kategorie Argief: SharePoint Sekuriteit

"Toegang geweier” te Default.aspx op 'n SharePoint 2010 Sub Site

Een van my kliënte het live met hul SharePoint 2010 omgewing vandag.  Ons het ontdek dat 'n sekere groep van die gebruikers kan nie toegang tot hul standaard tuisblad.  SharePoint gereageer met "Toegang geweier" en die gewone "teken in as 'n ander gebruiker" of "versoek om toegang" antwoord. 

Wanneer ons die nifty "Check Toegang"-funksie gebruik het, het dit bevestig dat die einde gebruikers het toegang.  Tog, hulle kon nie na die bladsy.

Ek het 'n baie paaie na verskeie dood eindig totdat ek besluit het om die web dele op die gebreekte bladsy teen 'n soortgelyke werk bladsy te vergelyk.  Ek het wat deur om die bladsy in die onderhoud af deur die toevoeging van "?contents = 1 "na die bladsy. So, dit lyk soos "http://bediener / subsite / subsite / default.aspx?contents = 1 ". 

Dit het vir my gewys twee web dele genaamd "fout" met 'n beskrywing soos "fout" op die gebreekte bladsy.  Ek het nie gedink 'n skerm dop by die tyd te neem.

Ek het hulle verwyder en dat die probleem opgelos.

Ek het gesien dat 'n vraag soos hierdie op die forums in die verlede en ek was baie skepties oor die plakkaat se aandrang dat hy sekuriteit behoorlik opgestel.  Ek weet ek het sekuriteit opstel reg Smile  Volgende keer, Ek sal meer oop en minder skepties.

</einde>

Skryf in op my blog.

Volg my op Twitter http://www.twitter.com/pagalvin

Gebruik Workflow tipe inhoud sekuriteit te simuleer

Nog 'n dag, 'n ander MSDN-forums geïnspireer pos.

Iemand het gevra of hulle kan 'n tipe verseker so dat wanneer 'n gebruiker op die "nuwe" knoppie op 'n persoonlike lys, slegs die inhoud tipes wat daardie persoon verleen word sal verskyn in die lys van drop-down.  Soos ons weet, dit word nie ondersteun nie uit die boks.

Hierdie vraag kom nou en dan en hierdie keer, Ek het 'n nuwe idee.  Kom ons veronderstel dat ons 'n scenario soos hierdie:

  • Ons het 'n hulptoonbank ticketing stelsel.
  • Die hulptoonbank ticketing stelsel gebruikers toelaat om gereelde hulptoonbank kaartjie inligting in te voer, soos probleem-area, probleem status, ens..
  • Ons wil toelaat dat "super" gebruikers 'n "dringendheid" veld te spesifiseer.
  • Ander gebruikers hoef nie toegang tot daardie gebied.  Die stelsel sal altyd wys "medium" vlak prioriteit aan hul versoeke.

Wat ons kan doen is om twee afsonderlike SharePoint lyste en twee verskillende tipes inhoud, een vir "super" gebruikers en die ander vir almal anders.

Workflow op elke lys afskrifte van die data aan die hoof lys (die werklike hulptoonbank kaartjie lys) en die proses gaan van daar.

Hierdie benadering kan werk vloei 'n soort kolom vlak van sekuriteit as well. 

Ek het nie probeer om dit, maar dit voel redelik en gee 'n redelik eenvoudige, As redelik rowwe, opsie om 'n soort van die inhoud tipe te implementeer en selfs kolom vlak van sekuriteit.

</einde>

Skryf in op my blog.

Volg my op Twitter http://www.twitter.com/pagalvin

Inhoud Goedkeuring as arm man se outomatiese punt vlak van sekuriteit

Daar is 'n algemene besigheid scenario met Path vorms.  Ons wil toelaat dat mense in te vul Path vorms en hulle dien om 'n biblioteek.  Ons wil krippe (en niemand anders nie) toegang tot dié vorm te hê.

Hierdie vraag kom nou en dan op die vorms (bijv. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

'N Vinnige manier om dit te los, is die inhoud goedkeuring in staat te stel op die vorm biblioteek.  Gaan die biblioteek se weergawe instellings en stel dit op soos:

image 

Klik op 'Vra inhoud goedkeuring "en wat sal toelaat dat jy 'n waarde vir Konsep Post Veiligheid op te tel.

Dit is 'n bietjie teen-intuïtief, want ons dink nie in terme van die "inhoud goedkeuring" wanneer al wat ons wil doen, is om te verhoed dat mense van die sien van ander gebruikers se vorms.  Egter, dit werk goed (In my ervaring).  Net goedkeur nie dié vorm en hulle sal altyd in ag geneem word "drafts". 

Toestemming gee regte aan die mense wat moet in staat wees om hulle te sien, en jy het gesluit die lus.

Dit is nie presies groot nuus, maar die vraag kom met 'n paar reëlmaat, so ek het gedink dit sal die moeite werd wees plaas.

</einde>

Skryf in op my blog.

Volg my op Twitter http://www.twitter.com/pagalvin

Wat is in elk geval beperkte toegang?

UPDATE 11/03/08: Maak seker dat die uitstekende en volledige kommentaar van te lees Dessie Lunsford aan hierdie pos.

Ek werk op 'n geheime tegnologie redigering projek vir 'n opkomende boek en dit verwys na hierdie blog inskrywing deur Tyler Butler op die MSDN ECM blog. This is the first time I personally read a clear definition of the meaning of Limited Access. Here’s the meat of the definition:

In SharePoint, anonieme gebruikers’ regte word bepaal deur die beperkte toegang toestemming vlak. Beperkte toegang is 'n spesiale vergunning wat nie aan 'n gebruiker of groep direk toegeskryf word. Die rede hoekom dit daar is, want as jy 'n biblioteek of subsite wat gebreek het regte erfenis, en jy gee 'n gebruiker / groep toegang tot slegs daardie biblioteek / subsite, ten einde die inhoud te sien, die gebruiker / groep moet toegang tot die wortel web. Anders word die gebruiker / groep in staat sal wees om die biblioteek / subsite te blaai, selfs al het hulle regte daar, want daar is dinge in die wortel web wat nodig is om die terrein of biblioteek te lewer. Daarom, wanneer jy 'n groep regte net 'n subsite of 'n biblioteek wat die verbreking van regte erfenis, SharePoint sal outomaties beperkte toegang tot daardie groep of gebruiker op die wortel web.

Hierdie vraag kom nou en dan op die MSDN forums en ek was nog altyd nuuskierig (maar nie nuuskierig genoeg om dit voor vandag om uit te vind :)).

</einde>

Skryf in op my blog.

Volg my op Twitter http://www.twitter.com/pagalvin

Technorati Tags:

Vinnige Wenk: Instel om sekuriteit toe te laat Admins om toegang te verkry tot enige my site in SharePoint

In 'n teken dat sosiale rekenaar is besig om af te neem met SharePoint, I see an increased number of My Site type questions. One common question goes something like this:

"I am an administrator and I need to be able to access every My Site. How do I do that?"

The trick here is that each My Site is its own site collection. SharePoint security is normally administered at the site collection level and this trips up many a SharePoint administrator. Gewoonlik, she already has access to configure security in the "main" webwerf versamelings en mag nie besef dat dit nie outomaties werk vir My Sites.

Webwerf versamelings gesamentlik leef in 'n groter houer, which is the web application. Farm admins can can configure security at the web app level and this is how admins can grant themselves access to any site collection in the web application. This blog entry describes one of my personal experiences with web application policies. I defined a web application policy by accident: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web application policies can be dangerous and I suggest that they be used sparingly. If I were an admin (en dankie tog ek is nie), I would create a separate AD account named something like "SharePoint Web App Administrator" and give that one account the web application security role it needs. I would not configure this kind of thing for the regular farm admin or individual site collection admins. It will tend to hide potential problems because the web app role overrides any lower level security settings.

</einde>

Skryf in op my blog.

Volg my op Twitter http://www.twitter.com/pagalvin

Technorati Tags: ,

Views en kolomme op die lys en dokument biblioteke kan nie verseker word

UPDATE (02/29/08): Hierdie nuwe codeplex projek blyk 'n metode om voorsiening te maak vir die beveiliging van individuele kolomme: http://www.codeplex.com/SPListDisplaySetting. If you have any experience working with it, los 'n comment.

Forum plakkate dikwels 'n vraag soos hierdie: "I have a manager view and and a staff view of a list. How do I secure the manager view so that staff can not use it?"

Hulle het ook dikwels 'n verwante vraag vra: "Ek wil 'n spesifieke metadata kolom te verseker sodat Slegs bestuurders kan wysig dat die kolom terwyl ander kan selfs dit nie sien nie."

These answers apply to both WSS 3.0 en Moss:

  • SharePoint nie out-of-the-box ondersteuning vir die beveiliging van standpunte.
  • SharePoint nie out-of-the-box ondersteuning vir die veiligheid kolomme.

There are several techniques one can follow to meet these kinds of security requirements. Here’s what I can think of:

  • Use out-of-the-box item level security. Views always honor item level security configuration. Event receivers and/or workflow can automate security assignment.
  • Gebruik persoonlike menings vir "bevoorregte" views. These are easy enough to set up. Egter, as gevolg van hul "persoonlike" aard, these need to be configured for each user. Use standard security configuration to prevent anyone else from creating a personal view.
  • Gebruik 'n data vertoning web deel en te implementeer 'n soort van AJAXy sekuriteit snoei oplossing.
  • Rol jou eie lys vertoon funksionaliteit en neem sekuriteit snoei op die kolom.
  • Verander die data inskrywingsvorms en gebruik JavaScript kolom-sekuriteit op te snoei in samewerking met die sekuriteit model te implementeer.
  • Use an InfoPath form for data entry. Implement column-level security trimming via web service calls to SharePoint and conditionally hide fields as needed.
  • Rol jou eie ASP.NET data entry funksie wat implemente kolom vlak sekuriteit snoei.

Nie een van die opsies is werklik so groot, maar daar is ten minste 'n pad om te volg as jy nodig het om te, selfs al is dit moeilik om.

NOTA: As jy enige van hierdie paaie, vergeet nie oor "Actions> Open with Windows Explorer". You want to be sure that you test with that feature to make sure that it doesn’t work as a "back door" en nederlaag jou zekerheidsstelsel.

As jy ander idees vir of ervarings met die verkryging van kolomme of standpunte, asseblief email my of laat 'n comment en ek sal werk die plasing soos toepaslik.

</einde>

Skryf in op my blog.

Technorati Tags:

Oplossing: System.IO.FileNotFoundException op “SPSite = nuwe SPSite(url)”

UPDATE: Ek gepos hierdie vraag hier aan MSDN (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) and Michael Washam of Microsoft responded with a concise answer.

Ek het 'n web om op te tree as 'n BDC-vriendelike fasade to a SharePoint list. Toe ek dit uit my ontwikkeling omgewing, dit werk goed. Wanneer ek migreer na 'n nuwe bediener, Ek het hierdie probleem ondervind:

System.IO.FileNotFoundException: Die Web aansoek by http://localhost/sandbox kon nie gevind word nie. Kontroleer dat jy die URL korrek ingetik het. As die URL moet bedien word om bestaande inhoud, die stelsel administrateur mag nodig wees om 'n nuwe versoek URL kartering te voeg tot die voorgenome aansoek. by Microsoft.SharePoint.SPSite .. ctor(SPFarm vrag, Uri requestUri, Boole contextSite, SPUserToken userToken) by Microsoft.SharePoint.SPSite .. ctor(String requestUrl) by Conchango.xyzzy.GetExistingDocument(String minId, String maxId, String titleFilter) in C:\Documents and Settings Paul My Documents Visual Studio 2005 Projekte Xyzzy BDC_DocReview BDC_DocReview DocReviewFacade.asmx.cs:lyn 69

Hier is lyn 69:

die gebruik van (SPSite webwerf = nuwe SPSite("http://localhost/sandbox"))

Ek het probeer om die verskillende variasies op die URL, insluitend die gebruik van die bediener se regte naam, die IP-adres, die sleep houe op die URL, ens.. I always got that error.

Ek gebruik Die Google to research it. Lots of people face this issue, of variasies daarvan, maar niemand het dit opgelos.

Speels MOSS so 'n gedetailleerde fout dat dit nie gebeur het nie vir my om seker te maak 12 hive logs. Uiteindelik, oor 24 uur na my kollega Aanbevole ek dit doen, Ek nagegaan word uit die 12 korf log en het gevind dat hierdie:

'N Uitsondering het voorgekom terwyl hy probeer om die plaas aan te skaf:
System.Security.SecurityException: Versoek register toegang nie toegelaat.
by System.ThrowHelper.ThrowSecurityException(ExceptionResource hulpbron) op
(String naam, Boole skryfbaar) op
(String naam) op
() op
() op
(SPFarm& plaas, Boole& isJoined)
Die Seun van die vergadering wat versuim het om:  MyComputer

Dit het nuwe moontlikhede van navorsing, so was dit terug na die Google. Dit het my gelei tot hierdie forum post: http://forums.codecharge.com / posts.php?post_id = 67.135. That didn’t really help me but it did start making me think there was a database and/or security issue. I soldiered on and Andrew Connell se post finally triggered the thought that I should make sure that the application pool’s identity account had appropriate access to the database. I thought it already did. Egter, my kollega het gegaan en het die app swembad identiteit rekening volle toegang tot SQL.

Sodra sy dat verandering, everything started working.

Wat volgende gebeur is die beste uitgedruk as 'n haiku gedig:

Probleme verhoog hul hande.
You swing and miss. Try again.
Sukses! But how? Hoekom?

Sy wou nie dinge te los soos wat, verkies om die minimum vereiste toestemming te gee (en waarskynlik met die oog op die skryf van 'n blog inskrywing; Ek klop haar aan die punch, muhahahahaha!).

Sy verwyder opeenvolgende regte van die app swembad identiteit rekening tot … there was no longer any explicit permission for the app pool identity account at all. The web service continued to work just fine.

We went and rebooted the servers. Everything continued to work fine.

So, te Kortom: we gave the app pool identity full access and then took it away. The web service started working and never stopped working. Bizarre.

As iemand weet waarom dit gewerk het, los 'n comment.

</einde>

Technorati Tags:

Minimum vereiste sekerheid Path Vorms

I needed to meet a security requirement for an InfoPath form today. In this business situation, a relatively small number of individuals are allowed to create a new InfoPath form and a much wider audience are allowed to edit it. (Dit is 'n nuwe-huur op-koshuis te gebruik wat deur menslike hulpbronne wat begin met 'n workflow).

Daardie doel te voldoen, Ek het geskep twee nuwe toestemming vlakke ("create and update" and "update only"), broke inheritance for the form library and assigned permissions to a "create, werk" user and a separate "update only" gebruiker. The mechanics all worked, but it turned out to be a little more involving than I expected. (As jy voel 'n bietjie wankelrig op SharePoint regte, check hierdie blog post). The required security configuration for the permission level was not the obvious set of granular permissions. To create an update-only permission level for an InfoPath form, Ek het die volgende:

  1. Skep 'n nuwe toestemming vlak.
  2. Duidelik weg alle opsies.
  3. Selected only the following from "List permissions":
    • Wysig Items
    • View Items
    • Sien Aansoek Pages

Kies hierdie opsies kan 'n gebruiker 'n vorm by te werk, maar nie skep dit.

The trick was to enable the "View Application Pages". There isn’t any verbage on the permission level that indicates that’s required for update-only InfoPath forms, maar blyk dit.

Create-and-Update was even stranger. I followed the same steps, 1 deur 3 bo. I had to specifically add a "Site Permission" opsie: "Use client integration features". Weer, Die beskrywing is daar nie maak dit lyk soos dit behoort te wees wat nodig is vir 'n Path vorm, maar daar is dit.

</einde>

Technorati Tags: ,

SharePoint verskaf nie “Wie het toegang” Verslae

UPDATE 01/28/08: Dit CodePlex projek spreek hierdie kwessie: http://www.codeplex.com/AccessChecker. I have not used it, maar dit lyk belowend indien dit is 'n kwessie wat jy nodig het om in jou omgewing.

UPDATE 11/13/08: Joel Oleson geskryf het 'n baie goeie pos op die groter sekuriteit bestuur kwessie hier: http://www.sharepointjoel.com / Lists / poste / Post.aspx?List=0cd1a63d-183c-4fc2-8320-ba5369008acb&ID = 113. It links to a number of other useful resources.

Forum gebruikers en kliënte dikwels 'n vraag vra langs hierdie lyne: "How do I generate a list of all users with access to a site" or "How can I automatically alert all users with access to list about changes made to the list?"

There is no out of the box solution for this. If you think about it for a moment, dit is nie moeilik om te verstaan ​​waarom.

SharePoint security is very flexible. There are at least four major categories of users:

  • Anonieme gebruikers.
  • SharePoint gebruikers en Groepe.
  • Active Directory gebruikers.
  • Vorm verifikasie (FBA) gebruikers.

Die buigsaamheid beteken dat van 'n sekuriteit perspektief, any given SharePoint site will be dramatically different from another. In order to generate an access list report, moet 'n mens om te bepaal hoe die terrein is verseker, query multiple different user profile repositories and then present it in a useful fashion. That’s a hard problem to solve generically.

Hoe word organisasies wat met hierdie? I’d love to hear from you in comments or e-pos.

</einde>

. SharePoint Sekuriteit Grondbeginsels Primer / Vermy algemeen slaggate

UPDATE 12/18/07: Sien Paul Liebrand se artikel vir 'n paar tegniese gevolge van die verwydering of die wysiging van die standaard vormveranderings (sien sy kommentaar hieronder asook).

Oorsig:

SharePoint security is easy to configure and manage. Egter, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Ek erken dat hierdie probleem myself). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Belangrike nota:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or email my. I’ll make corrections post haste.

Grondbeginsels:

Vir die doel van hierdie oorsig, Daar is vier fundamentele aspekte van sekuriteit: gebruikers / groepe, beveilig baar voorwerpe, toestemming vlakke en erfenis.

Gebruikers en Groepe breek te:

  • Individuele gebruikers: Getrek uit die aktiewe gids of wat direk in SharePoint.
  • Groepe: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" aan 'n spesifieke beveilig baar voorwerp.

Beveilig baar voorwerpe breek aan ten minste:

  • Webwerwe
  • Dokument biblioteke
  • Individuele items in lyste en dokument biblioteke
  • Dopgehou
  • Verskeie BDC instellings.

Daar beveilig baar ander voorwerpe, maar jy kry die prentjie.

Toestemming vlakke: 'N bondel van korrel / low level access rights that include such things as create/read/delete entries in lists.

Erfenis: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Gebruikers en groepe in verband te beveilig baar voorwerpe via toestemming vlakke en erfenis.

Die meeste Belangrike Security Reëls om te verstaan, Ever 🙂 :

  1. Groepe is net versamelings van gebruikers.
  2. Groepe is globale binne 'n webwerf versameling (d.w.z. daar is geen sodanige ding as 'n groep gedefinieer op 'n terrein vlak).
  3. Groep naam nieteenstaande, groepe nie, in en van die self, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. Jy kan toewys verskillende toestemming vlakke aan dieselfde groep vir elke beveilig baar voorwerp.
  6. Web aansoek beleid troef al hierdie (sien hieronder).

Security administrateurs verloor in 'n see van 'n groep en gebruikers lys kan altyd staatmaak op hierdie aksiomas te bestuur en te verstaan ​​hul sekuriteit opset.

Algemene slaggate:

  • Group name valslik impliseer toestemming: Uit die boks, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" groep kan glad nie bydra, maar slegs gelees (byvoorbeeld). This would not be a good idea, natuurlik, want dit sou baie verwarrend.
  • Groepe word nie gedefinieer op 'n terrein vlak. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" skakel. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Groepe lidmaatskap nie afhanklik van die webwerf (d.w.z. dit is oral dieselfde van die groep word gebruik): Consider the group "Owner" en twee terreine, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Ek kan toegang tot die mense en groepe skakels via die HR webwerf, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. In werklikheid, I’m removing her from the global Owners group. Hilarity ensues.
  • Versuim om groepe op grond van spesifieke rol te noem: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Ek moet geskep het twee nuwe groepe: "HR Owners" and "Logistics Owners" en wys sinvolle toestemming vlakke vir elk en die minimum bedrag wat nodig is vir die gebruikers hul werk te doen.

Ander nuttige inligting:

As jy dit so ver:

Please let me know your thoughts via the comments or email me. If you know other good references, asseblief nie dieselfde!

Technorati Tags: