UPDATE 12/18/07: Finden Sie Paul Liebrand Artikel für einige technischen Konsequenzen zu entfernen oder ändern die Standard-Gruppennamen (Siehe auch seinen Kommentar unten).
Übersicht:
SharePoint Security ist leicht zu konfigurieren und verwalten. Jedoch, Es erweist sich als schwierig für manche Administratoren erstmals wirklich ihre Hände um ihn herum umbrochen werden. Nicht nur das, Ich habe gesehen, dass einige Administratoren perfekt verstehen am Montag nur bis es von Freitag verloren haben, weil sie nicht haben in der Zwischenzeit keine Konfigurationseinstellungen vornehmen. (Ich gebe zu, habend dieses Tücke mich). Dieser Blog-Eintrag hoffentlich bietet eine nützliche SharePoint-Sicherheit-Grundierung und weist auf einige bewährte Sicherheitsmethoden für Konfiguration.
Wichtiger Hinweis:
Diese Beschreibung basiert auf SharePoint-Sicherheit nach dem Auspacken. Meine persönliche Erfahrung ist um MOSS orientiert, so dass es möglicherweise einige MOSS bestimmte Dinge hier, aber ich halte es für WSS genau. Ich hoffe, dass jemand sehen, Fehler oder Auslassungen, die in den Kommentaren darlegen wird oder mailen Sie mir. Ich mache Korrekturen hast post.
Grundlagen:
Für die Zwecke der in dieser Übersicht, Es gibt vier grundlegende Aspekte zur Sicherheit: Benutzer/Gruppen, sicherungsfähige Objekte, Berechtigungsstufen und Vererbung.
Benutzer und Gruppen nach unten zu brechen:
- Einzelne Benutzer: Gezogen von active Directory oder direkt in SharePoint erstellten.
- Gruppen: Zugeordneten direkt aus dem active Directory oder in erstellte SharePoint. Gruppen sind eine Sammlung von Benutzern. Gruppen sind global in einer Websitesammlung. Sie sind nie "gebunden" für ein bestimmtes sicherungsfähiges Objekt.
Sicherungsfähige Objekte mindestens bis zum brechen:
- Standorte
- Dokumentbibliotheken
- Einzelne Elemente in Listen und Dokumentbibliotheken
- Ordner
- Verschiedene BDC-Einstellungen.
Es andere sicherungsfähige Objekte, aber Sie erhalten das Bild.
Berechtigungsstufen: Ein Bündel von körnigen / Low-Level-Zugriff-Rechte, die solche Dinge wie erstellen/Lesen/löschen Einträge in Listen enthalten.
Vererbung: Standardmäßig erben Entitäten Sicherheitseinstellungen von ihrem Objekt. Unterwebsites erben Berechtigung von ihrem übergeordneten. Dokumentbibliotheken erben ihrer Website. So weiter und so fort.
Benutzer und Gruppen beziehen sich auf sicherungsfähige Objekte über Berechtigungen und Vererbung.
Die wichtigsten Sicherheitsregeln zu verstehen, Immer 🙂 :
- Gruppen sind einfach Sammlungen von Benutzern.
- Gruppen sind global innerhalb einer Websitesammlung (dh. Es gibt keine solche Sache wie eine Gruppe auf einer Websiteebene der definiert).
- Gruppenname nicht widerstehen, Gruppen nicht, in und von sich selbst, haben Sie besonderen Maß an Sicherheit.
- Gruppen haben Sicherheit im Zusammenhang mit einem bestimmten sicherungsfähigen Objekt.
- Sie können unterschiedliche Berechtigungsstufen auf die gleiche Gruppe für jedes sicherungsfähige Objekt zuweisen..
- Webanwendungsrichtlinien trump all dies (siehe unten).
Sicherheitsadministratoren verloren in einem Meer von Gruppen- und Angebote können immer auf diese Axiome zu verwalten und zu verstehen ihre Sicherheitskonfiguration verlassen.
Häufige Probleme:
- Gruppennamen implizieren fälschlicherweise Berechtigung: Out of the box, SharePoint definiert eine Reihe von Gruppen, deren Namen eine inhärente Sicherheitsstufe implizieren. Betrachten Sie die Gruppe "Contributor". Eine SharePoint-Sicherheit vertraut kann gut Schau dir diesen Namen und davon ausgehen, dass jedes Mitglied der Gruppe "beitragen können" zu jeder Seite/Liste/Bibliothek in das portal. Das mag wahr sein, aber nicht, weil der Name der Gruppe ist nun mal "Mitwirkender". Dies gilt nur, out of the Box, da die Gruppe eine Berechtigungsstufe bereitgestellt wurde, die sie hinzufügen/bearbeiten/löschen auf der Stammwebsite ermöglicht, Inhalt zu. Durch Vererbung, die Mitwirkenden"" Gruppe kann auch hinzufügen/bearbeiten/löschen Inhalt bei jedem Sub-Standort. Man kann "brechen" die Vererbungskette und Ändern der Berechtigungsstufe für eine Unterwebsite, dass Mitglieder der so genannten "Beitragszahler" Gruppe kann nicht auf allen beitragen., aber nur lesen (zum Beispiel). Das wäre keine gute Idee, offensichtlich, Da wäre es sehr verwirrend.
- Gruppen sind nicht auf einer Websiteebene definiert.. Es ist leicht, von der Benutzeroberfläche zu verwechseln. Microsoft bietet einen praktischen Link zu Benutzer/Gruppe Management über jede Seite "Benutzer und Gruppen" Verbindung. Es ist leicht zu glauben, dass wenn ich Standort "Xyzzy am" und erstelle ich eine Gruppe durch Xyzzy des Menschen und Gruppen zu verknüpfen, die habe ich eine Gruppe, die nur existiert nur erstellt, um xyzzy. Das ist nicht der Fall. Ich habe tatsächlich eine Gruppe für die gesamte Websitesammlung erstellt..
- Gruppen-Mitgliedschaft variiert nicht von Website (dh. Es ist das gleiche überall, wo die Gruppe verwendet wird): Betrachten Sie die Gruppe "Besitzer" und zwei Seiten, "HR" und "Logistik". Es wäre normal zu denken, dass zwei getrennte Individuen Netzwerktraffic besitzen würde — ein HR-Eigentümer und Besitzer einer Logistik. Die Benutzeroberfläche macht es einfach für dieses Szenario schlecht Sicherheitsadministrator. Wenn ich nicht besser wissen, Ich könnte die Menschen und Gruppen Links über die HR-Website zugreifen., Wählen Sie die "Besitzer" Gruppieren und meine HR-Besitzer dieser Gruppe hinzufügen. Einen Monat später, Logistik geht online. Ich habe Zugriff Menschen und Gruppen auf den Logistikstandort, Pull-up "Besitzer hinzufügen" Gruppe. Ich sehe den HR-Besitzer gibt und sie entfernen, denken, dass ich ihr von den Eigentümern des Logistik-Standorts entfernen bin. Tatsächlich, Ich bin ihr aus der globalen Gruppe Besitzer entfernen.. Heiterkeit entsteht.
- Ausgefallene Namen Gruppen basierend auf spezifischen Rolle: Die genehmigenden"" Gruppe ist ein perfektes Beispiel. Was können Mitglieder dieser Gruppe genehmigen? Wo können sie es genehmigen? Will ich wirklich Menschen Logistikabteilung, HR-Dokumente genehmigen zu können? Natürlich nicht. Nennen Sie immer Gruppen basierend auf ihrer Rolle innerhalb der Organisation. Dies reduziert das Risiko, dass die Gruppe eine unangemessene Berechtigungsstufe für ein bestimmtes sicherungsfähiges Objekt zugewiesen ist. Name-Gruppen basierend auf ihre vorgesehene Funktion. Im vorherigen Szenario HR/Logistik, Ich sollte zwei neue Gruppen erstellt haben: "HR-Besitzer" und Logistik Inhaber"" und weisen sinnvolle Berechtigungsstufen für jeden und der Mindestbetrag erforderlich für jene Benutzer, ihre Arbeit zu tun.
Andere nützliche Verweise:
- Web-Anwendung Politik gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Clearingstelle für SharePoint-Sicherheit: http://www.sharepointsecurity.com/
- Links von Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Wenn Sie es, das gemacht haben weit:
Lass es mich wissen, Ihre Gedanken über die Kommentare oder mailen Sie mir. Wenn Sie wissen, dass andere guten Referenzen, Bitte das gleiche tun!