Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Entendiendo los permisos de SharePoint

Entendiendo los permisos de SharePoint

Dec 26, 2018

El propósito de los permisos de SharePoint

Los permisos de SharePoint controlan el acceso que tienen los empleados, socios, proveedores externos y otros al contenido de SharePoint. Puedes elegir quién puede leer información específica y quién no. Los permisos de SharePoint se extienden no solo a la visualización de datos en listas y bibliotecas de documentos, sino también a los resultados de búsqueda e incluso a la interfaz de usuario. Por ejemplo, si no tienes permisos para una lista de documentos específica, entonces en los resultados de una búsqueda, no verás ningún documento de esa lista. Este modelo de permisos ayuda a proteger datos sensibles de personas que no deberían verlos o distribuirlos.

Contenido relacionado seleccionado

Roles de Administración de SharePoint

La siguiente figura muestra qué componentes del sistema puede gestionar cada uno de los principales roles de administrador de SharePoint:

Image

Aquí están los componentes del servidor SharePoint y los roles de administración correspondientes:

Roles de servidor y granja

  • Administradores de Windows — Cuando SharePoint está instalado en un Servidor Windows, el grupo de Administradores locales de ese servidor se añade automáticamente al grupo de Administradores de Granja de SharePoint. Como resultado, estos administradores locales (Administradores de Windows) tienen permisos de control total sobre la granja de SharePoint — pueden instalar aplicaciones y software y gestionar sitios web de Servicios de Información de Internet (IIS) y servicios de Windows. Pero, por defecto, no tienen acceso al contenido del sitio.
  • Administradores de granja — Los miembros del grupo de Administradores de granja tienen permisos de control total para todas las granjas de SharePoint; es decir, pueden realizar todas las tareas administrativas en la Administración Central de SharePoint para la granja de servidores. Por ejemplo, pueden asignar administradores para gestionar aplicaciones de servicio, características y colecciones de sitios. Este grupo no tiene acceso a sitios individuales, colecciones de sitios y su contenido, pero un Administrador de granja puede tomar fácilmente la propiedad de cualquier colección de sitios y obtener acceso completo a su contenido simplemente agregándose a sí mismo al grupo de Administradores de la colección de sitios en la página de Gestión de Aplicaciones.

Contenido relacionado seleccionado

Roles de servicios compartidos

  • Administradores de aplicaciones de servicio — Estos administradores son seleccionados por el administrador de la granja. Pueden configurar ajustes para una aplicación de servicio específica en una granja. Sin embargo, no pueden crear aplicaciones de servicio, acceder a otras aplicaciones de servicio en la granja, ni realizar operaciones a nivel de granja, como cambios de topología. Por ejemplo, el administrador de la aplicación de servicio para una aplicación de búsqueda en una granja solo puede configurar ajustes para esa aplicación.
  • Administradores de características — Un administrador de características está asociado con una o más características específicas de una aplicación de servicio. Estos administradores pueden gestionar un subconjunto de la configuración de la aplicación de servicio, pero no la aplicación de servicio completa. Por ejemplo, un administrador de características podría gestionar la característica de Audiencias de la aplicación de servicio de Perfil de Usuario.

Contenido relacionado seleccionado

Roles de aplicaciones web

El nivel de la aplicación web no tiene un grupo de administradores único, pero los administradores de granja tienen control sobre las aplicaciones web dentro de su alcance. Los miembros del grupo de Farm Administrators y los miembros del grupo de Administrators en el servidor local pueden definir una política para otorgar permisos a usuarios individuales en el nivel de la aplicación web. Las siguientes políticas están disponibles:

  • Políticas anónimas — Define las restricciones de acceso que se aplicarán a los usuarios que no están autorizados en el dominio: sin política, denegar el acceso de escritura o denegar todo acceso.
  • Políticas de permisos — Define un conjunto de permisos que pueden otorgarse a usuarios o grupos de SharePoint para un sitio, biblioteca, lista, carpeta, elemento, documento u otra entidad. Puede utilizar las políticas de permisos predeterminadas o crear unas personalizadas.
  • Políticas de usuario — Un conjunto de permisos de alto nivel que se aplica a una aplicación web y es heredado por todas las colecciones de sitios. Utilizando la política de usuario, puedes otorgar a cualquier usuario o grupo de AD permisos únicos para una aplicación web particular y todas las colecciones de sitios dentro de ella.
  • Permisos de usuario — Define qué permisos avanzados pueden utilizar los administradores de colecciones de sitios para crear permisos únicos para una cierta aplicación web. (No sé por qué Microsoft no lo llamó también “política”, ya que funciona como una política.)

Hablaré más sobre estas políticas más adelante, en la discusión sobre la herencia.

Roles de colección de sitios

  • Administradores de la colección de sitios — Estos administradores tienen el nivel de permiso de Control total en todos los sitios de una colección de sitios. Tienen acceso de Control total a todo el contenido del sitio en esa colección de sitios, incluso si no tienen permisos explícitos en ese sitio. Pueden auditar todo el contenido del sitio y recibir cualquier mensaje administrativo. Se puede especificar un administrador principal y uno secundario de la colección de sitios durante la creación de una colección de sitios.
  • Propietarios del sitio — Por defecto, los miembros del grupo de Propietarios para un sitio tienen el nivel de permiso de Control Total en ese sitio. Pueden realizar tareas administrativas en el sitio, y en cualquier lista o biblioteca dentro del sitio. Reciben notificaciones por correo electrónico para eventos, como la eliminación automática pendiente de sitios inactivos y solicitudes de acceso al sitio.

Contenido relacionado seleccionado

Tipos de permisos predeterminados de SharePoint

Por defecto, SharePoint define los siguientes tipos de permisos de usuario:

  • Acceso completo — El usuario puede gestionar la configuración del sitio, crear sub sitios y añadir usuarios a grupos.
  • Diseño — El usuario puede ver, agregar, actualizar y eliminar aprobaciones y personalizaciones, así como crear y editar nuevas bibliotecas de documentos y listas en el sitio, pero no puede gestionar la configuración del sitio completo.
  • Contribuir — El usuario puede ver, añadir, actualizar y eliminar elementos de listas y documentos. Estos derechos son los más comunes para los usuarios regulares de SharePoint, permitiéndoles gestionar documentos e información en un sitio.
  • Leer — El usuario puede ver elementos de la lista, páginas y descargar documentos.
  • Editar — El usuario puede gestionar listas y elementos de listas y otorgar permisos.
  • Solo ver — El usuario puede ver páginas, elementos de listas y documentos. Los documentos solo se pueden ver en el navegador; no se pueden descargar de un servidor SharePoint a una computadora local.
  • Acceso Limitado — El usuario puede acceder a recursos compartidos y activos específicos. El Acceso Limitado está diseñado para combinarse con permisos detallados (no heredados, permisos únicos) para permitir a los usuarios acceder a una lista específica, biblioteca de documentos, carpeta, elemento de lista o documento sin darles acceso a todo el sitio. El permiso de Acceso Limitado no se puede editar ni eliminar.

SharePoint Groups

Existen dos maneras de asignar permisos a un sitio de SharePoint a través de grupos: La primera es agregando
un usuario a un grupo de SharePoint, y la segunda es otorgando acceso directo al sitio a un grupo de AD security o colocándolo en un grupo de SharePoint que tiene permisos en el sitio.

Los grupos de SharePoint le permiten gestionar conjuntos de usuarios en lugar de usuarios individuales. Un grupo puede incluir usuarios individuales creados en SharePoint, así como usuarios o grupos de cualquier sistema de identity management o de servicios de dominio, como Active Directory Domain Services (AD DS), directorios basados en LDAPv3, bases de datos específicas de aplicaciones y modelos de identidad como Windows Live ID.

Los grupos de SharePoint definidos por el usuario no tienen derechos de acceso específicos al sitio. Puede organizar sus usuarios en cualquier número de grupos, dependiendo del tamaño y la complejidad de su organización o sitio. Una cosa importante a mencionar es que los grupos de SharePoint no pueden anidarse.

Sin embargo, también existen grupos predefinidos de SharePoint que otorgan a los miembros permisos de acceso específicos. Un conjunto de grupos predefinidos depende de la plantilla del sitio que estás utilizando. Aquí están los grupos predefinidos para un sitio de equipo y sus permisos predeterminados para el sitio de SharePoint:

  • VisitantesLeer permisos
  • MiembrosEditar permisos
  • PropietariosControl total permisos
  • VisualizadoresPermiso de solo visualización

Y aquí están los grupos predefinidos para la plantilla del sitio de publicación y sus permisos predeterminados:

  • Lectores Restringidos — Pueden ver páginas y documentos, pero no pueden ver versiones históricas ni información sobre permisos.
  • Style Resource Readers — Tienen permiso de Read para la Galería de la Página Maestra y permiso de Restricted Read para la Biblioteca de Estilos. Por defecto, todos los usuarios autenticados son miembros de este grupo.
  • Diseñadores — Pueden ver, agregar, actualizar, eliminar, aprobar y personalizar el diseño de las páginas del sitio utilizando un navegador o SharePoint Designer.
  • Aprobadores — Pueden editar y aprobar páginas, elementos de listas y documentos.
  • Gerentes de jerarquía — Pueden crear sitios, listas, elementos de listas y documentos.

Tenga en cuenta que todos estos grupos y sus permisos pueden ser cambiados.

La mejor práctica es agregar a usuarios regulares que solo necesitan leer información al grupo de Visitors y agregar a usuarios que necesitan crear o editar documentos al grupo de Members. Esto se debe a que los usuarios en el grupo de Members pueden agregar, cambiar o eliminar elementos o documentos, pero no pueden cambiar la estructura del sitio, configuraciones o apariencia. De manera similar, los usuarios en el grupo de Visitors pueden ver páginas, documentos y elementos pero no pueden realizar operaciones de agregar o eliminar.

Asignación de permisos en objetos

Se pueden establecer permisos en una variedad de elementos de SharePoint:

  • SharePoint farm — Permisos administrativos
  • Aplicación web — Política anónima, política de usuario, permisos de usuario
  • Servicios Compartidos — Permisos administrativos de aplicaciones de servicio y características
  • Colección de sitios — Permisos administrativos de colección de sitios, permisos
  • Subsitio — Permisos
  • Biblioteca de documentos o lista — Permisos de compartición
  • Carpeta en la biblioteca de documentos o lista — Permisos de compartición
  • Archivo separado — Permisos de compartición

Mejores prácticas para la asignación de permisos

Tienes la oportunidad de regular los derechos de acceso en varios niveles. Si es necesario, puedes crear excepciones (permisos únicos) al establecer permisos en niveles inferiores de la jerarquía, y también puedes detener la herencia de permisos. Por ejemplo, puedes crear permisos únicos para una biblioteca de documentos específica y evitar que herede los permisos de su elemento superior.

Como mejor práctica, deberías diseñar la estructura de permisos de nivel superior con el mayor detalle posible y minimizar el número de excepciones. Cuantos más permisos únicos crees en diferentes niveles, más difícil será auditar y controlar los derechos de acceso. Ten en cuenta que existen herramientas de terceros que simplifican la auditoría y el monitoreo de permisos. Por ejemplo, Netwrix Auditor for SharePoint puede informar sobre el estado actual de tus permisos de SharePoint, así como el estado en un punto anterior en el tiempo, y alertarte cuando alguien cambie los permisos.

Contenido relacionado seleccionado

Herencia de permisos

De forma predeterminada, los subsitios, bibliotecas y listas heredan los permisos del sitio en el que fueron creados (el sitio padre). Además, están las políticas definidas a nivel de la aplicación web que describí anteriormente. Todas las colecciones de sitios heredan permisos de la política de usuario y política anónima de la aplicación web, que otorga o deniega acceso a las cuentas de usuario. Las aplicaciones web también heredan permisos de usuario, que definen qué niveles de permiso se pueden utilizar para crear permisos únicos para las colecciones de sitios. El nivel de la aplicación web también tiene una política de permisos, que define los tipos de permisos de alto nivel para la política de usuario.

Si rompe la herencia de permisos, el subsitio, biblioteca de documentos, sitio web o archivo podrá formar sus propios permisos únicos, pero, como se mencionó anteriormente, solo estarán disponibles los niveles de permisos regulados por los permisos de usuario de la aplicación web.

Por lo tanto, tenemos dos tipos de herencia, que están vinculados a las políticas configuradas en el nivel de la aplicación web:

  1. Política de usuario, que se hereda por todas las colecciones de sitios de niveles inferiores.
  2. Permisos de usuario, los cuales son heredados por todas las colecciones de sitios con permisos avanzados; esta herencia no puede romperse en niveles inferiores.

Cualquier cambio de permisos en el sitio de nivel superior (lista de elementos, biblioteca de documentos) no afectará a los elementos secundarios con permisos únicos, y los permisos únicos siempre prevalecerán cuando entren en conflicto con los de nivel superior.

Mejores prácticas para la herencia de permisos

Es mucho más fácil gestionar los permisos cuando existe una jerarquía clara de permisos que se heredan del elemento superior. Se vuelve más complicado cuando algunas listas en un sitio tienen permisos detallados (únicos) aplicados, y cuando algunos sitios tienen subsitios con permisos únicos y otros con permisos heredados. Por lo tanto, es una buena práctica, en la medida de lo posible, organizar sitios y subsitios, listas y bibliotecas para que puedan heredar la mayoría de los permisos del elemento superior.

Aquí tiene una estructura de permisos de SharePoint enredada simplificada para usted:

Image

Permisos avanzados

Los grupos predeterminados y los niveles de permisos en SharePoint ofrecen un marco general para los permisos que es útil para muchos tipos de organizaciones. Sin embargo, es posible que no se correspondan exactamente con la forma en que los usuarios están organizados o las diversas tareas que realizan en sus sitios. Si los niveles de permisos predeterminados no se adaptan a su organización, puede crear grupos personalizados, cambiar los permisos incluidos en niveles de permisos específicos o crear niveles de permisos personalizados.

Permisos de sitio de SharePoint

Estos permisos afectan la configuración del sitio y personal, la interfaz web, el acceso y la configuración del sitio:

  • Gestionar permisos — Crear y cambiar niveles de permisos en un subsitio y asignar permisos a usuarios y grupos.
  • Ver datos de análisis web — Ver informes de uso del sitio
  • Crear subsitios — Crear subsitios como sitios de equipo, sitios de publicación y sitios de noticias
  • Gestionar sitio web — Realizar todas las acciones de administración y gestión de contenido para el sitio
  • Agregar y personalizar páginas — Agregar, cambiar y eliminar páginas HTML
  • Aplicar temas y bordes — Aplicar un tema o bordes al sitio
  • Aplicar hojas de estilo — Aplicar una hoja de estilo (.CSS file) al sitio
  • Crear grupos — Crear un grupo de usuarios que se pueda utilizar en cualquier lugar dentro de la colección de sitios
  • Explorar directorios — Enumerar archivos y carpetas en un sitio usando SharePoint
  • Utilice la creación de sitios de autoservicio — Cree un sitio utilizando la creación de sitios de autoservicio
  • Ver páginas — Ver páginas en un sitio
  • Enumerar permisos —Enumerar permisos en un sitio, lista, carpeta, documento o elemento de lista
  • Explorar información del usuario — Ver información sobre los usuarios del sitio
  • Gestionar Alertas — Gestionar alertas para todos los usuarios del sitio
  • Utilizar interfaces remotas — Utilizar interfaces SOAP, Web DAV, Client Object Model o SharePoint Designer para acceder al sitio
  • Utilice las funciones de integración de cliente — Utilice funciones que inician aplicaciones de cliente en el sitio (los usuarios sin este permiso deben descargar los documentos localmente, trabajar con ellos y luego subir los documentos revisados)
  • Abrir — Abra un sitio, lista o carpeta y acceda a los elementos dentro de ese contenedor
  • Editar información personal del usuario — Cambiar la propia información del usuario, como actualizar un número de teléfono o título o añadir una foto

Permisos de lista de SharePoint

Estos permisos afectan la gestión de listas, carpetas y documentos y la visualización de elementos y páginas de aplicaciones:

  • Administrar listas — Crear y eliminar listas, columnas de listas y vistas públicas de una lista
  • Sobrescribir comportamientos de lista — Descartar o registrar un documento que está extraído por otro usuario
  • Agregar elementos — Agregue elementos a listas y documentos a bibliotecas de documentos
  • Editar elementos — Edite elementos en listas y documentos en bibliotecas de documentos, y personalice páginas de componentes web en bibliotecas de documentos
  • Eliminar elementos — Eliminar elementos de listas y documentos de bibliotecas de documentos
  • Ver elementos — Ver elementos en listas y documentos en bibliotecas de documentos
  • Aprobar elementos — Aprobar o rechazar una nueva versión de una lista, elemento o documento
  • Elementos abiertos — Abra documentos utilizando manejadores de archivos del lado del servidor (los documentos no se descargarán al ordenador local)
  • Ver Versiones — Ver versiones anteriores de un elemento de lista o un documento
  • Eliminar Versiones — Eliminar versiones anteriores de un elemento de lista o un documento
  • Crear Alertas — Cree alertas para rastrear cambios en listas, bibliotecas, carpetas, archivos o elementos de lista
  • Ver páginas de aplicación — Ver formularios, vistas y páginas de aplicación

SharePoint Permisos Personales

Estos permisos afectan la configuración y gestión de páginas personales:

  • Gestionar vistas personales — Crear, cambiar y eliminar vistas personales de listas
  • Agregar/Quitar Web Parts personales — Agregar o quitar Web Parts personales
  • Actualizar Personal Web Parts — Añadir o editar información personalizada en personal web parts.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Jeff Melnick

Director de Ingeniería de Sistemas

Jeff es un ex Director de Ingeniería de Soluciones Globales en Netwrix. Es un bloguero, orador y presentador de Netwrix desde hace mucho tiempo. En el blog de Netwrix, Jeff comparte lifehacks, consejos y trucos que pueden mejorar drásticamente tu experiencia en la administración de sistemas.

Aprende más sobre este tema

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad