none
Sharepoint 2013 библиотека документов добавить владельца RRS feed

  • Вопрос

  • Добрый день!

    Развернут Sharepoint 2013, создана библиотека документов. Возникла необходимость переложить обязанности выдачи/контроля прав в библиотеке документов на внутреннюю службу поддержки. Возможно это как-о сделать без добавления сотрудника в "Администраторы семейства сайтов"? Так как нужно предоставить полный доступ только к библиотеке а не к всему сайту.  Необходимо добавить возможность просматривать файлы даже если на них не выданы права(такая возможность есть у администратора семейства сайтов). Возможно ли это сделать как-то программно, с помощью PowerShell или есть какие-то возможности?

    24 марта 2016 г. 7:27

Ответы

  • Добрый день,

    1. Разберитесь хорошо с настройками прав доступа, настройкой ролей доступа.

    2. Заведите отдельную роль с уникальными правами, назначьте ей соответствующие разрешения.

    3. Прекратите наследование прав на данном сайте/библиотеке.

    4. Предоставьте требуемому пользователю права с заведенной ролью.

    Таким образом мы можем назначить отдельные уникальные права, к примеру, редактирование без права удаления и т.д.

    24 марта 2016 г. 7:33
  • На данный момент невозможно внести изменения в каждый элемент, добавив для него новую созданную роль.

    Это не проблема, добавить доступ через PowerShell.

    В каждом отделе  есть пользователи обладающие правом предоставления доступа к элементам (право "Управление иерархией").

    Вот так делать не стоило, нужно было разнести по разным библиотекам/сайтам отделы, проще администрировать, но все зависит от конечной цели, возможно в вашем случае это не подходило.

    Пользователи обладающие правом "Управление иерархии" могут удалить права на элементы библиотеки для нашей новой созданной роли.

    Это уже ошибки архитектора решения, как и пункт выше, потому что был нарушен процесс создания решения.

    Думаю дело было так: сначала сделали решение, допилили под требования, потом задумались про матрицы доступа... и тут началось... Итог: переработка решения сейчас займет намного больше времени и средств, чем его создание.

    Тут что могу посоветовать. Надо пересмотреть весь процесс предоставления прав. Возможно написать(Visual Studio) страницу администрирования прав на отдельный элемент/папку, с помощью которой назначенные администраторы смогут предоставлять доступ к элементам библиотеки, при этом у них не будет возможности удалять права, только предоставлять(весь процесс вы сможете программно контролировать). По умолчанию будут предоставлены права администраторам фермы/коллекции сайтов/вашему назначенному администратору. А текущие права все заменить с помощью PowerShell или из той же страницы администрирования через SSOM.

    Все сказанное относится к моему опыту, может коллеги еще что посоветуют.

    Еще добавлю: при большом количестве элементов вы можете выйти за лимиты количества уникальных прав, что скажется на производительности.

    24 марта 2016 г. 9:27

Все ответы

  • Добрый день,

    1. Разберитесь хорошо с настройками прав доступа, настройкой ролей доступа.

    2. Заведите отдельную роль с уникальными правами, назначьте ей соответствующие разрешения.

    3. Прекратите наследование прав на данном сайте/библиотеке.

    4. Предоставьте требуемому пользователю права с заведенной ролью.

    Таким образом мы можем назначить отдельные уникальные права, к примеру, редактирование без права удаления и т.д.

    24 марта 2016 г. 7:33
  • Проблема в том , что текущая библиотека содержит около 300 000 элементов с глубокой иерархией и многочисленными разрывами наследования разрешений на разных уровнях иерархий. На данный момент невозможно внести изменения в каждый элемент, добавив для него новую созданную роль.

    В библиотеке документов на верхнем уровне созданы папки для каждого отдела. В каждом отделе  есть пользователи обладающие правом предоставления доступа к элементам (право "Управление иерархией"). Пользователи обладающие правом "Управление иерархии" могут удалить права на элементы библиотеки для нашей новой созданной роли.

     
    24 марта 2016 г. 8:37
  • На данный момент невозможно внести изменения в каждый элемент, добавив для него новую созданную роль.

    Это не проблема, добавить доступ через PowerShell.

    В каждом отделе  есть пользователи обладающие правом предоставления доступа к элементам (право "Управление иерархией").

    Вот так делать не стоило, нужно было разнести по разным библиотекам/сайтам отделы, проще администрировать, но все зависит от конечной цели, возможно в вашем случае это не подходило.

    Пользователи обладающие правом "Управление иерархии" могут удалить права на элементы библиотеки для нашей новой созданной роли.

    Это уже ошибки архитектора решения, как и пункт выше, потому что был нарушен процесс создания решения.

    Думаю дело было так: сначала сделали решение, допилили под требования, потом задумались про матрицы доступа... и тут началось... Итог: переработка решения сейчас займет намного больше времени и средств, чем его создание.

    Тут что могу посоветовать. Надо пересмотреть весь процесс предоставления прав. Возможно написать(Visual Studio) страницу администрирования прав на отдельный элемент/папку, с помощью которой назначенные администраторы смогут предоставлять доступ к элементам библиотеки, при этом у них не будет возможности удалять права, только предоставлять(весь процесс вы сможете программно контролировать). По умолчанию будут предоставлены права администраторам фермы/коллекции сайтов/вашему назначенному администратору. А текущие права все заменить с помощью PowerShell или из той же страницы администрирования через SSOM.

    Все сказанное относится к моему опыту, может коллеги еще что посоветуют.

    Еще добавлю: при большом количестве элементов вы можете выйти за лимиты количества уникальных прав, что скажется на производительности.

    24 марта 2016 г. 9:27