Archifau Categori: SharePoint Diogelwch

"Mynediad Gwrthod” i default.aspx ar SharePoint 2010 Is

Aeth un o fy cleientiaid yn byw gyda'u SharePoint 2010 yr amgylchedd heddiw.  Rydym yn darganfod nad oedd grŵp penodol o ddefnyddwyr gael mynediad at eu tudalen gartref ddiofyn.  Ymatebodd SharePoint gyda "Mynediad Gwrthod" a'r "arwydd fel defnyddiwr arall" arferol neu "Mynediad cais" ymateb. 

Pan fyddwn yn defnyddio'r nifty "Check Access" swyddogaeth y mae'n cadarnhau bod y defnyddwyr terfynol wir yn cael mynediad.  Eto, nad oeddent yn gallu cyrraedd y dudalen.

Dilynais llawer o ffyrdd i wahanol dod i ben marw nes i mi benderfynu i gymharu y rhannau ar y we ar y dudalen torri yn erbyn tudalen gwaith tebyg.  Yr wyf yn gwneud hynny drwy roi y dudalen yn y modd cynnal a chadw drwy ychwanegu "?cynnwys = 1 "i'r dudalen. Felly, mae'n edrych fel "http://gweinydd / subsite / subsite / default.aspx?cynnwys = 1 ". 

Dangosodd hyn yn ddwy ran ar y we o'r enw "Gwall" gyda disgrifiad fel "Gwall" ar y dudalen wedi torri i mi.  Doeddwn i ddim yn meddwl i gymryd cap sgrin ar yr adeg.

Rwy'n tynnu nhw a bod datrys y broblem.

Rwyf wedi gweld y cwestiwn fel hyn yn dod i fyny ar y fforymau yn y gorffennol ac roeddwn yn hynod o amheus am y poster mynnu ei fod wedi diogelwch osod yn iawn.  I * gwybod * oeddwn wedi diogelwch sefydlu hawl Smile  Y tro nesaf, 'N annhymerus' fod yn fwy agored ac yn llai amheus.

</diwedd>

Tanysgrifio i fy mlog.

Dilynwch fi ar Twitter yn http://www.twitter.com/pagalvin

Defnyddio Llif Gwaith i efelychu Cynnwys Math Diogelwch

Diwrnod arall, swydd arall ysbrydoli MSDN-fforymau.

Rhywun yn gofyn a allent sicrhau math o gynnwys fel bod pan fydd defnyddiwr yn clicio ar y botwm "newydd" ar restr arfer, dim ond mathau o gynnwys y mae'r person yn cael ei roi mynediad yn ymddangos yn y rhestr a ollyngir i lawr.  Fel y gwyddom, nid yw hyn yn cael ei gefnogi allan o'r bocs.

Mae'r cwestiwn hwn yn dod i fyny hyn a hyn a'r tro hwn, Roedd gen i syniad newydd.  Gadewch i ni dybio bod gennym senario fel hyn:

  • Mae gennym system desg gymorth docynnau.
  • Mae'r system docynnau ddesg gymorth yn caniatáu defnyddwyr i fynd i mewn gwybodaeth tocynnau desg gymorth rheolaidd, fel maes problem, statws problem, ac ati.
  • Rydym yn awyddus i ganiatáu i "super" ddefnyddwyr i nodi maes "brys".
  • Nid yw defnyddwyr eraill yn cael mynediad at y maes hwnnw.  Bydd y system bob amser yn neilltuo blaenoriaeth lefel "canolig" i'w ceisiadau.

Beth allwn ni ei wneud yw creu dwy restr SharePoint ar wahân a dau fath gynnwys gwahanol, un ar gyfer "super" ddefnyddwyr a'r llall ar gyfer pawb arall.

Llif Gwaith ar bob rhestr copïo'r data at y rhestr meistr (y rhestr tocynnau desg gymorth gwirioneddol) ac mae'r broses mynd yn ei flaen oddi yno.

Gallai dull hwn weithio llifo rhyw fath o ddiogelwch lefel colofn hefyd. 

Nid wyf wedi rhoi cynnig arno, ond mae'n teimlo'n rhesymol ac yn rhoi gweddol syml, os eithaf garw, opsiwn i weithredu math o math o gynnwys a hyd yn oed diogelwch lefel colofn.

</diwedd>

Tanysgrifio i fy mlog.

Dilynwch fi ar Twitter yn http://www.twitter.com/pagalvin

Cymeradwyo cynnwys yn Awtomatig Eitem Diogelwch Lefel Man Poor

Mae senario busnes cyffredin gyda ffurflenni InfoPath.  Rydym am alluogi pobl i lenwi ffurflenni InfoPath ac yn eu cyflwyno i lyfrgell.  Rydym am i reolwyr (ac nid oes unrhyw un arall) i gael mynediad at y ffurflenni hynny.

Mae'r cwestiwn hwn yn dod i fyny yn awr ac yna ar y ffurflenni (e.e.. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

Mae ffordd gyflym o ddatrys hyn yw galluogi cymeradwyaeth cynnwys ar y ffurflen llyfrgell.  Ewch lleoliadau fersiwn y llyfrgell ac yn gosod i fyny fel y dangosir:

image 

Cliciwch ar "cymeradwyaeth cynnwys gwneud yn ofynnol" a fydd yn eich galluogi i ddewis gwerth am Drafft Diogelwch eitem.

Mae'n ychydig yn wrth-sythweledol oherwydd nad ydym yn meddwl yn nhermau "cymeradwyaeth cynnwys" pan fydd yr holl rydym am ei wneud yw atal pobl rhag gweld ffurflenni defnyddwyr eraill '.  Fodd bynnag,, yn gweithio'n dda (yn fy mhrofiad i).  Nid yn unig yn cymeradwyo ffurflenni hynny a byddant yn bob amser yn cael ei ystyried "drafftiau". 

Rhoi hawliau gymeradwyaeth i'r bobl a ddylai fod yn gallu eu gweld a ydych wedi cau'r ddolen.

Nid yw hyn yn newyddion mawr yn union, ond mae'r cwestiwn yn dod i fyny gyda rhai rheoleidd, felly yr wyf yn meddwl y byddai'n werth postio.

</diwedd>

Tanysgrifio i fy mlog.

Dilynwch fi ar Twitter yn http://www.twitter.com/pagalvin

Beth yw Mynediad Limited Beth bynnag?

Y NEWYDDION DIWEDDARAF 11/03/08: Sicrhewch eich bod yn darllen y sylw rhagorol a manwl gan Dessie Lunsford i'r swydd hon.

Dwi wedi bod yn gweithio ar brosiect golygu cyfrinachol o dechnoleg ar gyfer llyfr sydd ar fin ac mae ei cyfeiriadau cofnod blog hwn gan Tyler Butler ar y blog MSDN ECM. Dyma y tro cyntaf a darllenais diffiniad clir o ystyr mynediad cyfyngedig yn bersonol. Yma yn y cig y diffiniad:

Yn SharePoint, defnyddwyr dienw’ Pennir hawliau gan lefel caniatâd mynediad cyfyngedig. Mynediad cyfyngedig yw lefel caniatâd arbennig hynny na ellir eu haseinio i ddefnyddiwr neu grŵp uniongyrchol. Y rheswm y mae'n bodoli yw os ydych yn Llyfrgell neu contractwr sydd wedi torri hawliau etifeddiaeth, a ydych yn rhoi mynediad defnyddiwr/grŵp i dim ond y Llyfrgell/contractwr, er mwyn gweld ei gynnwys, Rhaid i'r defnyddiwr/grŵp gael rhywfaint o fynediad at y we gwraidd. Fel arall bydd y grŵp/defnyddwyr yn gallu pori Llyfrgell/contractwr, Er bod ganddynt hawliau yno, oherwydd y mae pethau yn y we gwraidd y mae eu hangen i wneud y safle neu'r llyfrgell. Felly,, Pan fyddwch yn rhoi hawliau grŵp dim ond i contractwr neu Llyfrgell yn torri hawliau etifeddiaeth, Bydd SharePoint awtomatig yn rhoi mynediad cyfyngedig i'r grŵp neu'r defnyddiwr ar y we gwraidd.

Mae'r cwestiwn hwn yn codi'n awr ac yna ar y fforymau MSDN a dw i wedi bod yn rhyfedd bob amser (ond nid yn ddigon rhyfedd i mae'n ffigur allan cyn heddiw :)).

</diwedd>

Tanysgrifio i fy mlog.

Dilynwch fi ar Twitter yn http://www.twitter.com/pagalvin

Tagiau Technorati:

'N chwim Blaen: Ffurfweddu Diogelwch i Ganiatáu Admins i Fynediad unrhyw Fy Man yn SharePoint

Mewn arwydd bod Cyfrifiadura Cymdeithasol yn dechrau cymryd i ffwrdd gyda SharePoint, Yr wyf yn gweld cynnydd yn nifer y cwestiynau math fy safle. Mae un cwestiwn cyffredin yn mynd rhywbeth fel hyn:

"Yr wyf yn weinyddwr ac angen y gallu i gael gafael ar bob safle fy. Sut ydych yn gwneud hynny?"

Y tric yw bod pob fy safle yn casglu ei hun safle. Gweinyddir SharePoint diogelwch fel arfer ar lefel safle casglu a hyn mae teithiau llawer yn weinyddwr SharePoint. Fel arfer, eisoes mae ganddi fynediad i ffurfweddu diogelwch yn y "Prif" casgliadau safle ac efallai na sylweddoli nad yw hyn yn gweithio yn awtomatig ar gyfer My Safleoedd.

Casgliadau Safle gyda'i gilydd yn byw y tu mewn i gynhwysydd mwy ei faint, sydd yn y cais gwe. Gall gweinyddwyr fferm Gallwch ffurfweddu diogelwch ar y we ap lefel a dyma sut gall gweinyddwyr y grant mynediad i gasglu unrhyw safle yn y cais gwe eu hunain. Mae cofnod blog hwn yn disgrifio un o 'm profiadau personol gyda pholisïau cais gwe. Diffiniad yr polisi cais gwe damweiniau: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Gall polisïau cais gwe fod yn beryglus ac awgrymaf eu bod eu defnyddio'n gynnil. Pe bawn yn admin (a diolch byth nad wyf yn), Byddai yn creu cyfrif AD ar wahân o'r enw rhywbeth fel "SharePoint we ap gweinyddwr" a rhoi cyfrif hwnnw un rôl diogelwch cais y we, mae angen. Nid wyf byddai ffurfweddu'r math hwn o beth ar gyfer y gweinyddol rheolaidd ar y fferm neu'r gweinyddwyr casgliad safle unigol. Bydd yn tueddu i guddio problemau posibl, oherwydd mae rôl ap we yn diystyru unrhyw osodiadau diogelwch lefel is.

</diwedd>

Tanysgrifio i fy mlog.

Dilynwch fi ar Twitter yn http://www.twitter.com/pagalvin

Tagiau Technorati: ,

Methu barn a Colofnau ar Restrau a Llyfrgelloedd Dogfen yn cael ei sicrhau

Y NEWYDDION DIWEDDARAF (02/29/08): Mae'r prosiect hwn yn Codeplex newydd yn ymddangos i ddarparu dull ar gyfer sicrhau colofnau unigol: http://www.codeplex.com/SPListDisplaySetting. Os oes gennych unrhyw brofiad o weithio ag ef, gadewch sylw.

Posteri fforwm yn aml yn gofyn cwestiwn fel hyn: "Mae gennyf farn rheolwr ac a barn staff o'r rhestr. Sut wneud sicrhau barn y rheolwr fel y gall staff ei ddefnyddio nid?"

Maent hefyd yn aml yn gofyn cwestiwn cysylltiedig: "Rwyf eisiau sicrhau Colofn metadata penodol fel y gall rheolwyr yn unig yn golygu bod colofn tra gall eraill ni hyd yn oed yn ei weld."

Mae'r atebion hyn yn berthnasol i ddau WSS 3.0 a MOSS:

  • Nid yw SharePoint yn darparu y tu allan-oy-blwch cymorth ar gyfer sicrhau barn.
  • Nid yw SharePoint yn darparu y tu allan-oy-blwch cymorth ar gyfer colofnau diogelwch.

Ceir nifer o dechnegau un gall ddilyn i ateb y mathau hyn o ofynion diogelwch. Yma yw beth y gall ei feddwl o:

  • Defnyddio diogelwch lefel eitem allan y blwch. Mae barn bob amser yn cadw'r ffurfweddiad diogelwch lefel eitem. Gall derbynwyr y digwyddiad a/neu llif gwaith awtomeiddio diogelwch aseiniad.
  • Defnyddio safbwyntiau personol ar gyfer "y fraint" barn. Mae'r rhain yn ddigon hawdd i'w sefydlu. Fodd bynnag,, oherwydd eu "personol" natur, Mae angen ei ffurfweddu ar gyfer pob defnyddiwr. Defnyddio ffurfweddiad diogelwch safonol i atal unrhyw un arall rhag creu barn bersonol.
  • Defnyddio data barn gwe rhan a gweithredu rhyw fath o ddiogelwch AJAXy ateb tocio.
  • Rholiwch eich rhestr ymarferoldeb arddangos eu hunain ac ymgorffori diogelwch tocio ar lefel y golofn.
  • Addasu'r ffurflenni cofnodi data ac yn defnyddio JavaScript ar y cyd â'r model diogelwch i weithredu diogelwch ar lefel colofn tocio.
  • Ddefnyddio ffurflen InfoPath ar gyfer cofnodi data. Gweithredu diogelwch lefel Colofn tocio drwy'r we gwasanaeth galw i SharePoint a amodol cuddio meysydd fel y bo angen.
  • Rholiwch eich ASP.NET swyddogaeth cofnodi data ei hun sy'n gweithredu colofn diogelwch lefel tocio.

Nid yw'r un o'r opsiynau hynny yn iawn bod wych, ond mae o leiaf llwybr i'w ddilyn os oes angen, hyd yn oed os yw'n anodd.

NODYN: Os ewch chi i lawr unrhyw un o'r llwybrau hyn, Peidiwch ag anghofio am "gamau gweithredu-> Agored gyda Windows Explorer". Hoffech chi fod yn siŵr bod y profwch gyda nodwedd i wneud yn siŵr bod nad yw'n gweithio fel drws cefn"" a threchu eich cynllun diogelwch.

Os oes gennych chi syniadau eraill ar gyfer neu brofiadau â sicrhau colofnau neu farn, os gwelwch yn dda e-bost ataf neu ad sylw a byddaf yn diweddaru'r postio fel y bo'n briodol.

</diwedd>

Tanysgrifio i fy mlog.

Tagiau Technorati:

Ateb: System.IO.FileNotFoundException ar “SPSite = newydd SPSite(url)”

Y NEWYDDION DIWEDDARAF: Yr wyf yn postio y cwestiwn hwn i MSDN yma (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) a ymatebodd Michael Washam o Microsoft gyda ateb cryno.

Yr wyf yn creu gwasanaeth ar y we i weithredu fel Ffasâd BDC-gyfeillgar rhestr SharePoint. Pan ddefnyddiais hyn o fy amgylchedd datblygu, roedd yn gweithio iawn. Pan fyddaf yn symud hyn i weinydd newydd, Rwy'n dod ar draws gwall hwn:

System.IO.FileNotFoundException: The Web application at http://localhost/sandbox Ni ellid dod o hyd. Gwirio eich bod wedi teipio'r URL yn gywir. Os bydd y URL yn gweini cynnwys presennol, Efallai y bydd angen i'r gweinyddwr system i ychwanegu mapio URL cais newydd i'r cais arfaethedig. yn Microsoft.SharePoint.SPSite .. ctor(Fferm SPFarm, Uri requestUri, Boole contextSite, SPUserToken userToken) yn Microsoft.SharePoint.SPSite .. ctor(Llinynnol requestUrl) ar Conchango.xyzzy.GetExistingDocument(Llinynnol minId, Llinynnol maxId, Llinynnol teitl hidlo) in C:\Documents and Settings Paul My Documents Weledol Studio 2005 Prosiectau xyzzy BDC_DocReview BDC_DocReview DocReviewFacade.asmx.cs:llinell 69

Dyma linell 69:

gan ddefnyddio (Safle SPSite = SPSite newydd("http://localhost/sandbox"))

Rhoddais gynnig gwahanol amrywiadau ar y URL, gan gynnwys defnyddio enw go iawn y gweinydd, ei gyfeiriad IP, llusgo slaes ar y URL, ac ati. Cefais gwall hwnnw bob amser.

Roeddwn i'n arfer Mae Google i ymchwilio iddo. Mae llawer o bobl yn wynebu'r mater hwn, neu amrywiadau ohono, ond nid oes unrhyw un yn ymddangos i gael ei datrys.

Darparu Tricksy MOSS gwall mor fanwl nad oedd yn digwydd i mi edrych ar y 12 boncyffion cwch. Yn y pen draw, am 24 awr ar ôl fy nghydweithiwr argymell wyf yn gwneud hynny, Wyf yn gwirio allan y 12 log cwch gwenyn a dod o hyd hyn:

Eithriad wedi digwydd wrth geisio i gaffael y fferm leol:
System.Security.SecurityException: Nid yw gofyn am fynediad registry yn cael ei ganiatáu.
yn System.ThrowHelper.ThrowSecurityException(Adnoddau ExceptionResource) yn
(Enw llinyn, Ysgrifenadwy boolean) yn
(Enw llinyn) yn
() yn
() yn
(SPFarm& fferm, Boole& isJoined)
Y Gylchfa y cynulliad a fethodd yn:  MyComputer

Agorodd hyn i fyny llwybrau ymchwil newydd, felly roedd yn ôl i The Google. Mae hynny'n fy arwain at y fforwm ar ôl: http://forums.codecharge.com / posts.php?post_id = 67135. Mewn gwirionedd nid oedd hynny yn fy helpu ond oedd yn dechrau gwneud imi feddwl oedd mater cronfa ddata a/neu ddiogelwch. Soldiered wyf a Andrew Connell yn ôl yn olaf ysgogi meddwl y dylid gwneud siwr bod mynediad priodol at y gronfa ddata cyfrif hunaniaeth y cais pwll. Yr oeddwn yn meddwl wnaeth eisoes. Fodd bynnag,, aeth fy nghydweithiwr a rhoddodd y hunaniaeth pwll app cyfrif fynediad llawn i SQL.

Cyn gynted ag y gwnaeth y newid hwnnw, Roedd popeth yn dechrau gweithio.

Beth ddigwyddodd nesaf orau o fynegi fel haiku cerdd:

Problemau yn codi eu dwylo.
Chi siglen a miss. trïwch eto.
Llwyddiant! Ond sut? Pam?

Doedd hi ddim eisiau gadael pethau ei ben ei hun fel 'na, gan ddewis i roi'r isafswm caniatâd gofynnol (ac mae'n debyg gyda golwg ar ysgrifennu cofnod blog; Rwy'n curo hi i'r dyrnu, muhahahahaha!).

Mae hi'n tynnu caniatâd olynol o'r cyfrif hunaniaeth pwll app hyd nes … Nid oedd mwyach unrhyw ganiatâd penodol ar gyfer y cyfrif hunaniaeth pwll ap o gwbl. Gwasanaeth y we yn parhau i weithio'n dda.

Aethom a ailgychwyn y gweinyddion. Popeth yn parhau i weithio'n iawn.

Felly, i grynhoi: Rydym yn rhoi mynediad llawn hunaniaeth pwll ap ac wedyn yn cymryd i ffwrdd. Gwasanaeth y we wedi dechrau gweithio a byth yn stopio gweithio. Rhyfedd.

Os oes unrhyw un yn gwybod pam y dylai hynny wedi gweithio, gadewch sylw.

</diwedd>

Tagiau Technorati:

Isafswm Diogelwch Angen Ar gyfer Ffurflenni InfoPath

Yr angen i fodloni'r gofyniad diogelwch am ffurflen InfoPath heddiw. Yn y sefyllfa hon yn y busnes, yn nifer cymharol fach o unigolion yn caniatáu creu ffurflen newydd InfoPath a gynulleidfa lawer ehangach yn caniatáu i'w olygu. (Mae hyn yn newydd-llogi ffurflen ar-fyrddio a ddefnyddir gan Adnoddau Dynol yn lansio llif gwaith).

Er mwyn cyflawni'r amcan hwnnw, Yr wyf yn creu creu dwy lefel caniatâd newydd ("greu a diweddaru" a "diweddariad yn unig"), Torrodd etifeddiaeth ar gyfer y Llyfrgell ffurflen a neilltuo hawliau i yn "creu, diweddaru" defnyddiwr ac ar wahân "wybodaeth ddiweddaraf yn unig" defnyddiwr. Pob mecanwaith gweithio, ond trodd ei yn cynnwys ychydig yn fwy na'r disgwyl. (Os ydych yn teimlo ychydig yn sigledig ar ganiatâd SharePoint, edrychwch ar y swydd hon blog). Nid oedd y ffurfweddiad diogelwch gofynnol ar gyfer y lefel caniatâd y set amlwg o ganiatadau gronynnog. I greu lefel caniatâd diweddariad yn unig am ffurflen InfoPath, Fe wnes i'r canlynol:

  1. Creu lefel ganiatâd newydd.
  2. Clirio ymaith yr holl opsiynau.
  3. Dewis dim ond y canlynol oddi wrth "Rhestr hawliau":
    • Golygu Eitemau
    • Gweld Eitemau
    • Gweld Tudalennau Cais

Dewis opsiynau hyn yn galluogi defnyddiwr i ddiweddaru ffurflen, ond heb greu.

Y gamp oedd galluogi "Gweld cais tudalennau". Nid oes unrhyw verbage ar lefel caniatâd sy'n dangos sydd eu hangen ar gyfer ffurflenni InfoPath diweddariad yn unig, ond yn troi allan ei fod yn.

Creu-a-y diweddaraf oedd hyd yn oed dieithriaid. Yr wyf yn dilyn yr un camau, 1 trwy 3 uchod. Cefais i ychwanegu "safle caniatâd yn benodol" opsiwn: "Defnyddio nodweddion integreiddio cleient". Unwaith eto,, nad yw'r disgrifiad yno yn ei gwneud yn ymddangos fel y dylai fod yn ofynnol i gael ffurflen InfoPath, ond mae'n.

</diwedd>

Tagiau Technorati: ,

Nid yw SharePoint Darparu “Pwy A Mynediad” Adroddiadau

Y NEWYDDION DIWEDDARAF 01/28/08: Mae'r prosiect hwn yn Codeplex afael â'r mater hwn: http://www.codeplex.com/AccessChecker. Nid wyf wedi defnyddio, ond mae'n edrych yn addawol os yw hyn yn fater y mae angen i chi fynd i'r afael yn eich amgylchedd.

Y NEWYDDION DIWEDDARAF 11/13/08: Ysgrifennodd Joel OLESON â swydd dda iawn ar y mater rheoli diogelwch mwy o faint yma: http://www.sharepointjoel.com / Lists / Neges / Post.aspx?List=0cd1a63d-183c-4fc2-8320-ba5369008acb&ID = 113. Mae'n cysylltu â nifer o adnoddau defnyddiol eraill.

Fforwm defnyddwyr a chleientiaid yn aml yn gofyn cwestiwn ar hyd y llinellau hyn: "Sut wneud greu rhestr o'r holl ddefnyddwyr gyda mynediad i safle" neu "sut gall awtomatig hysbysu fy holl ddefnyddwyr sydd â mynediad at rhestr am newidiadau a wnaed at y rhestr?"

Nid oes dim allan o'r ateb yn y blwch ar gyfer hyn. Os ydych yn meddwl am y peth am eiliad, nid yw'n anodd deall pam.

Diogelwch SharePoint yn hyblyg iawn. Ceir o leiaf pedwar categori mawr o ddefnyddwyr:

  • Defnyddwyr anhysbys.
  • Defnyddwyr a Grwpiau SharePoint.
  • Defnyddwyr Active Directory.
  • Ffurflenni Dilysu yn Seiliedig ar (FBA) defnyddwyr.

Mae hyblygrwydd yn golygu, o safbwynt diogelwch, Bydd unrhyw safle SharePoint penodol yn sylweddol wahanol i'r un arall. Er mwyn cynhyrchu adroddiad rhestr mynediad, un angen i ganfod sut mae'r safle'n cael ei sicrhau, ymholiad ystorfeydd proffil defnyddiwr gwahanol lluosog ac wedyn ei gyflwyno mewn modd defnyddiol. Dyna yn broblem anodd ei datrys yn enerig.

Sut mae sefydliadau sy'n ymdrin â hyn? Byddwn wrth fy modd i glywed eich sylwadau neu e-bost.

</diwedd>

Tagiau Technorati: ,

SharePoint Diogelwch Hanfodion Gyntaf / Osgoi Camgymeriadau cyffredin

Y NEWYDDION DIWEDDARAF 12/18/07: Gweler erthygl Paul Liebrand ar gyfer rhai canlyniadau technegol dileu neu addasu'r enwau grŵp diofyn (gweld ei sylwadau isod yn ogystal).

Trosolwg:

Diogelwch SharePoint yn hawdd i ffurfweddu a rheoli. Fodd bynnag,, profwyd i fod yn anodd i rai gweinyddwyr tro cyntaf mewn gwirionedd yn lapio eu dwylo o'i amgylch. Nid yn unig hynny, Yr wyf wedi gweld rhai gweinyddwyr ddod i ddealltwriaeth perffaith ddydd Llun yn unig i wedi colli ei erbyn dydd Gwener oherwydd nad oedd ganddynt i wneud unrhyw ffurfweddiad yn y cyfamser. (Yr wyf yn cyfaddef i gael y broblem fy hun). Mae'r cofnod blog hwn yn gobeithio darparu sylfaenol diogelwch SharePoint defnyddiol ac pwyntiau tuag at arferion gorau rhai ffurfweddiad diogelwch.

Nodyn Pwysig:

Mae'r disgrifiad hwn yn seiliedig ar o'r blwch SharePoint diogelwch. Mae fy mhrofiad personol yn troi o gwmpas MOSS felly efallai y bydd rhai pethau penodol MOSS yma, ond credaf ei bod yn gywir ar gyfer WSS. Gobeithiaf y bydd unrhyw un yn gweld unrhyw wallau neu hepgoriadau nodi hynny yn sylwadau neu e-bost ataf. Byddwch yn gwneud cywiriadau swydd brys.

Hanfodion:

At ddibenion y trosolwg hwn, mae pedair agwedd sylfaenol i nawdd: defnyddwyr / grwpiau, gwrthrychau securable, lefelau caniatâd cynllunio a etifeddiaeth.

Defnyddwyr a Grwpiau dorri i lawr i:

  • Defnyddwyr unigol: Dynnu o'r cyfeiriadur gweithredol neu eu creu yn uniongyrchol yn SharePoint.
  • Grwpiau: SharePoint wedi'u mapio uniongyrchol o'r Cyfeiriadur Gweithredol neu wedi creu yn. Grwpiau yn gasgliad o ddefnyddwyr. Grwpiau yn fyd-eang mewn casgliad safle. Eu bod byth "ynghlwm" i wrthrych securable penodol.

Gwrthrychau Securable torri i lawr hyd at o leiaf:

  • Safleoedd
  • Llyfrgelloedd Document
  • Eitemau unigol mewn rhestrau a llyfrgelloedd dogfen
  • Folders
  • Amrywiol leoliadau BDC.

Mae gwrthrychau securable eraill, ond byddwch yn cael y darlun.

Lefelau Caniatâd: Mae bwndel o gronynnog / hawliau mynediad lefel isel sy'n cynnwys pethau fel creu/darllen/dileu cofnodion mewn rhestrau.

Etifeddu: Gan endidau diofyn etifeddu gosodiadau diogelwch gan eu gwrthrych sy'n cynnwys. Mae is-safleoedd yn etifeddu caniatâd gan eu rhiant. Mae'r ddogfen llyfrgelloedd yn etifeddu gan eu safle. Blaen ac ati.

Defnyddwyr a grwpiau yn ymwneud â gwrthrychau securable trwy lefelau ganiatâd cynllunio ac etifeddiaeth.

Mae'r Rheolau Diogelwch Pwysicaf I Deall, Ever 🙂 :

  1. Grwpiau yn syml casgliadau o ddefnyddwyr.
  2. Grwpiau yn fyd-eang o fewn casgliad y safle (h.y. nid oes y fath beth â grŵp diffiniedig ar lefel safle).
  3. Enw'r grŵp er gwaethaf, Nid yw grwpiau yn, i mewn ac ohonynt eu hunain, Mae unrhyw lefel benodol o ddiogelwch.
  4. Mae grwpiau diogelwch yng nghyd-destun securable gwrthrych penodol.
  5. Efallai y byddwch yn aseinio gwahanol lefelau caniatâd i'r un grŵp ar gyfer pob gwrthrych securable.
  6. Polisïau cais ar y we trump hyn i gyd (gweler isod).

Gall gweinyddwyr diogelwch goll mewn môr o grŵp a rhestrau defnyddwyr bob amser yn dibynnu ar y axioms hyn i reoli a deall eu cyfluniad diogelwch.

Camgymeriadau Cyffredin:

  • Grŵp enwau ffug yn awgrymu caniatâd: Allan o'r blwch, Mae SharePoint yn diffinio set o grwpiau y mae eu henwau yn awgrymu lefel diogelwch cynhenid. Ystyried y grŵp "Cyfrannwr". Gall un anghyfarwydd â diogelwch SharePoint dda edrych ar yr enw hwnnw a dybio y gall unrhyw aelod o'r grŵp hwnnw "gyfrannu" i unrhyw safle/rhestr/llyfrgell yn y Porth. Efallai fod hynny'n wir ond nid oherwydd y grŵp enw yn digwydd bod "cyfrannwr". Mae hyn ond yn wir o'r blwch oherwydd bod y grŵp wedi'i ddarparu lefel caniatâd sy'n eu galluogi i ychwanegu/golygu/dileu cynnwys ar y safle gwraidd. Trwy etifeddu, "cyfranwyr" Caiff grŵp hefyd yn cynnwys ychwanegu/golygu/dileu ar bob is-safle. Gall un "egwyl" y gadwyn etifeddiaeth a newid lefel y caniatâd o is-safleoedd o'r fath y bydd Aelodau y cyfrannwr"fel y'i gelwir" Ni all y grŵp gyfrannu o gwbl, ond dim ond darllen (er enghraifft,). Ni fyddai hyn yn syniad da, yn amlwg, gan y byddai'n ddryslyd iawn.
  • Nid yw grwpiau yn cael eu diffinio ar lefel safle. Mae'n hawdd drysu gan rhyngwyneb y defnyddiwr. Mae Microsoft yn darparu cyswllt gyfleus i'r defnyddiwr/grŵp rheoli drwy bob safle "pobl a grwpiau" cyswllt. Mae'n hawdd credu hynny pan fyddaf ar safle "xyzzy" a wyf yn creu grŵp drwy xyzzy y bobl ac mae grwpiau yn cysylltu hynny dim ond rwyf wedi creu grŵp sy'n bodoli dim ond ar xyzzy. Nid yw hynny'n wir. Dwi wedi grëwyd grŵp ar gyfer casglu safle cyfan.
  • Nid yw aelodaeth Grwpiau yn amrywio yn ôl safle (h.y. mae yr un fath ym mhob man y grŵp yn cael ei ddefnyddio): Ystyried y grŵp "perchennog" a dau safle, "ADNODDAU DYNOL" a "Logisteg". Byddai'n arferol i feddwl y byddai dau unigolyn ar wahân yn berchen ar y safleoedd hynny — perchennog adnoddau dynol ac i berchennog logisteg. Mae rhyngwyneb y defnyddiwr yn ei gwneud yn hawdd i weinyddwr diogelwch i mishandle y senario hwn. Os nad oedd yn gwybod yn well, Efallai fy mod mynediad y Bobl a chysylltiadau Grwpiau drwy'r wefan Adnoddau Dynol, Dewiswch "perchnogion" grŵp ac ychwanegu fy perchennog adnoddau dynol i'r grŵp hwnnw. Fis yn ddiweddarach, Daw'r logisteg ar linell. Mynediad pobl a grwpiau o'r safle logisteg, ychwanegu tynnu fyny "perchnogion" grŵp. Gweler y perchennog adnoddau dynol yno a chael gwared ar ei, meddwl bod yr wyf imi gael gwared hi gan berchnogion ar safle'r logisteg. Yn wir,, Yr wyf yn cael gwared hi gan y grŵp perchnogion fyd-eang. Mae ddigrifwch yn mynd yn ei flaen.
  • Methu â enwi grwpiau yn seiliedig ar rôl benodol: Y "cymeradwywyr" grŵp yn enghraifft berffaith. Beth y gall aelodau o hwn gymeradwyo'r grŵp? Lle gall iddynt ei gymeradwyo? Nid wyf mewn gwirionedd am adran logisteg pobl i allu gymeradwyo dogfennau adnoddau dynol? Wrth gwrs nid. Bob amser enw grwpiau yn seiliedig ar eu rôl o fewn y sefydliad. Bydd hyn yn lleihau'r risg y caiff y grŵp ei neilltuo lefel caniatâd amhriodol ar gyfer gwrthrych securable penodol. Enw grwpiau yn seiliedig ar eu rôl arfaethedig. Yn y senario adnoddau dynol/logisteg blaenorol, Dylwn fod wedi creu dau grŵp newydd: "Adnoddau dynol perchnogion" a "logisteg perchnogion" a neilltuo lefelau caniatâd synhwyrol ar gyfer pob a'r swm lleiaf sydd ei angen ar gyfer defnyddwyr hynny i wneud eu gwaith.

Cyfeiriadau Defnyddiol Eraill:

Os ydych wedi gwneud cyn belled â hyn:

Gadewch i mi wybod eich barn drwy sylwadau neu e-bost. Os ydych yn gwybod cyfeiriadau da eraill, os gwelwch yn dda wneud yr un peth!

Tagiau Technorati: