我们有一个内部部署 Active Directory,它使用 Azure Active Directory Connect 将用户和组对象同步到 Azure AD/Office 365。我们的组织有兴趣开始使用 SharePoint,但我们正在努力找出最佳方法来利用 Active Directory 中现有的安全组作为控制对 SharePoint 站点的访问的一种手段。
以下哪种部署方案可行:
- 创建一个整个组织都可以访问的 SharePoint 站点,站点内有离散的文档库,每个文档库的访问均由 AD 安全组控制。
- 为每个 AD 安全组创建一个独立的 SharePoint 站点,并在站点内继承文档库的访问控制。
或者,有没有更好的方法来实现我们上面提出的目标?
答案1
两者都可行。对于 SharePoint 权限,继承权限更好。它更易于维护和审核。
您的网站集是您的安全边界。最好的选择(在我看来)是拥有一个库继承权限的网站。
接下来是打破库级别的继承。有时,根据场景和提供的内容,这是必需的。我建议尽量避免打破项目级别的继承(文件夹和文档)——那会成为一场噩梦。
对所有这些也持保留态度 - 使用 SharePoint 在线,如果您启用内容共享,您的权限可能会根据谁被允许共享内容(内部和外部)而动态变化。