SharePoint Təhlükəsizlik əsasları Primer / Ümumi Pitfalls çəkinin

UPDATE 12/18/07: U mənim qrupu adları aradan qaldırılması və ya değiştirmeyle bəzi texniki nəticələrinin Paul Liebrand məqaləsi bax (aşağıda həmçinin onun comment bax).

Baxış:

SharePoint security is easy to configure and manage. Lakin, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Mən bu problem özümü olan etiraf). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Vacib Qeyd:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or Mənə e-poçt. I’ll make corrections post haste.

Əsas:

Bu icmal məqsədləri üçün, təhlükəsizlik üçün dörd fundamental aspektləri var: Vaxtı / Qruplar, securable obyektləri, icazə səviyyələri və vərəsəlik.

İstifadəçilər və Qruplar to qırmaq:

  • Fərdi istifadəçilər: Active Directory çəkilmiş və ya birbaşa SharePoint ildə yaradılmışdır.
  • Qruplar: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" xüsusi securable obyekt.

Securable obyektləri ən azı qırmaq:

  • Saytlar
  • Document kitabxana
  • Siyahıları və sənəd kitabxana fərdi maddələr
  • Folders
  • Müxtəlif BDC parametrləri.

Başqa securable obyektləri, ancaq şəkil almaq.

Icazə səviyyələri: Dənəvər bir paket / low level access rights that include such things as create/read/delete entries in lists.

Miras: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Istifadəçilər və qruplar icazə səviyyələri və vərəsəlik vasitəsilə securable obyektləri ilə bağlı.

Anlamaq üçün ən əhəmiyyətli Təhlükəsizlik qaydaları, Ever 🙂 :

  1. Qruplar sadəcə istifadəçilər kolleksiyaları var.
  2. Qruplar bir site kolleksiya daxilində qlobal var (i.e. bir site səviyyəsində müəyyən bir qrup kimi bir şey yoxdur).
  3. Qrup adı withstanding deyil, qruplar yoxdur, özləri və, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. Siz hər securable obyekt üçün eyni qrupa müxtəlif icazə səviyyələri təyin edə bilər.
  6. Web proqram siyasəti qozu bütün bu (aşağıya bax).

Qrup və istifadəçi siyahıları bir dəniz məğlub Təhlükəsizlik administratorları həmişə təhlükəsizlik konfiqurasiya idarə etmək və anlamaq üçün bu aksiomatika etibar edə bilərsiniz.

Ümumi pitfalls:

  • Qrupu adları yalan icazə demək: Qutusu həyata, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" qrup bütün kömək edə bilməz, lakin yalnız oxumaq (məsələn). This would not be a good idea, açıq-aydın, çox şaşırtıcı ola bilərdi.
  • Qruplar bir site səviyyəsində müəyyən deyil. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" keçid. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Qruplar üzvlük site asılı olaraq fərqlənə deyil (i.e. hər yerdə qrup istifadə olunur eyni): Consider the group "Owner" və iki saytlar, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Mən HR site vasitəsilə adamların və qrupların links daxil ola bilər, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. Faktiki olaraq, I’m removing her from the global Owners group. Hilarity ensues.
  • Xüsusi rol əsasında qrupların adını etməyən: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Mən iki yeni qruplar yaradılmış olmalıdır: "HR Owners" and "Logistics Owners" və hər biri üçün həssas icazə səviyyələri və onların iş o istifadəçilər üçün tələb olunan minimum məbləği tapşırılsın.

Digər Faydalı istinadlar:

Siz bu yaptıysanız qədər:

Please let me know your thoughts via the comments or email me. If you know other good references, Eyni edin!

Technorati Tags:

8 Haqqında "fikirləriSharePoint Təhlükəsizlik əsasları Primer / Ümumi Pitfalls çəkinin

  1. Perry

    Daha çox pitfalls:

    * Başqa SSP və heç görünən adamların və qrupların mövcud müəyyən xüsusi razılıq var bölüm: "Personalization services permissions"and "Business Data Catalog permissions"

    * Mən haradasa html içərisində basdırılmış bəzi gizli XML xüsusi SharePoint Designer icazələrin da var ki, oxumaq.

    * Site toplanması üçün ibtidai və orta Administrators başqa yerdə Site Collection ayarları saxlanılır, Xalq və qrupları bölməsində görünən deyil.

    * Bəzi hesabları sehrli var (xüsusi) asılı olmayaraq, siz adamların və qrupların sahəsində görmək nə imkanları: web server daxili Administrators qrupunun üzvləri, və Farm Service Hesabım.

    (PS: Spam şərh silme burada oxunaqlılıq inkişaf edir.)

    Cavab
  2. Jean Wright
    Bu, çox yaxşı bir post deyil. Mən bir neçə dəfə bu tələyə düşmüş. Siz qarışdırma identifikasiyası üsulları və müxtəlif təhlükəsizlik qruplaşdırılması metodları başladığımda təhlükəsizliyinin idarə edilməsi mürəkkəb əldə edə bilərsiniz. Bu planlaşdırma prosesinin bir hissəsi kimi hesab etmək lazımdır və yayınmamalıdır edilməməlidir.
    Cavab
  3. Mark Miller yazdı:
    (Paul dən Note: Mark onun comment kiçik bir dəyişiklik etmək xahiş amma dəyişikliyi ilə yenidən burada əlavə və orijinal silindi sonra mən canlı boşluq şərhləri redaktə edə bilməzsiniz).
    Paul,
    Bu məlumat təqdim Ümumi yanaşma çox yaxşı off gəldi. I especially liked the "Pitfalls" bölmə, Mən o özümü bir neçə düşmüş etdik-ci ildən.
    Dediniz başqa bir şey ev hit: Bazar ertəsi öyrənmək mütləq siz cümə günü xatırlayıram lazımdır demək deyil deyil. I’m glad someone besides me is using their blog as a "tickler" müntəzəm olaraq görülən deyil ki, həmin kritik şeylər üçün sistem.
    Yaxşı iş.
    Regards,
    Mark
    EndUserSharePoint.com

    Noyabr 27 9:04 AM
    (http://www.EndUserSharePoint.com)

    Cavab
  4. Paul Galvin
    Mən bu default qruplar aradan qaldırılması üçün yəqin ki, yaxşı bir fikir hesab, especially Contributor and Owner. They are overbroad and easily confused. I prefer to use "All Authenticated Users" in place of a "Visitor" group as well. If a specific set of users should only read-only access then I’d recommend creating an AD group or SharePoint group with an appropriately descriptive name, e.g. "Logistics Visitors".
    –Paul G
    Cavab
  5. No name
    Bu nə lazımdır ilk şey kimi yalnız Ziyaretçi kötük edir səslənir, Contributor və sahibi qruplar və öz məntiqi qrupları ilə əvəz. Bunu etmək üçün mənada edəcək?
    Cavab

Şəkil Yükləmə

E-poçt ünvanından dərc olunmayacaq. Lazım alanlar qeyd olunur *