La seguridad es esencial para las tareas de administración de documentos y las búsquedas. Al administrar documentos, es importante restringir el acceso a la información confidencial. En los escenarios de aprobación de documentos, la consulta de documentos debe estar restringida al personal responsable de su edición o aprobación hasta que los documentos estén listos para su publicación. En los escenarios de búsqueda, es importante tener acceso a la configuración de seguridad del contenido rastreado para evitar la presentación de los resultados de la búsqueda a los usuarios no autorizados.

Microsoft^® SharePoint^™ Portal Server 2001 utiliza la autenticación cifrada estándar basada en Microsoft Windows^® para garantizar la seguridad de las contraseñas. El control del acceso a los documentos se realiza también mediante un conjunto fijo de tres funciones. Al asignar una función específica a un usuario, SharePoint Portal Server le otorga los permisos necesarios para realizar en el área de trabajo tareas concretas como proteger, desproteger, publicar y aprobar documentos. No puede modificar los permisos de acceso asignados a una función. Debe configurar cada carpeta del área de trabajo de forma que incluya a los usuarios o grupos asignados a determinadas funciones.

SharePoint Portal Server reconoce las directivas de seguridad asignadas a los servidores, recursos compartidos de archivos y bases de datos de una organización. Por ejemplo, al rastrear los documentos almacenados en los servidores de la organización, SharePoint Portal Server aplica las directivas de seguridad a cada documento al mostrarlo en las listas de resultados de búsqueda.

Mediante un conjunto fijo de tres funciones, SharePoint Portal Server proporciona un método flexible y seguro para controlar el acceso a los documentos del área de trabajo. Además, puede impedir que algunos usuarios tengan acceso a un documento concreto. Por cada carpeta, puede seleccionar usuarios o grupos locales, o de dominios de Microsoft Windows NT^® o Microsoft Windows 2000 para asignarlos a las funciones. Puede definir estos usuarios y grupos localmente en el servidor o en el dominio al que este pertenece.

SharePoint Portal Server utiliza funciones para agrupar usuarios con los mismos permisos bajo un mismo nombre, de forma similar a los grupos locales de Windows 2000. SharePoint Portal Server almacena los miembros de la función en carpetas individuales, en vez de hacerlo en un servicio de directorio o en la base de datos de seguridad del servidor. Cada carpeta puede contener un juego de usuarios y grupos distinto para cada función. No puede personalizar los permisos asignados a las funciones.

En el área de trabajo sólo puede crear carpetas bajo las carpetas Documentos y Contenido del sitio de escritorio digital. Al crear una subcarpeta, esta hereda de forma predeterminada la configuración de seguridad de la carpeta principal a la que pertenece. Si no desea utilizar la misma configuración de seguridad, puede personalizar la configuración de las funciones para cada subcarpeta. Si cambia la configuración de una carpeta principal, puede especificar que todas sus subcarpetas utilicen la nueva configuración. En ese caso, anulará las modificaciones realizadas en la configuración de funciones de las subcarpetas.

Sólo se hereda la configuración de las funciones. Cuando se crea una subcarpeta, SharePoint Portal Server copia en ella los aprobadores y la ruta de aprobación. Sin embargo, si modifica los aprobadores o la ruta de aprobación en la carpeta principal, la subcarpeta no hereda la nueva configuración. Para obtener más información sobre aprobadores y rutas de aprobación, consulte "Aprobar documentos" en la Ayuda del usuario. Si ha instalado los componentes del cliente, al explorar el área de trabajo puede tener acceso a la Ayuda del usuario desde el menú Ayuda del Explorador de Windows.

Al asignar una función a un usuario, este obtiene permiso para realizar tareas concretas. Por ejemplo, la función de autor permite agregar nuevos documentos a una carpeta, y editar, leer y eliminar los documentos que contiene.

Los permisos de una función no se pueden modificar. Aunque puede configurar funciones en el nodo del área de trabajo, que se encuentra en el nivel superior de esta, normalmente se configuran en las carpetas del área de trabajo. Además, puede impedir que algunos usuarios tengan acceso a un documento concreto.

SharePoint Portal Server incluye las funciones siguientes:

Lector

Autor

Coordinador

SharePoint Portal Server sólo permite utilizar la opción de seguridad Negar acceso en documentos. Esta configuración prevalece sobre todos los permisos de acceso excepto los del grupo local Administradores. Puede denegar el acceso a un documento a un usuario o a un grupo determinado si no desea que ese usuario o ese grupo lo vean. La anulación del acceso a un documento no impide que el grupo Administradores pueda verlo.

Además, el siguiente conjunto de carpetas admite funciones de administración del área de trabajo: las carpetas Administración, Sitio de escritorio digital, Sistema, Central y Categorías, y sus correspondientes subcarpetas. Para administrar estas carpetas es necesario ser coordinador del nodo del área de trabajo. No puede configurar directamente la seguridad de estas carpetas que, normalmente, no son visibles para los usuarios del área de trabajo.

El grupo local Administradores de Windows 2000 tiene permiso para leer documentos y configurar la seguridad de todas las carpetas y documentos del área de trabajo. La posibilidad de configurar la seguridad proporciona un medio de acceso a las carpetas y documentos en el caso de que, accidentalmente o de forma intencionada, se impida el acceso a carpetas y documentos al personal autorizado. El grupo local Administradores puede restaurar permisos para carpetas individuales. La anulación del acceso a un documento no impide que el grupo Administradores pueda verlo.

Los usuarios pueden tener distintas funciones en carpetas diferentes de una misma área de trabajo. Por ejemplo, un usuario podría tener asignada la función de lector en una carpeta y la de autor en otra.

Puede otorgar acceso a las carpetas del área de trabajo a grupos de usuarios como si se tratase de usuarios individuales, asignando el grupo a una función, por ejemplo de lector. Si asigna un usuario individual a más de una función en una carpeta, prevalece la combinación de derechos más permisiva. No obstante, puede denegar a un usuario o a un grupo el acceso a un documento concreto para anular los demás permisos asociados a sus funciones. Puesto que se puede denegar el acceso a determinados documentos, es posible tener acceso a una carpeta pero no a ciertos documentos de la misma.

Las funciones son un modo práctico de agrupar a los usuarios por niveles de seguridad. La principal ventaja de las funciones es que SharePoint Portal Server las define con independencia de la cuenta de dominio de Windows o la cuenta local. Puede aplicar funciones a la carpeta o al nodo del área de trabajo. A diferencia de la seguridad de Windows, la seguridad basada en funciones puede ser administrada por un coordinador.

Aunque en Windows 2000 sólo el administrador puede configurar la seguridad, en SharePoint Portal Server, además de a los administradores, se permite configurar la seguridad del contenido a los usuarios que tienen asignada la función de coordinador. Puede asignar a los usuarios la función de coordinador de toda el área de trabajo o de carpetas específicas.

El administrador del servidor puede asignar usuarios a las funciones del nodo del área de trabajo desde la Consola de administración de SharePoint Portal Server en Microsoft Management Console (MMC). Además, SharePoint Portal Server asigna automáticamente la función de coordinador del nodo del área de trabajo y de las carpetas al administrador que crea el área de trabajo.

El grupo local Administradores de Windows 2000 tiene permiso para leer documentos y configurar la seguridad de todas las carpetas y documentos del área de trabajo. La anulación del acceso a un documento no impide que el grupo Administradores pueda verlo.

Si tiene permisos de coordinador del nodo del área de trabajo de SharePoint Portal Server, puede asignar funciones a los usuarios en el nodo y en las carpetas individuales que han heredado la configuración de seguridad de este.

El contacto del área de trabajo es un usuario de contacto centralizado para todos los temas relacionados con el área de trabajo. El contacto puede ser un usuario individual o un grupo. Al crear el área de trabajo, hay que designar su nombre y su dirección de correo electrónico. La dirección de correo electrónico puede ser la de un usuario individual o la de un grupo. Frecuentemente, el contacto del área de trabajo es el coordinador del nodo del área de trabajo, aunque no es obligatorio que el contacto tenga permisos de coordinador.

El administrador encargado de crear el área de trabajo debe asignar a los usuarios correspondientes la función de coordinador en cada nodo del área de trabajo utilizando la Consola de administración de SharePoint Portal Server.

El coordinador de una carpeta específica puede asignar usuarios a las funciones de la carpeta del área de trabajo que coordina.

El administrador de un servidor puede administrar las funciones del nodo del área de trabajo en la Consola de administración de SharePoint Portal Server. Si tiene permisos de coordinador del nodo del área de trabajo, puede asignar funciones a los usuarios en el nodo y en las carpetas individuales que han heredado de este la configuración de seguridad. Para administrar las carpetas de funciones de administración, debe asignar a un usuario la función de coordinador del nodo del área de trabajo.

Como coordinador, tiene acceso a las páginas de propiedades de las carpetas y documentos del área de trabajo y puede administrar las funciones desde ellas. Para que sea posible, los componentes del cliente deben estar instalados en un equipo con Windows 2000. Los usuarios de Microsoft Windows 98 y Windows NT versión 4.0 no pueden administrar las funciones de SharePoint Portal Server.

SharePoint Portal Server utiliza la seguridad basada en funciones para supervisar el acceso al contenido.

Para configurar la seguridad, debe distinguir dos tipos de origen de contenido: contenido almacenado en el área de trabajo y contenido almacenado fuera del área de trabajo. Debe establecer, además, la seguridad del contenido mostrado en el escritorio digital, que incluye los dos tipos de orígenes anteriores.

El contenido almacenado en el área de trabajo incluye los documentos de las carpetas estándar y mejoradas. Las carpetas mejoradas ofrecen funciones de administración de documentos adicionales, como la distribución de aprobaciones y el control de versiones. Para obtener más información acerca del uso de carpetas estándar y mejoradas en SharePoint Portal Server, consulte "Administrar la configuración de carpetas" en la Ayuda del usuario.

Al crear una subcarpeta, esta hereda de forma predeterminada la configuración de seguridad de la carpeta principal a la que pertenece. Si no desea utilizar la misma configuración de seguridad, puede personalizar la configuración de las funciones para cada subcarpeta. Si cambia la configuración de una carpeta principal, puede especificar que todas sus subcarpetas utilicen la nueva configuración. En ese caso, anulará las modificaciones realizadas en la configuración de funciones de las subcarpetas.

Sólo se hereda la configuración de las funciones. Cuando se crea una subcarpeta, SharePoint Portal Server copia en ella los aprobadores y la ruta de aprobación. Sin embargo, si modifica los aprobadores o la ruta de aprobación en la carpeta principal, la subcarpeta no hereda la nueva configuración. Para obtener más información sobre aprobadores y rutas de aprobación, consulte "Aprobar documentos" en la Ayuda del usuario.

Las funciones pueden ayudarle a controlar el acceso de los usuarios a la información en una jerarquía de carpetas. Por ejemplo, si un coordinador desea ocultar parte de la información de la estructura de carpetas, puede configurar las funciones de forma que el usuario pueda buscar y consultar determinados documentos sin ver las carpetas principales.

Para permitir a un usuario localizar un documento examinando la jerarquía de carpetas, debe asignarle al menos una función en la carpeta principal. Si el documento se encuentra en una subcarpeta de la carpeta principal, debe asignar al usuario al menos una función en la carpeta principal y en la subcarpeta.

Si un usuario tiene acceso a la subcarpeta pero no a la carpeta principal, puede pasar directamente a la subcarpeta a través de su dirección URL, aunque no pueda ver la carpeta principal en el Explorador de Windows. En este caso, los documentos de la subcarpeta se muestran en el resultado de la búsqueda.

SharePoint Portal Server sólo admite documentos compuestos (conjunto de archivos y carpetas creados cuando se guarda un documento como página Web desde una aplicación de Microsoft Office) en las carpetas estándar. Sólo los coordinadores pueden configurar la seguridad en una subcarpeta de un documento compuesto. Las carpetas mejoradas no admiten ninguna estructura similar a los documentos compuestos (por ejemplo, archivos HTML con vínculos relativos o un documento de Microsoft Word con una hoja de cálculo de Microsoft Excel vinculada y almacenada junto a él en el área de trabajo). Si se intenta proteger un documento compuesto en una carpeta mejorada, SharePoint Portal Server muestra un mensaje de error.

SharePoint Portal Server reconoce las directivas de seguridad asignadas a los servidores, recursos compartidos de archivos y bases de datos de una organización.

SharePoint Portal Server asigna el esquema de seguridad de un origen de contenido a la seguridad de Windows 2000, y lo aplica cuando rastrea el contenido y cuando un usuario realiza una búsqueda.

Si SharePoint Portal Server rastrea contenido que se encuentra en un servidor de un dominio distinto, no utilice cuentas de grupo locales de un dominio de dicho servidor para garantizar la seguridad del contenido. Es posible que SharePoint Portal Server no reconozca las cuentas de grupo locales del dominio e impida al usuario ver el contenido rastreado.

Por ejemplo, suponga que el Servidor A se encuentra en el Dominio A y que desea rastrear contenido del Servidor B, que se encuentra en el Dominio B. El Servidor B podría ser otro equipo SharePoint Portal Server, un servidor Web o un recurso compartido de archivos.

La seguridad de los distintos tipos de orígenes de contenido funciona del siguiente modo:

Sitios Web.   SharePoint Portal Server no aplica la seguridad en el momento de la consulta. Especifica un inicio de sesión para cada ruta al realizar el rastreo, pero los resultados están disponibles para todos los usuarios. Los recursos compartidos con Nivel de socket seguro (precedidos por https://) no se pueden rastrear.

Recursos compartidos de archivos.   SharePoint Portal Server aplica la seguridad a nivel de archivo en el momento de la consulta. En las tablas de asignación de archivos (FAT) y en otros sistemas de archivos que no tienen seguridad a nivel de archivo, no hay seguridad a nivel de recurso compartido. SharePoint Portal Server especifica un inicio de sesión para cada ruta al realizar el rastreo, lo que permite el acceso mediante la seguridad a nivel de recurso compartido. Los documentos cifrados no se rastrean.

Equipos SharePoint Portal Server.   SharePoint Portal Server aplica la seguridad a nivel de archivo en el momento de la consulta.

Servidores de Microsoft Exchange 2000.   SharePoint Portal Server aplica la seguridad a nivel de mensaje en el momento de la consulta. Los mensajes cifrados no se rastrean.

Servidores de Microsoft Exchange 5.5.   SharePoint Portal Server aplica la seguridad a nivel de mensaje en el momento de la consulta. Los mensajes cifrados no se rastrean.

Servidores Lotus Notes.   Al realizar una asignación desde el Id. de usuario de Lotus Notes al Id. de usuario de Windows NT, se habilita la seguridad a nivel de registro en la consulta.

Para que un coordinador pueda crear orígenes de contenido de Exchange Server 5.5 y Lotus Notes, debe configurar el servidor para que rastree esos orígenes de contenido. Para obtener más información, consulte "Administrar servidores" en la Ayuda del administrador.

SharePoint Portal Server sólo puede tener acceso a los sistemas UNIX mediante el Protocolo del sistema de archivos de red (NFS). Para tener acceso a Novell NetWare, utiliza un cliente de NetWare. Debe instalar el cliente correspondiente del sistema de archivos UNIX o NetWare en el equipo con SharePoint Portal Server.

SharePoint Portal Server no entiende los descriptores de seguridad de los sistemas de archivos remotos que no son NTFS, como UNIX, NetWare y otros sistemas de archivos externos similares. En estos sistemas de archivos se pierde la seguridad por archivo, pero se mantiene la seguridad por recurso compartido de archivos. Si no existe ninguna asignación de seguridad, SharePoint Portal Server inicia una sesión anónima (invitado), pero solamente tiene acceso al contenido disponible para los usuarios anónimos. En este caso, SharePoint Portal Server rastrea los documentos y les asigna acceso de lectura para el grupo Todos de Windows 2000. Esto significa que todos los usuarios pueden buscar cualquier documento rastreado. Los administradores deben tener esto en cuenta para evitar la difusión de información que esté protegida de un modo no compatible con Windows NT.

SharePoint Portal Server puede enviar credenciales de seguridad durante el acceso a sistemas de archivos de externos, como UNIX o NetWare. Puede especificar que la cuenta y la contraseña de las reglas de ruta de acceso a sitios para la ruta del sistema de archivos remoto requieran autenticación básica.

Si no se obtiene el descriptor de seguridad, no se puede realizar la indización del elemento en NTFS.

El administrador de SharePoint Portal Server y el coordinador del nodo del área de trabajo deben tener en cuenta las directivas de seguridad de la organización al Planificar la disponibilidad del contenido del sitio de escritorio digital. Por ejemplo, deben recordar que los usuarios del sitio de escritorio digital podrán ver la información confidencial almacenada en los servidores de archivos en los que no existan medidas de seguridad.

SharePoint Portal Server utiliza cuentas de acceso para especificar nombres de usuario y contraseñas. Las cuentas de acceso proporcionan los permisos necesarios para tener acceso a sitios Web, servidores y recursos de red. Puede configurar las cuentas de acceso en la ficha Cuentas de la página Propiedades del servidor utilizando la Consola de administración de SharePoint Portal Server.

La cuenta de acceso a contenido predeterminada está constituida por el nombre de usuario y la contraseña utilizados para rastrear el contenido almacenado fuera del área de trabajo. Para tener acceso a este contenido, la cuenta debe tener permisos de lectura. Además, el nombre de usuario y la contraseña deben resolverse en una cuenta existente de Windows NT o Windows 2000.

La cuenta de acceso de propagación está constituida por el nombre de usuario y la contraseña utilizados para propagar índices del área de trabajo a otros servidores. Esta cuenta debe tener permisos de administrador local en el servidor de destino al que se propagan los índices. Es necesaria para crear áreas de trabajo de índice.

Para obtener más información, consulte "Administrar servidores" en la Ayuda del administrador.

Un servidor proxy aumenta la seguridad de una intranet impidiendo el acceso no autorizado desde Internet. Para mejorar el rendimiento y reducir el tiempo de descarga, el servidor proxy guarda en memoria caché las páginas Web visitadas recientemente.

SharePoint Portal Server utiliza los verbos del Protocolo HTTP, el conjunto de extensiones HTTP Creación y control de versiones distribuidas (DAV) y el verbo personalizado de SharePoint Portal Server denominado INVOKE. Si utiliza un servidor proxy, debe configurarlo para que admita estos verbos.

De forma predeterminada, SharePoint Portal Server utiliza la configuración del servidor proxy de la cuenta de acceso a contenido predeterminada, que obtiene de la configuración actual del proxy de Microsoft Internet Explorer. Los cambios realizados en la configuración del servidor proxy no deben afectar al resto de las aplicaciones del servidor. Por ejemplo, puede configurar SharePoint Portal Server para que utilice un servidor proxy específico sin que esto afecte a Internet Explorer.

Los componentes del cliente de SharePoint Portal Server y el sitio de escritorio digital se comunican con el servidor mediante HTTP. Por tanto, la configuración del servidor proxy de Internet Explorer en el equipo cliente puede afectar a la comunicación del cliente y el sitio de escritorio digital con el servidor.

Si su organización utiliza servidores de seguridad, debe Planificar su ubicación con respecto a sus otros servidores. La propagación de índices emplea el protocolo de uso compartido de archivos estándar de Windows. Si utiliza esta función, no debe colocar ningún servidor de seguridad entre el servidor dedicado a crear y actualizar índices y el de búsqueda; si existe uno, debe admitir el uso compartido de archivos de Windows.

Si desea utilizar SharePoint Portal Server desde Internet, debe:

Para obtener más información sobre el uso de SharePoint Portal Server en Internet, consulte "Configurar la seguridad" en la Ayuda del administrador.

El sistema de archivos instalables (IFS) y los Servicios de Internet Information Server (IIS) tienen acceso a todas las carpetas del área de trabajo.

Las áreas de trabajo de SharePoint Portal Server tienen asociado un directorio virtual o vroot creado en IIS en el sitio Web predeterminado. Desde aquí puede administrar la seguridad del sitio de escritorio digital.

Los usuarios pueden utilizar el Explorador de Windows en el equipo SharePoint Portal Server para tener acceso a IFS. SharePoint Portal Server suele asignar IFS a la unidad de red M, a menos que esta unidad ya esté asignada. Aunque puede utilizar IFS para ver el contenido del sistema de almacenamiento Web de Microsoft usado por SharePoint Portal Server, este acceso es de sólo lectura.

Cuando se crea una suscripción, el usuario no recibe una notificación si se le ha asignado permiso de lectura mediante un SID de Usuarios autenticados de Windows 2000, ubicado dentro de un dominio o grupo local. El grupo Todos de Windows 2000 no es uno de los SID de esta categoría.

Por ejemplo, AVENTURA\usuario entra dentro de la categoría Usuarios autenticados del dominio AVENTURA. El equipo SharePoint Portal Server Marketing está en el mismo dominio. AVENTURA\usuario crea en Marketing una suscripción a los resultados de la consulta "especificación". Cualquier documento que se incluya en el índice y contenga la palabra "especificación" debería generar una notificación.

El usuario no recibe notificaciones si su único acceso al documento se ha asignado a través de un SID de Usuarios autenticados u otro SID especial como:

Si una lista de control de acceso (ACL) contiene un grupo cuyos miembros son AVENTURA\usuario y Usuarios autenticados, el usuario recibe una notificación.