SharePoint сигурност основи грунд / Се избегне обща клопки

АКТУАЛИЗИРАНЕ 12/18/07: Вижте статията на Пол Liebrand за някои технически последици на премахване или промяна на имена на групи по подразбиране (Виж си коментар по-долу, както и).

Общ преглед:

SharePoint сигурност е лесно да конфигурирате и управлявате. Въпреки това, тя доказа, че е трудно за някои първи път администраторите да наистина увийте ръцете си около нея. Не само, че, Аз съм виждал някои администратори идват до перфектно разбиране в понеделник само да са го загубили от петък, защото те не трябва да правя кой да е очертание в междинния време. (Признавам, да има този проблем себе си). Този блог влизане Надяваме се предоставя полезна SharePoint сигурност грунд и точки към някои конфигурация най-добрите практики за сигурност на.

Важна бележка:

Това описание се базира на кутията SharePoint сигурност. Моят личен опит е ориентирани около Мос, така може да има някои Мос специфични неща тук, но аз вярвам, че е точно за ВиК. Надявам се, че всеки, който вижда грешки или пропуски ще която посочи в коментарите или пишете ми. Ще направя корекции побърза пост.

Основи:

За целите на този преглед, има четири основни аспекти на сигурността: потребители/групи, защитими обекти, нива на разрешение и наследяване.

Потребители и групи прекъсване до:

  • Отделни потребители: Извади от активна директория или създадени директно в SharePoint.
  • Групи: Нанесен директно от active directory или създаден в SharePoint. Групи са колекция от потребители. Групи са глобални в колекция от сайтове. Те никога не са "обвързани" за определен защитим обект.

Защитими обекти прекъсване до най-малко:

  • Сайтове
  • Библиотеки с документи
  • Отделни елементи от списъци и библиотеки с документи
  • Папки
  • Различни BDC настройки.

Там други защитими обекти, но вие получите картинката.

Нива на разрешение: Пакет от гранулиран / ниско ниво на достъп права, които включват неща като създаване/четене/изтриване на записи в списъци.

Наследяване: По подразбиране лица наследяват настройките за защита от техните съдържащи обекти. Подсайтове наследяват разрешения от родителя. Наследяване на библиотеки с документи от сайта им. Така на и така напред.

Потребители и групи се отнасят до защитими обекти чрез нива на разрешение и наследяване.

Най-важните правила за сигурност да разберат, Ever 🙂 :

  1. Групи са просто колекции на потребители.
  2. Групи са глобални за колекция от сайтове (т.е.. няма такова нещо като група, определена на ниво сайт).
  3. Името на групата не издържат, групите не, в и за себе си, имат определено ниво на сигурност.
  4. Групи имат сигурност в контекста на определен защитим обект.
  5. Можете да присвоите различни нива на разрешения на една и съща група за всеки защитим обект.
  6. Правила за приложение на Web коз всичко това (Вижте по-долу).

Администратори на защита, изгубени в морето от група и потребителски списъци винаги могат да разчитат на тези аксиоми да управляват и разбират тяхната сигурност конфигурация.

Общите клопки:

  • Имената на групите лъжливо предполага разрешение: На кутията, SharePoint дефинира набор от групи, чиито имена означава, присъщи ниво на сигурност. Помислете за групата "Сътрудник". Един непознат с SharePoint сигурност добре може да погледнете това име и предположи, че всеки член на тази група може да "допринесе" към всеки сайт/списък/библиотека в портала. Това може да е вярно, но не защото името на групата се случва да бъде "сътрудник". Това е вярно само на кутията, защото групата е била предоставена на ниво на разрешение, което им дава възможност за добавяне/редактиране/изтриване на съдържанието на главния сайт. Чрез наследяване, "сътрудници" група може също добавяне/редактиране/изтриване на съдържанието на всеки под-сайт. Една може да "счупи" по наследство верига и промените нивото на разрешение на един под-сайт такива че членовете на така наречените "сътрудник" групата не може да съдейства на всички, но само четат (за пример). Това не би било добра идея, очевидно, тъй като това би било много объркващо.
  • Групите не са определени на ниво сайт. Това е лесно да бъдат объркани от потребителския интерфейс. Microsoft снабдявам удобен звено към потребител/група за управление през всеки сайт "хора и групи" връзка. Това е лесно да вярват, че когато съм в сайта "xyzzy" създам група чрез xyzzy на хора и групи връзка, че току-що създадохте група, която съществува само в xyzzy. Това не е така. Всъщност аз създадох група за цялата колекция.
  • Членство в групи не се различава от сайт (т.е.. същото е навсякъде се използва група): Помислете за групата "собственик" и двата обекта, "HR" и "Логистика". Би било нормално да се мисли, че две отделни индивиди ще притежава тези сайтове — HR собственик и собственик на логистиката. Потребителски интерфейс го прави лесен за администратор по сигурността да mishandle този сценарий. Ако не знаете по-добре, Аз може да достъп на хора и групи връзки чрез сайта на HR, изберете "собственици" Група и да добавите ми ВП собственик към тази група. Един месец по-късно, Логистика идва на линия. Аз достъп хора и групи от сайта на логистиката, Добави издърпайте нагоре "собственици" Група. Вижте собственика на HR там и я премахнете, Мисля, че съм я премахване от собствениците на сайта на логистиката. Всъщност, Аз съм я премахване от групата на собствениците на глобалната. Веселие произтича.
  • При липса на име групи въз основа на специфична роля: "Одобряващите" Група е перфектен пример. Какво може членовете на тази група одобрение? Къде може да го одобри? Наистина искам хората Логистичен отдел, за да може да одобрява документи за HR? Не, разбира се. Винаги името групи въз основа на тяхната роля в рамките на организацията. Това ще намали риска, че групата е присвоен на неподходящо разрешение ниво за определен защитим обект. Името групи въз основа на ролята им предназначение. В предходния сценарий HR/логистика, Трябваше да се създаде две нови групи: "HR собственици" и "Логистика собственици" и да присвоите нива на разумното разрешение за всяка и минималната сума, необходима за тези потребители, за да вършат работата си.

Други полезни препратки:

Ако сте го направили това далеч:

Моля да ме мислите си чрез коментари или ми пишете. Ако знаете други добри препратки, Моля, направете същото!

Technorati тагове:

8 мисли за "SharePoint сигурност основи грунд / Се избегне обща клопки

  1. Пери

    Повече клопки:

    * Има някои специални разрешения, достъпни другаде в SSP и не се вижда в раздела хора и групи: "Разрешения за услугите за персонализиране" и "разрешения за каталога за бизнес данни"

    * Аз прочетох, че има също и специални разрешения на SharePoint Designer в някои тайнствена xml, погребан в html някъде.

    * На първични и вторични администратори за колекция от сайтове са държани на друго място в настройките на колекция от сайтове, и не се вижда в раздела хора и групи.

    * Някои сметки са магически (Специални) способности, независимо от това, което виждате в областта за хора и групи: членовете на групата на вградените администраторите на уеб сървъри, и акаунт за услуга на групата.

    (PS: Изтриване на спам коментари ще се подобри четливостта тук.)

  2. Пол Liebrand
    Дъмпинг на групите не може да бъде добра идея. Някои функции, Мос разчита на тези групи да бъдат там специално около новите неща членство. http://liebrand.wordpress.com/2007/12/06/sharepoint-security-permission-levels/ Това се обсъжда по-подробно.
    @Paul — Велик пост!
    Пол Liebrand
  3. Жан Райт
    Това е един много добър пост. Съм паднал в този капан на няколко пъти. Управление на сигурността може да получи комплекс, когато започнете смесване методи за удостоверяване и различни сигурност група методи. Това трябва да се разглежда като част от процеса на планиране и не бива да се пренебрегва.
  4. Пише Марк Милър:
    (Бележка от Пол: Марк ме помоли да направи една малка промяна на неговия коментар, но не мога да редактирам живи пространства коментари така съм го добавя отново тук с промяната и изтривам определителен член първоначален).
    Пол,
    Рез подход за представяне на тази информация дойде много добре. Особено ми хареса "клопката" раздел, тъй като аз съм паднала в няколко от тези себе си.
    Друго нещо, което каза хит Начало: обучение в понеделник не означава не непременно ще го помня в петък. Аз се радвам, че някой освен мен използва блога си като "затруднение" система за тези критични неща, които не се извършват на регулярна основа.
    Добра работа.
    Поздрави,
    Марк
    EndUserSharePoint.com

    Ноември 27 9:04 Ч.
    (http://www.EndUserSharePoint.com)

  5. Пол Galvin
    Мисля, че това е може би е добра идея да премахнете тези групи по подразбиране, особено сътрудник и собственик. Те са overbroad и лесно се бърка. Аз предпочитам да използвате "всички удостоверени потребители" вместо "посетител" Група, както и. Ако конкретен набор от потребители трябва да само чета единствен достъп, тогава бих препоръчал създаването Рекламна група или групата на SharePoint с подходящо описателно име, e.g. "Логистика посетители".
    –Пол G
  6. Без име
    Това звучи като първото нещо, което трябва да направите е просто изхвърлят на посетителя, Сътрудник и собственик групи и да ги замени със собствените си логически групи. Това има смисъл да направя?

Оставете отговор

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани *