Y NEWYDDION DIWEDDARAF 12/18/07: Gweler erthygl Paul Liebrand ar gyfer rhai canlyniadau technegol dileu neu addasu'r enwau grŵp diofyn (gweld ei sylwadau isod yn ogystal).
Trosolwg:
Diogelwch SharePoint yn hawdd i ffurfweddu a rheoli. Fodd bynnag,, profwyd i fod yn anodd i rai gweinyddwyr tro cyntaf mewn gwirionedd yn lapio eu dwylo o'i amgylch. Nid yn unig hynny, Yr wyf wedi gweld rhai gweinyddwyr ddod i ddealltwriaeth perffaith ddydd Llun yn unig i wedi colli ei erbyn dydd Gwener oherwydd nad oedd ganddynt i wneud unrhyw ffurfweddiad yn y cyfamser. (Yr wyf yn cyfaddef i gael y broblem fy hun). Mae'r cofnod blog hwn yn gobeithio darparu sylfaenol diogelwch SharePoint defnyddiol ac pwyntiau tuag at arferion gorau rhai ffurfweddiad diogelwch.
Nodyn Pwysig:
Mae'r disgrifiad hwn yn seiliedig ar o'r blwch SharePoint diogelwch. Mae fy mhrofiad personol yn troi o gwmpas MOSS felly efallai y bydd rhai pethau penodol MOSS yma, ond credaf ei bod yn gywir ar gyfer WSS. Gobeithiaf y bydd unrhyw un yn gweld unrhyw wallau neu hepgoriadau nodi hynny yn sylwadau neu e-bost ataf. Byddwch yn gwneud cywiriadau swydd brys.
Hanfodion:
At ddibenion y trosolwg hwn, mae pedair agwedd sylfaenol i nawdd: defnyddwyr / grwpiau, gwrthrychau securable, lefelau caniatâd cynllunio a etifeddiaeth.
Defnyddwyr a Grwpiau dorri i lawr i:
- Defnyddwyr unigol: Dynnu o'r cyfeiriadur gweithredol neu eu creu yn uniongyrchol yn SharePoint.
- Grwpiau: SharePoint wedi'u mapio uniongyrchol o'r Cyfeiriadur Gweithredol neu wedi creu yn. Grwpiau yn gasgliad o ddefnyddwyr. Grwpiau yn fyd-eang mewn casgliad safle. Eu bod byth "ynghlwm" i wrthrych securable penodol.
Gwrthrychau Securable torri i lawr hyd at o leiaf:
- Safleoedd
- Llyfrgelloedd Document
- Eitemau unigol mewn rhestrau a llyfrgelloedd dogfen
- Folders
- Amrywiol leoliadau BDC.
Mae gwrthrychau securable eraill, ond byddwch yn cael y darlun.
Lefelau Caniatâd: Mae bwndel o gronynnog / hawliau mynediad lefel isel sy'n cynnwys pethau fel creu/darllen/dileu cofnodion mewn rhestrau.
Etifeddu: Gan endidau diofyn etifeddu gosodiadau diogelwch gan eu gwrthrych sy'n cynnwys. Mae is-safleoedd yn etifeddu caniatâd gan eu rhiant. Mae'r ddogfen llyfrgelloedd yn etifeddu gan eu safle. Blaen ac ati.
Defnyddwyr a grwpiau yn ymwneud â gwrthrychau securable trwy lefelau ganiatâd cynllunio ac etifeddiaeth.
Mae'r Rheolau Diogelwch Pwysicaf I Deall, Ever 🙂 :
- Grwpiau yn syml casgliadau o ddefnyddwyr.
- Grwpiau yn fyd-eang o fewn casgliad y safle (h.y. nid oes y fath beth â grŵp diffiniedig ar lefel safle).
- Enw'r grŵp er gwaethaf, Nid yw grwpiau yn, i mewn ac ohonynt eu hunain, Mae unrhyw lefel benodol o ddiogelwch.
- Mae grwpiau diogelwch yng nghyd-destun securable gwrthrych penodol.
- Efallai y byddwch yn aseinio gwahanol lefelau caniatâd i'r un grŵp ar gyfer pob gwrthrych securable.
- Polisïau cais ar y we trump hyn i gyd (gweler isod).
Gall gweinyddwyr diogelwch goll mewn môr o grŵp a rhestrau defnyddwyr bob amser yn dibynnu ar y axioms hyn i reoli a deall eu cyfluniad diogelwch.
Camgymeriadau Cyffredin:
- Grŵp enwau ffug yn awgrymu caniatâd: Allan o'r blwch, Mae SharePoint yn diffinio set o grwpiau y mae eu henwau yn awgrymu lefel diogelwch cynhenid. Ystyried y grŵp "Cyfrannwr". Gall un anghyfarwydd â diogelwch SharePoint dda edrych ar yr enw hwnnw a dybio y gall unrhyw aelod o'r grŵp hwnnw "gyfrannu" i unrhyw safle/rhestr/llyfrgell yn y Porth. Efallai fod hynny'n wir ond nid oherwydd y grŵp enw yn digwydd bod "cyfrannwr". Mae hyn ond yn wir o'r blwch oherwydd bod y grŵp wedi'i ddarparu lefel caniatâd sy'n eu galluogi i ychwanegu/golygu/dileu cynnwys ar y safle gwraidd. Trwy etifeddu, "cyfranwyr" Caiff grŵp hefyd yn cynnwys ychwanegu/golygu/dileu ar bob is-safle. Gall un "egwyl" y gadwyn etifeddiaeth a newid lefel y caniatâd o is-safleoedd o'r fath y bydd Aelodau y cyfrannwr"fel y'i gelwir" Ni all y grŵp gyfrannu o gwbl, ond dim ond darllen (er enghraifft,). Ni fyddai hyn yn syniad da, yn amlwg, gan y byddai'n ddryslyd iawn.
- Nid yw grwpiau yn cael eu diffinio ar lefel safle. Mae'n hawdd drysu gan rhyngwyneb y defnyddiwr. Mae Microsoft yn darparu cyswllt gyfleus i'r defnyddiwr/grŵp rheoli drwy bob safle "pobl a grwpiau" cyswllt. Mae'n hawdd credu hynny pan fyddaf ar safle "xyzzy" a wyf yn creu grŵp drwy xyzzy y bobl ac mae grwpiau yn cysylltu hynny dim ond rwyf wedi creu grŵp sy'n bodoli dim ond ar xyzzy. Nid yw hynny'n wir. Dwi wedi grëwyd grŵp ar gyfer casglu safle cyfan.
- Nid yw aelodaeth Grwpiau yn amrywio yn ôl safle (h.y. mae yr un fath ym mhob man y grŵp yn cael ei ddefnyddio): Ystyried y grŵp "perchennog" a dau safle, "ADNODDAU DYNOL" a "Logisteg". Byddai'n arferol i feddwl y byddai dau unigolyn ar wahân yn berchen ar y safleoedd hynny — perchennog adnoddau dynol ac i berchennog logisteg. Mae rhyngwyneb y defnyddiwr yn ei gwneud yn hawdd i weinyddwr diogelwch i mishandle y senario hwn. Os nad oedd yn gwybod yn well, Efallai fy mod mynediad y Bobl a chysylltiadau Grwpiau drwy'r wefan Adnoddau Dynol, Dewiswch "perchnogion" grŵp ac ychwanegu fy perchennog adnoddau dynol i'r grŵp hwnnw. Fis yn ddiweddarach, Daw'r logisteg ar linell. Mynediad pobl a grwpiau o'r safle logisteg, ychwanegu tynnu fyny "perchnogion" grŵp. Gweler y perchennog adnoddau dynol yno a chael gwared ar ei, meddwl bod yr wyf imi gael gwared hi gan berchnogion ar safle'r logisteg. Yn wir,, Yr wyf yn cael gwared hi gan y grŵp perchnogion fyd-eang. Mae ddigrifwch yn mynd yn ei flaen.
- Methu â enwi grwpiau yn seiliedig ar rôl benodol: Y "cymeradwywyr" grŵp yn enghraifft berffaith. Beth y gall aelodau o hwn gymeradwyo'r grŵp? Lle gall iddynt ei gymeradwyo? Nid wyf mewn gwirionedd am adran logisteg pobl i allu gymeradwyo dogfennau adnoddau dynol? Wrth gwrs nid. Bob amser enw grwpiau yn seiliedig ar eu rôl o fewn y sefydliad. Bydd hyn yn lleihau'r risg y caiff y grŵp ei neilltuo lefel caniatâd amhriodol ar gyfer gwrthrych securable penodol. Enw grwpiau yn seiliedig ar eu rôl arfaethedig. Yn y senario adnoddau dynol/logisteg blaenorol, Dylwn fod wedi creu dau grŵp newydd: "Adnoddau dynol perchnogion" a "logisteg perchnogion" a neilltuo lefelau caniatâd synhwyrol ar gyfer pob a'r swm lleiaf sydd ei angen ar gyfer defnyddwyr hynny i wneud eu gwaith.
Cyfeiriadau Defnyddiol Eraill:
- Polisi cymhwysiad gwe gotcha yn: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Clearinghouse ar gyfer SharePoint diogelwch: http://www.sharepointsecurity.com/
- Cysylltiadau o Joel OLESON: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Os ydych wedi gwneud cyn belled â hyn:
Gadewch i mi wybod eich barn drwy sylwadau neu e-bost. Os ydych yn gwybod cyfeiriadau da eraill, os gwelwch yn dda wneud yr un peth!