SharePoint2013在MySite增加了一个叫做SkyDrive Pro新功能,笑男还没来得及研究一下,已经有客户遇到问题了:
在SkyDrive Pro的页面上有一条通知:
"Welcome to your SkyDrive Pro, the place to store, sync, and share your work. Documents are private until shared. Learn more here.Dismiss"
这就是说,你在SkyDrive Pro中新创建的文件夹默认的都是没有共享给其他人的,这就是说,如果你没有Share给其他人,那么他就应该是对其他人隐藏不可见的。
现在问题出现了,客户确认在没有分享给任何人的情况下,她的SkyDrive Pro私有文件夹还是可以被别人看到。而且,她也可以看到其他客户SkyDrive Pro里面的私有文件夹。
首先要做的,当然是去Site Permisson里面,利用Permission Check去检查一下权限,很奇怪的是,并没有什么内容可以显示出权限的异常。难道是SkyDrive Pro的权限,默认可以把私有文件夹显示给别人?这不就是微软大哥自摆乌龙?
SharePoint的权限可以这样追下去(括号内,纯属个人杜撰,仅供理解):
- Site collection administrator,网站集管理员(网站集级别权限);
- Site Onwer,网站所有人以及相应的member,visitor之类的(网站级别权限);
- List/Library的独立权限(网站内容级别权限);
- Folder/Item的独立权限(内容级别权限);
对于这个SkyDrive Pro的私有文件夹,我查了以上的四个级别的所有权限,没有发现什么异常。
以上四个级别的权限是用户甚至是超级用户所能控制的所有权限,但是什么问题都没有发现,那么就只剩下唯一的一个地方了:Web Application的权限!!!
故事讲到这里,有点意外了。因为很少会有人在Web Application级别做权限的变更操作,当然,也只有Farm administrator才可以做到。
检查之后,愕然发现,有人在MySite的Web Application的User Policy里面加了一条“Everyone Full Read”(下图打勾得一项):
好吧,找到凶手了,难怪MySite的私有文件夹可以被别人随便看,因为在Web Application级别就被定义为“所有人都有读”的权限了。
经过一圈的询问后,原来是客户自己加的,不过这个权限把SkyDrive Pro的一个特性给OverRide了。
嗯,原来在日常客户可以编辑的四级权限之上,Web Application级别的权限也是需要考虑到的,尽管很少可能会在这一层出现问题。
Reference:
http://blogs.msdn.com/b/sharepoint_chs/archive/2012/11/27/skydrive-pro-5.aspx