承認、ユーザー、およびグループ
最終更新日: 2010年4月14日
適用対象: SharePoint Foundation 2010
Microsoft SharePoint Foundation では、Web サイト、リスト、フォルダー、およびリスト アイテムへのアクセスは、ロール ベースのメンバーシップ システムによって制御されます。このシステムでは、ユーザーにロールを割り当て、それによって SharePoint Foundation オブジェクトへのアクセスを承認します。
ユーザーにオブジェクトへのアクセス権を与えるには、既にそのオブジェクトのアクセス許可を与えられているグループにそのユーザーを追加するか、ロールの割り当てオブジェクトを作成して、ユーザーにロールの割り当てを設定し、任意でそのロールの割り当てを基本的なアクセス許可を持つ適切なロール定義にバインドしてから、その割り当てを目的のリスト アイテム、フォルダー、リスト、または Web サイトに対するロールの割り当てのコレクションに追加します。ユーザーをロールに割り当てても、そのロールの割り当てをロール定義にバインドしていない場合、ユーザーにはアクセス許可が与えられません。
SharePoint Foundation では以下の方法を提供し、そのオブジェクトへのアクセスを制御しています。
オブジェクトは、親 Web サイト、リスト、またはフォルダーと同じアクセス許可を使用するか (親オブジェクトで有効なロールとユーザーの両方を継承)、固有のアクセス許可を使用することができます。
各サイト、リスト、フォルダー、およびアイテムはロールに割り当てられたコレクションを提供するので、オブジェクトへのユーザーのアクセスを詳細に管理できます。
グループはユーザーで構成され、ロールに割り当てられている場合と、割り当てられていない場合があります。SharePoint Foundation には、既定で以下の 3 つのグループが含まれています。
owners (管理者)
members (投稿者)
visitors (閲覧者)
ユーザー インターフェイスから固有のアクセス許可を持つ Web サイトを作成するときは、サイトの準備の一環として、これらのグループにユーザーを割り当てることのできるページが表示されます。
匿名アクセスを使用すると、ユーザーはリストおよびアンケートに匿名で投稿したり、ページを匿名で表示することができます。"すべての認証されたユーザー" にアクセス権を付与すると、匿名アクセスを有効にしなくても、ドメインのすべてのメンバが Web サイトにアクセスできます。
サイト作成権限 (CreateSSCSite および ManageSubwebs) は、ユーザーが最上位レベルの Web サイト、サブサイト、またはワークスペースを作成できるかどうかを制御します。
ユーザーは、ロールが割り当てられたグループを介して間接的に、またはロールの割り当てによって直接的に SharePoint オブジェクトのメンバーになります。また、グループまたはロールに追加された Microsoft Windows NT ドメイン グループのメンバーにもなれます。ロール定義は、Microsoft.SharePoint.SPBasePermissions 列挙の値に従って、ユーザーまたはグループに 1 つの権限または権限セットを割り当てます。各ユーザーまたはグループは、それぞれ固有のメンバー ID を持ちます。
addrole.aspx ファイルおよび editrole.aspx ファイルの機能を使用するのとは別に、オブジェクト モデルを使用して、ロールの割り当てと定義を作成したり変更したりすることができます。ユーザー インターフェイスで表示されるこれらのページと違って、オブジェクト モデルは、権限の依存関係を強要しないので、権限を自由に組み合わせてロール定義を作成できます。ただし、オブジェクト モデルを使用してロール定義やアクセス許可をカスタマイズするときは注意が必要です。ロール定義に対する考慮が不十分であったり、権限の割り当てが不適切な場合、ユーザーが不愉快な思いをする可能性があります。
SharePoint Foundation 権限の詳細については、「SPBasePermissions」を参照してください。
セキュリティ ポリシー
セキュリティ ポリシーは、Web アプリケーション (仮想サーバー) 内のすべてのサイト コレクションで一貫したセキュリティを実施する手段です。ポリシーを使用して、ロール、つまり権限のコレクションを、個々の SharePoint Foundation ユーザーと、Windows 認証またはプラグ可能な認証システムを使用しているドメイン グループ (SharePoint グループを除く) に割り当てることができます。ポリシーの個々のエントリは、Web アプリケーションのユーザーまたはグループに権限を指定します。
ポリシーは、論理 Web アプリケーション レベルまたはゾーン レベルで設定されます。たとえば、2 つの Web アプリケーションのコンテンツが同じでも、ユーザーは https://Server と http://Server.extranet.microsoft.com に異なるポリシーを持つことができます。
権限は、ポリシーによって付与したり、取り消したりすることができます。権限を付与すると、オブジェクトのローカルなアクセス許可とは関係なく、ユーザーまたはグループに Web アプリケーション内のすべての保護されたオブジェクトに対する権限が与えられます。権限の取り消しは権限の付与よりも優先度が高く、権限を取り消すと、Web アプリケーション内のすべての保護されたオブジェクトに対するユーザーまたはグループの権限がブロックされます。あるユーザーの権限をすべて取り消すと、そのユーザーは、明示的なアクセス許可を持っている特定のコンテンツを含め、すべてのコンテンツへのアクセスを阻止されます。ポリシーは、サイト レベルのアクセス許可を無効にします。
ポリシー ロールでは、ユーザーとグループは、セキュリティ識別子 (SID) と、ログイン名またはユーザー名の両方を使用して識別されます。ポリシー ロールの適用方法は、Web サイト、リスト、フォルダー、またはドキュメントに対する許可の管理方法と似ており、ユーザーまたはグループを追加し、それに 1 つ以上のロール定義を割り当てます。Web アプリケーションごとに固有のポリシー ロールがあります。ポリシー ロールとアクセス許可の管理のもう 1 つの相違点は、サーバー全体の管理者がユーザーの Web アプリケーション全体への権限を取り消すことができることです。
注意
サーバーの全体管理のポリシー ロールは、サイト コレクションのロール定義と異なります。