Archivy kategorií: Zabezpečení serveru SharePoint

"Přístup byl odepřen.” na stránku Default.aspx na serveru SharePoint 2010 Podřízeného webu

Jeden z mých klientů se žít s jejich SharePoint 2010 dnes prostředí.  Zjistili jsme, že určitá skupina uživatelů dostupný jejich výchozí domovské stránky.  SharePoint odpověděl "Přístup odepřen" a obvyklé "přihlásit se jako jiný uživatel" nebo "požadovat přístup" odpověď. 

Když jsme použili funkci hbitý "Kontrolovat přístup" potvrdil, že koncoví uživatelé skutečně nemají přístup.  Přesto, Nelze získat na stránce.

Následovalo mnoho silnic k různým slepé uličky dokud jsem se rozhodl porovnat webových částí na stránce rozbité proti podobné pracovní stránky.  Udělal jsem to tím, že na stránku v režimu údržby přidáním"?Obsah = 1 "na stránce. Tak, Vypadalo to jako "http://Server/Subsite/Subsite/default.aspx?Obsah = 1 ". 

To mi ukázal dvě webové části s názvem "Error" s popisem jako "Error" na stránce rozbité.  Nemyslel jsem, že si čepici obrazovky v době.

Je sundal a že ten problém vyřešil.

Viděla jsem otázku, jako to nahoru na fórech v minulosti a byl jsem velmi skeptičtí naléhání plakátu, že správně nastaveno zabezpečení.  Já | vědět | měl nastaveno právo zabezpečení Usměj se  Příště, Bude, otevřenější a méně skeptická.

</Konec>

Přihlásit se na mém blogu.

Za mnou na Twitter na http://www.twitter.com/pagalvin

Použití pracovního postupu k simulaci zabezpečení obsahu Typ

Další den, inspiroval další fóra MSDN post.

Někdo ptal, zda by mohla zajistit typ obsahu, tak, že když uživatel klepne na tlačítko "nový" na vlastní seznam, pouze typy obsahu, do které tato osoba je udělen přístup by se v rozevíracím seznamu.  Jak víme, Tato funkce není podporována z krabice.

Tato otázka přijde a občas a tentokrát, Měl jsem novou myšlenku.  Předpokládejme, že máme scénář jako:

  • Máme helpdesk jízdenek.
  • Helpdesk jízdenek umožňuje uživatelům zadávat informace o lístek pravidelné helpdesk, jako problém oblast, stav problému, atd.
  • Chceme umožnit "super" uživatelé zadat pole "naléhavé".
  • Ostatní uživatelé nemají přístup k této oblasti.  Systém bude vždy přiřadit úroveň priority "střední" jejich žádosti.

Co jsme mohli udělat, je vytvořit dva samostatné seznamy služby SharePoint a dva různé typy obsahu, jeden pro "super" uživatele a druhá pro všechny ostatní.

Postup v každém seznamu zkopíruje data do hlavní seznam (Seznam lístek skutečné helpdesk) a proces pokračuje od.

Tento přístup by mohlo fungovat tok druh sloupce úroveň zabezpečení. 

Nezkoušela jsem to, Ale to je rozumný a dává poměrně jednoduchý, je-li to pěkně tvrdé, možnost provést určitý typ obsahu a i sloupec zabezpečení na úrovni.

</Konec>

Přihlásit se na mém blogu.

Za mnou na Twitter na http://www.twitter.com/pagalvin

Schválení obsahu jako chudý člověk automatické položky úroveň zabezpečení

Existuje společný obchodní scénář s formuláři aplikace InfoPath.  Chceme povolit uživatelům vyplňovat formuláře aplikace InfoPath a předložit je do knihovny.  Chceme žlaby (a nikdo jiný) Chcete-li mít přístup k těmto formulářům.

Tato otázka přijde a pak na formulářích (např.. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

Rychlý způsob, jak to vyřešit je umožnit schválení obsahu v knihovně formulářů.  Přejděte knihovny verze nastavení a nastavte ji nahoru, jak je uvedeno:

image 

Klikněte na "Vyžadovat schválení obsahu" a který vám umožní vybrat hodnotu pro zabezpečení konceptů.

Je to trochu kontraintuitivních protože nemyslíme, ve smyslu "schválení obsahu" kdy všichni chceme udělat, je zabránit lidem, aby viděli ostatní formuláře.  Avšak, funguje to dobře (podle mých zkušeností).  Jen schválit tyto formuláře a oni vždy za "koncepty". 

Právo na schválení dát lidem, kteří by měli být schopni vidět je a vy jste uzavřené smyčky.

Není to přesně velké novinky, ale otázka přijít s nějakou pravidelností, tak jsem si myslel, že by to, že stojí za zveřejnění.

</Konec>

Přihlásit se na mém blogu.

Za mnou na Twitter na http://www.twitter.com/pagalvin

Co je omezený přístup?

AKTUALIZOVAT 11/03/08: Přečtěte si vynikající a podrobný komentář od Dessie Lunsford na tento příspěvek.

Pracoval jsem na tajné tech úpravy projektu pro nadcházející knihu a odkazuje Tento blog vstupu Tyler Butler na blogu MSDN ECM. To je poprvé, co jsem osobně četl jasnou definici smyslu omezený přístup. Tady je maso definice:

Ve službě SharePoint, anonymní uživatelé’ práva jsou určeny úroveň oprávnění omezený přístup. Omezený přístup je úroveň zvláštní oprávnění, která nelze přiřadit uživateli nebo skupině přímo. Důvod, proč že existuje je proto, že pokud máte knihovnu nebo podřízeného webu je přerušen dědičnost oprávnění, a dáte přístup uživatelů/skupin pouze této knihovny/podřízený, Chcete-li zobrazit její obsah, uživatel nebo skupina musí mít přístup k kořenové sady webových souborů. Jinak nebude možné procházet knihovnu/podřízený uživatel nebo skupina, i přesto, že tam mají práva, protože tam jsou věci na kořenovém webu, které jsou zapotřebí k vykreslení stránky nebo knihovny. Proto, Když dáte oprávnění skupiny pouze na podřízený web nebo knihovnu, která je porušení dědičnost oprávnění, SharePoint automaticky umožní omezený přístup k této skupině nebo uživateli na webových.

Tato otázka přijde a pak na fóra MSDN a vždycky jsem byl zvědavý (ale ne dost zvědavý, na to, než dnes :)).

</Konec>

Přihlásit se na mém blogu.

Za mnou na Twitter na http://www.twitter.com/pagalvin

Doplněk Technorati značky:

Rychlá nápověda: Konfigurace zabezpečení, které umožňují správci přístup k jakékoliv osobní web služby SharePoint

Na znamení, že sociální Computing začíná vzlétnout s SharePoint, Vidím, že zvýšený počet otázek typu osobního webu. Jedna společná otázka jde něco takového:

"Já jsem správce a potřebuji mít přístup každý osobní web. Jak to mám udělat?"

Ten trik je, že každý osobní web je svou vlastní kolekce webů. Zabezpečení serveru SharePoint je obvykle podáván na úrovni kolekce webů, a to mnoha lety správce služby SharePoint. Normálně, má přístup ke konfiguraci zabezpečení v hlavní"" kolekci webů a může si uvědomit, že to nefunguje automaticky pro osobní weby.

Kolekce webů společně žijí uvnitř větší nádoby, což je webové aplikace. Farma admins mohou zabezpečení lze nakonfigurovat na úrovni webové aplikace a to je, jak admins mohou sami udělit přístup k jakoukoli kolekci webů ve webové aplikaci. Tato položka blogu popisuje jeden z mých osobních zkušeností s webovou aplikací politiky. Definovat zásady aplikace web náhodou: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Webové aplikace politiky může být nebezpečný a naznačují, že je používat střídmě. Kdybych byl admin (a díky Bohu že nejsem), By vytvořilo samostatný reklamní účet s názvem něco jako "Správce služby SharePoint webové aplikace" a že jeden účet role zabezpečení webové aplikace, které potřebuje. Nebylo nakonfigurovat tento druh věcí pro pravidelné farma admin nebo jednotlivých webů kolekce admins. To bude mít tendenci skrývat potenciální problémy, protože web app role přepíše všechna nižší nastavení zabezpečení na úrovni.

</Konec>

Přihlásit se na mém blogu.

Za mnou na Twitter na http://www.twitter.com/pagalvin

Doplněk Technorati značky: ,

Zobrazení a sloupce v seznamech a knihovnách dokumentů nelze zabezpečit

AKTUALIZOVAT (02/29/08): Zdá se, že tento nový projekt codeplex poskytuje metodu pro zabezpečení jednotlivých sloupců: http://www.codeplex.com/SPListDisplaySetting. Pokud máte nějaké zkušenosti s prací, Prosím, zanechte komentář.

Fórum plakáty často položit otázku jako je tento: "Mám Správce zobrazení a a personál zobrazení seznamu. Jak zajistit zobrazení správce, aby zaměstnanci nemůže použít?"

Také často ptají související otázku: "Chci zajistit konkrétní metadata sloupec tak, že pouze správci mohou tento sloupec upravovat, zatímco jiní nemusí ani vidět."

Tyto odpovědi platí pro obě WSS 3.0 a mech.:

  • SharePoint neposkytuje podporu out-of-the-box pro zajištění zobrazení.
  • SharePoint neposkytuje podporu out-of-the-box pro bezpečnostní sloupce.

Existuje několik technik jednoho může následovat splnit tyto druhy bezpečnostních požadavků. Zde je to, co mě napadá:

  • Použít zabezpečení na úrovni položky out-of-the-box. Zobrazení vždy dodržet konfigurace zabezpečení na úrovni položky. Přijímačů událostí nebo pracovní postup můžete automatizovat přiřazení zabezpečení.
  • Používat osobní zobrazení pro "privilegované" pohledy. Jsou to dost snadné nastavení. Avšak, z důvodu jejich osobní"" Příroda, Tyto musí být nakonfigurován pro každého uživatele. Použít nastavení Standardní zabezpečení zabránit ostatním uživatelům ve vytvoření osobního zobrazení.
  • Pomocí webové části zobrazení dat a implementovat nějaký druh AJAXy bezpečnostní úprava řešení.
  • Roll vlastní funkčnost zobrazení seznamu a začlenit oříznutí zabezpečení na úrovni sloupců.
  • Změna formuláře pro zadávání dat a použít JavaScript ve spojení s modelem zabezpečení k implementaci oříznutí zabezpečení úroveň sloupců.
  • Formulář aplikace InfoPath pro zadávání dat. Provést oříznutí sloupec úroveň zabezpečení prostřednictvím volání webové služby SharePoint a podmíněně skrýt pole podle potřeby.
  • Zahrnout vlastní funkci vstupního dat ASP.NET implementuje oříznutí zabezpečení na úrovni sloupce.

Žádná z těchto možností není skutečně tak velký, ale je tu alespoň cestu následovat, pokud potřebujete, i když je to těžké.

POZNÁMKA:: Pokud půjdete dolů některou z těchto cest, Nezapomeňte o "akce-> Otevřít pomocí Průzkumníka Windows". Chcete mít jistotu že testovat s funkce ujistěte se, že to nefunguje jako "zadní vrátka" a porazit váš bezpečnostní systém.

Pokud máte jiné nápady, nebo zkušenosti se zajištěním sloupce nebo zobrazení, Prosím napište mi nebo zanechte komentář a já budu aktualizovat tento účtování podle potřeby.

</Konec>

Přihlásit se na mém blogu.

Doplněk Technorati značky:

Řešení: System.IO.FileNotFoundException na “SPSite = nové SPSite(Adresa URL)”

AKTUALIZOVAT: Jsem zde uveřejněných tuto otázku na MSDN (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) a Michael Washam Microsoft se stručnou odpovědí.

Jsem vytvořil webovou službu jako BDC-přátelské fasáda do seznamu služby SharePoint. Když jsem použil tento od své vývojové prostředí, fungovalo to dobře. Když jsem se stěhoval to na nový server, Tuto chybu:

System.IO.FileNotFoundException: Webová aplikace na http://localhost/sandbox Nelze nalézt. Zkontrolujte, zda jste zadali adresu URL správně. Je-li adresa URL by měla poskytovat existující obsah, Správce systému pravděpodobně muset přidat nové mapování adresy URL požadavku na požadovanou aplikaci. na Microsoft.SharePoint.SPSite...ctor(Farmu SPFarm, RequestUri identifikátoru URI, Logické contextSite, SPUserToken userToken) na Microsoft.SharePoint.SPSite...ctor(Řetězec requestUrl) na Conchango.xyzzy.GetExistingDocument(Řetězec minId, Řetězec maxId, Řetězec titleFilter) v C:\Dokumenty a SettingsPaulMy DocumentsVisual Studio 2005ProjectsxyzzyBDC_DocReviewBDC_DocReviewDocReviewFacade.asmx.cs:čára 69

Tady je linka 69:

použití (Webů SPSite = nové SPSite("http://localhost/sandbox"))

Zkoušel jsem různé varianty na URL, včetně použití skutečné jméno na serveru, jeho IP adresu, koncové lomítka na URL, atd. Vždycky jsem tuto chybu.

Použil jsem Google do výzkumu. Spousta lidí čelit tomuto problému, nebo varianty, ale nikdo si to vyřešil.

Podvod MOSS poskytuje takové podrobné chyby, nenapadlo mě zkontrolovat 12 podregistr protokoly. Nakonec, o 24 hodin po můj kolega doporučujeme že tak učinit, Ověřil jsem si 12 podregistr protokol a našli jsme tohle:

Došlo k výjimce při pokusu o získání místní farma:
System.Security.SecurityException: Požadovaný přístup k registru není povoleno.
na System.ThrowHelper.ThrowSecurityException(ExceptionResource prostředek) na Microsoft.Win32.RegistryKey.OpenSubKey(Název řetězce, Logická hodnota zapisovat) na Microsoft.Win32.RegistryKey.OpenSubKey(Název řetězce) na Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() na Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() na Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& farma, Logická hodnota& isJoined)
Zóna shromáždění, které se nezdařily:  Tento počítač

To otevřelo nové cesty výzkumu, tak to bylo zpět na Google. To mě vedlo k tomuto příspěvek ve fóru: http://forums.codecharge.com/posts.php?post_id = 67135. Opravdu mi nepomohl, ale to začalo, že mě přemýšlet, že je databáze nebo bezpečnostní problém. Já se dřel na a Andrew Connell Zaúčtujte konečně spuštěno pomyšlení, že bych měla ujistit, že účet identity fondu aplikací měl přiměřený přístup k databázi. Myslel jsem, že to už udělala. Avšak, můj kolega šel a dal app fondu identitu účtu plný přístup k serveru SQL.

Jak se tato změna, Všechno to začalo pracovat.

Co se stalo dál nejlépe vyjadřuje jako haiku báseň:

Problémy Zvedněte ruce.
Houpačka a miss. Zkuste to znovu.
Úspěch! Ale jak? Proč?

Ona nechtěla takhle nechat věci, raději dát minimální požadovaná oprávnění (a pravděpodobně zájmu psaní položky blogu; Jsem ji předběhl punč, muhahahahaha!).

Vytáhla z účtu identity fondu aplikací až po sobě následujících oprávnění … již nebylo žádné explicitní oprávnění pro účet identity fondu aplikací vůbec. Webová služba nadále fungovat v pohodě.

Šli jsme a restartovat servery. Vše stále funguje.

Tak, pro připomenutí: jsme dal přístup plný identitu fondu aplikací a pak ho vzal. Webová služba začala pracovat a nikdy nepřestal pracovat. Bizarní.

Pokud někdo ví, proč to mělo fungovat, Prosím, zanechte komentář.

</Konec>

Doplněk Technorati značky:

Minimální zabezpečení vyžadované pro formuláře aplikace InfoPath

Jsem potřeboval ke splnění bezpečnostních požadavků na formulář aplikace InfoPath dnes. V této situaci, relativně malý počet jedinců mohou vytvořit nový formulář aplikace InfoPath a mnohem širší publikum je dovoleno upravovat. (To je nové pronájem na internátní formou používanou v lidské zdroje, který spustí pracovní postup).

Pro splnění tohoto cíle, Vytvořil jsem vytvořil dvě nové úrovně oprávnění ("vytvořit a aktualizovat" a "jen aktualizovat"), zlomil dědičnost pro knihovnu formulářů a přiřadit oprávnění k a "vytvořit, aktualizovat" uživatel a samostatné "update pouze" uživatel. Všechny mechaniky pracoval, ale to se ukázalo být trochu víc zahrnující, než jsem čekal. (Pokud se budete cítit trochu nejistě na oprávnění služby SharePoint, Podívejte se na tento blog post). Konfigurace požadovaná úroveň zabezpečení pro úroveň oprávnění nebyla zřejmá sada granulovaných oprávnění. Vytvořit úroveň aktualizace oprávnění pro formuláře aplikace InfoPath, Jsem udělal následující:

  1. Vytvořit novou úroveň oprávnění.
  2. Uklidit všechny možnosti.
  3. Vybrány pouze z "Oprávnění":
    • Upravit položky
    • Zobrazit položky
    • Zobrazit stránky aplikací

Výběrem těchto možností umožňuje uživateli aktualizovat formulář, ale nelze vytvořit.

Trik byl v tom umožnit "Zobrazit stránky aplikací". Není tu žádné verbage na úroveň oprávnění, která označuje, že je nutné pouze pro aktualizaci formulářů aplikace InfoPath, ale ukázalo se, že je.

Vytvoření a aktualizace byla ještě podivnější. Jsem následoval stejný postup, 1 prostřednictvím 3 nad. Musel jsem se konkrétně přidat oprávnění webu"" možnost: "Použít funkce integrace klientů". Znovu, Popis tam nedělá, zdálo, jako by to mělo být pro formuláře aplikace InfoPath, ale je to.

</Konec>

Neposkytuje služby SharePoint “Kdo má přístup” Zprávy

AKTUALIZOVAT 01/28/08: Codeplex projektu řeší tento problém: http://www.codeplex.com/AccessChecker. Osobně jsem nepoužil, ale vypadá to slibně, pokud jde o záležitost, kterou potřebujete adresu ve vašem prostředí.

AKTUALIZOVAT 11/13/08: Joel Oleson napsal velmi dobré místo k větší bezpečnosti řízení otázce zde: http://www.sharepointjoel.com/ Lists/Posts/Post.aspx?Seznam = 0cd1a63d % 2D183c % 2D4fc2 %2 D 8320 % 2Dba5369008acb&ID = 113. Odkazy na řadu dalších užitečných zdrojů.

Fórum uživatelů a klienti často položit otázku podél těchto linek: "Jak mám vytvořit seznam všech uživatelů s přístupem k webu" nebo "jak lze jsem automaticky upozornit všechny uživatele s přístupem k seznamu o změnách provedených v seznamu?"

Neexistuje žádný mimo box řešení pro tento. Pokud si myslíte o tom za chvíli, to není těžké pochopit proč.

Je velmi flexibilní zabezpečení služby SharePoint. Existují čtyři hlavní kategorie uživatelů:

  • Anonymní uživatelé.
  • SharePoint uživatele a skupiny.
  • Uživatelé služby Active Directory.
  • Ověřování na základě formulářů (FBA) Uživatelé.

Pružnost znamená, že z hlediska bezpečnosti, jakýkoli daný web služby SharePoint bude dramaticky lišit od jiného. Pokud chcete generovat sestavy aplikace access seznam, člověk potřebuje zjistit, jak je zabezpečený web, dotaz na více různých uživatelských profilů repozitářů a prezentovat ji v užitečná móda. To je těžké problém vyřešit obecně.

Jak se organizace zabývá tím? Rád bych slyšel od vás v komentářích nebo e-mail.

</Konec>

Doplněk Technorati značky: ,

Primer Základy zabezpečení serveru SharePoint / Vyhnout se nástrahám společného

AKTUALIZOVAT 12/18/07: Naleznete v článku Paul Liebrand některé technické důsledky odstranění nebo změně výchozí názvy skupin (viz jeho komentář níže a také).

Přehled:

Je snadno konfigurovat a spravovat zabezpečení služby SharePoint. Avšak, To se ukázalo jako obtížné pro některé správce poprvé opravdu zabalit své ruce kolem ní. Nejen, že, Viděl jsem, že někteří správci přicházejí k dokonalé porozumění v pondělí jen proto, aby ztratili to do pátku, protože neměli dělat všechny konfigurace v uplynulém čase. (Přiznám se, že s tímto problémem sám). Tato položka blogu snad poskytuje užitečné primer bezpečnostní služby SharePoint a ukazuje na některé doporučené postupy konfigurace zabezpečení.

Důležitá poznámka:

Tento popis je založena na box zabezpečení služby SharePoint. Moje osobní zkušenost je orientovaný kolem MOSS, tak tam může být nějaký MOSS konkrétní věci zde, ale věřím, že to je přesný pro WSS. Doufám, že někdo viděl nějaké chyby nebo opomenutí naznačí, v komentářích nebo napište mi. Zajistím, aby opravy místo spěchu.

Základy:

Pro účely tohoto přehledu, Existují čtyři základní aspekty bezpečnosti: Uživatelé a skupiny, zabezpečené objekty, úrovně oprávnění a dědičnosti.

Uživatelé a skupiny Break dolů:

  • Jednotliví uživatelé: Stáhl z aktivního adresáře nebo vytvořených přímo ve službě SharePoint.
  • Skupiny: Přímo mapovaná z adresáře active directory nebo vytvořených v SharePoint. Skupiny jsou kolekce uživatelů. Skupiny jsou globální v kolekci webů. Oni se nikdy "vázáno" pro určitý zabezpečený objekt.

Zabezpečené objekty Break se alespoň:

  • Weby
  • Knihovny dokumentů
  • Jednotlivé položky v seznamech a knihovnách dokumentů
  • Složky
  • Různé nastavení záložního řadiče domény.

Tam jiné zabezpečené objekty, ale dostanete obrázek.

Úrovně oprávnění: Svazek ve formě / nízká úroveň přístupová práva, které zahrnují takové věci jako vytváření, čtení a odstranění položek v seznamech.

Dědičnost: Ve výchozím nastavení entit dědí nastavení zabezpečení na jejich obsahující objektu. Podřízené weby dědí oprávnění z nadřazeného webu. Knihovny dokumentů dědí z jejich webu. Tak dále a tak dále.

Uživatelé a skupiny se vztahují k zabezpečeným objektům prostřednictvím úrovně oprávnění a dědičnosti.

Nejdůležitější bezpečnostní pravidla, pochopit, Ever 🙂 :

  1. Skupiny jsou jednoduše skupinám uživatelů.
  2. Skupiny jsou globální v rámci kolekce webů (tj. neexistuje nic takového jako skupiny definované na úrovni webu).
  3. Název skupiny není odolat, skupiny nemají, v místě a samy o sobě, žádné konkrétní úroveň bezpečnosti.
  4. Skupiny mají v kontextu určitého zabezpečeného objektu zabezpečení.
  5. Může přidělit různé úrovně oprávnění ke skupině stejné pro každý zabezpečený objekt.
  6. Webové aplikace politiky trumf, to vše (viz níže).

Správci zabezpečení ztratil v moři uživatelů a skupin výpisů může vždy spolehnout na tyto axiomy řídit a pochopit jejich konfigurace zabezpečení.

Společné úskalí:

  • Názvy skupin falešně naznačují oprávnění: Out of the box, SharePoint definuje sadu skupin, jejichž jména vyplývá základní úroveň zabezpečení. Zvažte skupině "Přispěvatel". Jeden obeznámeni s bezpečnostní služby SharePoint může dobře podívat se na to jméno a předpokládat, že každý člen této skupiny může "přispět" všechny stránky/seznam/knihovny v portálu. To může být pravda, ale ne proto, že název skupiny je náhodou "Přispěvatel". To je pravda z krabice jen proto, že skupina byla poskytnuta úroveň oprávnění, která jim umožňuje přidat, upravit či odstranit obsah v kořenové lokalitě. Prostřednictvím dědičnosti, Přispěvatelé"" Skupina může také přidat/upravit/smazat obsah na všechny dílčí weby. Jeden může "break" řetězec dědičnosti a změnit úroveň oprávnění podřízený_web takové že členové takzvaného "Přispěvatel" Skupina nemůže přispět na všech, ale jen číst (například). To by nebyl dobrý nápad, očividně, vzhledem k tomu, že by bylo velmi matoucí.
  • Skupiny nejsou definovány na úrovni webu. Je to snadné záměně uživatelské rozhraní. Společnost Microsoft poskytuje vhodný odkaz na uživatelů/skupin správy prostřednictvím každé stránky "lidé a skupiny" odkaz. Je snadné se domnívat, že když jsem na webu "xyzzy" a vytvořit skupinu prostřednictvím si xyzzy lidi a spojit skupiny, které jste právě vytvořili skupinu, která existuje jen v xyzzy. To není případ. Jsem vlastně vytvořil skupinu pro celou kolekci webů.
  • Skupiny členství nebude měnit o webu (tj. je to stejná všude, kam se používá skupina): Zvažte skupině "vlastník" a dva weby, "HR" a "Logistika". Bylo by vhodné si myslet, že dvou samostatných jedinců by vlastnit ty stránky — HR vlastníka a majitel logistiky. Uživatelské rozhraní usnadňuje správci zabezpečení špatně zacházet tohoto scénáře. Kdybych neznal lépe, Možná přístup osoby a skupiny odkazy prostřednictvím webu HR, Vyberte "vlastníci" seskupení a přidejte své HR vlastníka této skupiny. O měsíc později, Logistika přichází na lince. Z logistické stránky přístup k lidem a skupinám, Přidat vytáhnout "vlastníci" Skupina. Vidím tam majitel HR a odstranit ji, myslí, že jsem ji odstranění od vlastníků na stránce logistiky. Vlastně, Jsem ji vyjmete z globální skupiny Vlastníci. Veselí vyplývá.
  • Není-li název skupiny založené na roli: Schvalovatelé"" Skupina je dokonalým příkladem. Co mohou členové této skupiny schválení? Kde mohou schválí? Opravdu chci, oddělení logistiky lidé mohli schválit HR dokumenty? Samozřejmě že ne. Vždy jméno skupiny na základě jejich role v rámci organizace. Tím se sníží riziko, že skupina je přiřazena úroveň nevhodné oprávnění pro určitý zabezpečený objekt. Jméno skupiny na základě jejich zamýšleného role. V předchozím scénáři HR/logistika, Měl jsem vytvořil dvě nové skupiny: "HR vlastníci" a "Logistika vlastníci" a přiřadit úrovně rozumné oprávnění pro každého a minimální částka potřebná pro ty uživatele, aby dělali svoji práci.

Další užitečné odkazy:

Pokud jste to dotáhli tak daleko:

Prosím, dejte mi vědět vaše myšlenky přes Komentáře, nebo napište mi. Pokud znáte jiné dobré reference, Prosím o totéž!

Doplněk Technorati značky: