。
4. 在“复制网站用户组‘网站用户组名称’”页中的“网站用户组名称和说明”区域中，输入新网站用户组的名称和说明。
5. 如果希望将现有网站用户组中的用户复制到新网站用户组中，请选中“复制用户‘网站用户组名称’”复选框。
6. 在“权限”区域中，选择希望网站用户组中包含的其他权限，然后清除不希望网站用户组中包含的权限。
7. 单击“创建网站用户组”。

您也可以编辑现有的网站用户组，以更改分配至该网站用户组的权限。

编辑现有的网站用户组

1. 在“管理网站用户组”页中，单击希望更改的网站用户组。
2. 在“‘网站用户组名称’成员”页中，单击“编辑网站用户组权限”。
3. 在“编辑网站用户组‘网站用户组名称’”页中，选择希望包含的权限，并清除不需要的权限。
4. 单击“确定”。

如果发现未使用的网站用户组，可以将其删除。

删除现有的网站用户组

1. 在“管理网站用户组”页中，选中您希望删除的网站用户组旁边的复选框。
2. 单击“删除所选网站用户组”。

使用命令行查看网站用户组

您可以在 Windows SharePoint Services 的命令行中使用 enumroles 操作来查看网站用户组列表。此操作使用 -url 参数，这样就只会列出该 URL 的网站用户组的名称，以使您在为用户分配权限时使用正确的网站用户组名称。例如，要查看位于 http://myserver/site1 的网站的用户组列表，您可以输入下面的命令：

stsadm -o enumroles -url http://myserver/site1 

分配每列表权限

Windows SharePoint Services 提供了以每个列表为基础控制权限的能力。如果在列表中存储了敏感的信息，而您不希望将这些信息暴露给网站中的所有成员，则可以仅为该列表设置权限，以控制哪些用户能够在该列表中查看、编辑或添加项目。您可以将对列表或文档库的权限授予单个用户、用户组或网站用户组。每列表权限适用于基于 Windows SharePoint Services 的网站内的任意列表或文档库（例如，通知、任务、共享文档等）。

列表权限可以由拥有“管理列表权限”权限（默认情况下包括在“管理员”网站用户组中）或对该列表拥有“完全控制”权限的任何用户所更改。默认情况下，网站的所有成员（分配至某一个网站用户组的所有用户，“来宾”网站用户组除外）都能够访问该网站上的所有列表和文档库。默认的列表权限有：

• 查看项目（默认情况下赋予“读者”网站用户组）
• 查看、插入、编辑和删除项目（默认情况下赋予“讨论参与者”网站用户组）
• 查看、插入、编辑和删除项目；更改列表设置（默认情况下赋予“网站设计者”网站用户组）
• 查看、插入、编辑和删除项目；更改列表设置；更改列表安全性

此外，您可以设置高级权限，在高级权限中可以为用户和和网站用户组赋予下列任何权限：

• 管理列表（默认情况下赋予“网站设计者”网站用户组）
• 管理列表权限
• 管理个人视图（默认情况下赋予“讨论参与者”网站用户组）
• 取消签出（仅适应于文档库；默认情况下赋予“网站设计者”网站用户组）
• 添加列表项目、编辑列表项目和删除列表项目（默认情况下赋予“讨论参与者”网站用户组）
• 查看列表项目（默认情况下赋予“读者”网站用户组）

注释  “管理员”网站用户组的成员始终拥有对所有列表和文档库最高级别的权限。您不可以更改“管理员”网站用户组的列表或文档库权限。另外，即使无法直接查看列表的内容，任何拥有“查看列表项目”权限的网站用户组（例如“读者”）还是能够继续查看列表的名称、说明、项目的数量以及上次修改列表的时间。

要控制列表的权限，请转到该列表本身或转到列表的“自定义‘列表名称’”页。

查看列表的权限

1. 转到列表，然后在左侧的窗格中单击“修改设置和栏”。
2. 在“自定义‘列表名称’”页的“常规设置”部分，单击“更改此 < 列表 / 文档库 > 的权限”。

   “更改权限：‘列表名称’”页显示了对列表有访问权限的用户和组，同时显示了每个用户和组所分配的权限级别。

您可以通过修改特定网站用户组的权限来更改该网站用户组内所有成员的列表权限。

为特定网站用户组更改列表权限

1. 转到列表，然后在左侧的窗格中单击“修改设置和栏”。
2. 在“自定义‘列表名称’”页的“常规设置”部分，单击“更改此 < 列表 / 文档库 > 的权限”。
3. 选中您希望更改的网站用户组旁边的复选框。

   例如，单击“网站设计者”旁边的复选框更改“网站设计者”网站用户组中所有成员的权限。

4. 单击“编辑所选用户的权限”。
5. 在“选择权限” 部分，选择允许的权限级别，然后单击“确定”。

您也可以给单个用户或用户组授予权限，而不是给网站用户组的所有成员进行授权。请记住，如果授予用户或用户组对网站中特定列表的权限，如果这些用户或用户组还不是网站的成员，则他们将添加到“来宾”网站用户组中。请注意，除非将确切的网页 URL 给予“来宾”网站用户组的成员，否则他们无法转到网站内的网页。

为特定用户或用户组分配列表权限

1. 转到列表，然后在左侧的窗格中单击“修改设置和栏”。
2. 在“自定义‘列表名称’”页的“常规设置”部分，单击“更改此 < 列表 / 文档库 > 的权限”。
3. 在列表工具栏中，单击“添加用户”。
4. 在“步骤 1：选择用户”部分的“用户”区域中，在文本框中输入网络域名或需要分配权限的用户或用户组的电子邮件地址。
5. 在“步骤 2：选择权限”部分的“权限”下，选择用户或用户组的权限级别，然后单击“下一步”。
6. 在“步骤 3: 确认用户”部分，确认用户和用户组的电子邮件地址、用户名和显示名称准确无误。
7. 如果您希望使用电子邮件通知用户或用户组他们的权限，在“步骤 4: 发送电子邮件”部分，选中“发送以下电子邮件以通知这些用户他们已添加”复选框，然后填写您想要发送的文本。
8. 单击“完成”。

如果希望将列表限制为仅有特定用户集有权限，您必须分别对各个用户授予权限，同时删除其他网站成员的权限。

删除用户、用户组或网站用户组的列表权限

1. 转到列表，然后在左侧的窗格中单击“修改设置和栏”。
2. 在“自定义‘列表名称’”页的“常规设置”部分，单击“更改此 < 列表 / 文档库 > 的权限”。
3. 选中希望删除权限的网站用户组、用户或用户组旁边的复选框，然后单击“删除所选用户”。

如果不再希望使用特定列表的唯一权限，您可以重置权限，以使用网站的常规权限。

重置权限至默认状态

1. 转到列表，然后在左侧的窗格中单击“修改设置和栏”。
2. 在“自定义‘列表名称’”页的“常规设置”部分，单击“更改此 < 列表 / 文档库 > 的权限”。
3. 单击“从父网站继承权限”。
4. 单击“确定”更换至继承权限。

注释  除非已经自定义列表权限，否则“从父网站继承权限”链接不会显示。

控制所有验证用户的权限

如果希望所有 Intranet 验证用户都能够访问网站，您可以将网站配置为允许网络上的所有用户有权使用网站，而不是分别添加每一个用户或用户组。您还可以指定将何种网站用户组（“读者”或“讨论参与者”）指定给所有验证用户。

允许所有验证用户访问顶级网站的权限

1. 在网站上单击“网站设置”。
2. 在“管理”下，单击“转到网站管理”。
3. 在网站管理页中的“用户和权限”下，单击“管理匿名访问”。
4. 在“所有验证用户”部分的“是否允许所有验证用户访问网站”下，选择“是”。
5. 在“将用户分配到以下网站用户组”下，选择网站用户组。
6. 单击“确定”。

控制网站的匿名访问

如果希望用户能够匿名访问您的网站，您可以将网站配置为允许匿名访问。匿名访问用于使用户能在没有验证（标准的 Internet 操作方式）的前提下查看网站、匿名地回答调查，或者甚至匿名地访问列表或文档库。

匿名访问依赖于 Web 服务器上的匿名用户帐户。此帐户由 Web 服务器（Internet 信息服务 (IIS)）创建并维护，而不是通过 Windows SharePoint Services。在 IIS 上，匿名用户帐户通常为 IUSR_ComputerName。在 Windows SharePoint Services中启用匿名访问之后，即意味着已经在网站上启用了该用户帐户。

启用匿名访问

匿名访问在默认情况下是禁用的，而且在网站级别进行控制。如果希望允许匿名访问（例如对某个 Internet 网站，您希望访问者能够在不经身份验证的情况下访问网站），您必须通过给匿名用户分配权限的方法来启用匿名访问。要启用匿名访问，必须首先确保 IIS 已经配置为允许匿名访问，然后才可以在您的网站的网站管理页中启用匿名访问。

在 IIS 中允许对虚拟服务器的匿名访问

1. 单击“开始”，指向“所有程序”，再指向“管理工具”，然后单击“Internet 信息服务 (IIS) 管理器”。
2. 用鼠标右键单击希望启用匿名访问的虚拟服务器，然后单击“属性”。
3. 单击“目录安全性”选项卡。
4. 在“身份验证和访问控制”部分，单击“编辑”。

   将出现“身份验证方法”对话框。

5. 选中“启用匿名访问”复选框。
6. 单击“确定”，关闭“身份验证方法”对话框。
7. 单击“确定”，关闭“属性”对话框。

需要重新启动 IIS 才能使更改生效。在 IIS 中为虚拟服务器启用匿名访问后，就可以为特定的顶级网站启用匿名访问了。

为顶级网站启用匿名访问

1. 在网站上单击“网站设置”。
2. 在“管理”下，单击“转到网站管理”。
3. 在网站管理页中的“用户和权限”下，单击“管理匿名访问”。
4. 在“匿名访问”部分，选择允许的访问级别：
   • 整个网站
   • 列表和库
   • 无
5. 单击“确定”。

每列表权限和匿名访问

您可以通过使用“管理匿名访问”页控制整个网站的匿名访问，或者也可以通过使用每列表权限功能控制针对特定列表的匿名访问。如果对网站禁用了匿名访问，则不能为网站内的特定列表启用匿名访问。

为列表启用匿名访问

1. 确认您的网站是否已经启用了匿名访问。
2. 转到列表，然后在左侧的窗格中单击“修改设置和栏”。
3. 在“自定义‘列表名称’”页的“常规设置”部分，单击“更改此 < 列表 / 文档库 > 的权限”。
4. 在“动作”窗格中，单击“更改匿名访问”。
5. 在“更改匿名访问设置”页中，单击您希望授予匿名用户的权限级别的复选框。

   注释  如果 Internet 信息服务 (IIS) 未配置为允许匿名访问，这些复选框将不可用。

6. 单击“确定”。

为子网站创建唯一权限

创建子网站时，您可以选择是从父网站继承权限，还是为子网站创建唯一权限。因您所作的选择不同，产生的结果也会不同：

• 如果选择唯一权限，将创建默认网站用户组（“来宾”、“读者”、“讨论参与者”和“网站设计者”），但是这些组中没有用户。“管理员”网站用户组也会被创建，子网站的创建者将指定到此网站用户组中。您可以将用户添加到子网站，同时将他们分配至网站用户组中，这样他们就只会在子网站而不是父网站上拥有权限。
• 如果选择继承权限，除每列表权限之外，父网站上的所有安全性都将用于子网站。如果将用户添加到列表中，该用户也将添加到父网站中。

切换到其他权限模型

如果将子网站设置为唯一权限，但却发现其实需要的是与父网站共享权限，您可以切换为继承权限。但是，进行这种切换有一些缺点，例如：

• 从唯一权限切换到继承权限是不可逆的。切换到继承权限时，子网站的用户和网站用户组都将删除，子网站的权限将恢复为父网站的设置。
• 拥有每列表权限设置的项目将会丢失其权限。所有的列表都将恢复到网站范围的权限。

您也可以从使用继承权限切换到使用独有权限。这种变换更为容易。当前权限将在进行切换时复制，而且连接到父网站的权限结构的链接将打破。从此时开始，作出的任何权限更改都将仅影响子网站。从继承权限向唯一权限切换时，每列表权限将完整无损。

注释  在两种权限模型中进行切换时会产生某些奇怪的现象。例如，任何拥有“创建子网站”权限的用户能够创建子网站，在默认情况下，这种权限仅为“管理员”网站用户组所有，但是如果将其分配至另外的网站用户组中，该用户组的成员能够使用独有权限创建子网站，然后成为该新子网站的管理员。如果这样的用户随后选择切换到使用父网站的权限，他将不再是子网站的管理员。

您可以使用网站管理页将子网站切换到其他的权限模型。

使用 HTML 管理页设置唯一权限

1. 在子网站上，单击“网站设置”。
2. 在“管理”下，单击“转到网站管理”。
3. 在网站管理页的“用户和权限”下，单击“管理权限继承”。
4. 在“权限”部分，选择“使用独有权限”。
5. 单击“确定”。

如果您希望恢复到父网站使用的相同的权限，您也可以使用“HTML 管理”页进行更改。

恢复到父网站权限

1. 在子网站上，单击 网站设置。
2. 在“管理”下，单击“转到网站管理”。
3. 在网站管理页的“用户和权限”下，单击“管理权限继承”。
4. 在“权限”部分，选择“使用与父网站相同的权限”。
5. 单击“确定”。
6. 单击“确定”以确认权限的更改。

管理网站创建权限

默认情况下，当“自助式网站创建”启用后，“读者”、“讨论参与者”、“网站设计者”和“管理员”网站用户组的所有成员都将拥有“自助式网站创建”的权限。他们可以使用此权限，通过“创建网站”页在虚拟服务器上创建顶级网站。另一个权限，“创建子网站”权限，默认情况下仅对“管理员”网站用户组的成员可用。此权限允许用户从“创建网页”或“管理网站和工作区”页创建子网站或“工作区”网站。

控制哪些用户拥有“自助式网站创建”权限可以通过在网站用户组中更改权限来实现。通过更改哪些网站用户组拥有“创建子网站”权限，或通过使用“网站设置”中的“配置网站和工作区创建”页，可以控制哪些用户能够创建网站和“工作区”网站。您必须是网站的“管理员”网站用户组的成员才能控制这些权限。

指定哪些用户能够创建子网站

1. 在网站上单击“网站设置”。
2. 在“网站设置”页上，单击“配置网站和工作区创建”。
3. 在“配置网站和工作区创建”页上，选中您希望能够创建子网站的网站用户组旁边的复选框。
4. 单击“确定”。