SharePoint Security Fundamentals Primer / Häufige Probleme vermeiden

UPDATE 12/18/07: Finden Sie Paul Liebrand Artikel für einige technischen Konsequenzen zu entfernen oder ändern die Standard-Gruppennamen (Siehe auch seinen Kommentar unten).

Übersicht:

SharePoint Security ist leicht zu konfigurieren und verwalten. Jedoch, Es erweist sich als schwierig für manche Administratoren erstmals wirklich ihre Hände um ihn herum umbrochen werden. Nicht nur das, Ich habe gesehen, dass einige Administratoren perfekt verstehen am Montag nur bis es von Freitag verloren haben, weil sie nicht haben in der Zwischenzeit keine Konfigurationseinstellungen vornehmen. (Ich gebe zu, habend dieses Tücke mich). Dieser Blog-Eintrag hoffentlich bietet eine nützliche SharePoint-Sicherheit-Grundierung und weist auf einige bewährte Sicherheitsmethoden für Konfiguration.

Wichtiger Hinweis:

Diese Beschreibung basiert auf SharePoint-Sicherheit nach dem Auspacken. Meine persönliche Erfahrung ist um MOSS orientiert, so dass es möglicherweise einige MOSS bestimmte Dinge hier, aber ich halte es für WSS genau. Ich hoffe, dass jemand sehen, Fehler oder Auslassungen, die in den Kommentaren darlegen wird oder mailen Sie mir. Ich mache Korrekturen hast post.

Grundlagen:

Für die Zwecke der in dieser Übersicht, Es gibt vier grundlegende Aspekte zur Sicherheit: Benutzer/Gruppen, sicherungsfähige Objekte, Berechtigungsstufen und Vererbung.

Benutzer und Gruppen nach unten zu brechen:

  • Einzelne Benutzer: Gezogen von active Directory oder direkt in SharePoint erstellten.
  • Gruppen: Zugeordneten direkt aus dem active Directory oder in erstellte SharePoint. Gruppen sind eine Sammlung von Benutzern. Gruppen sind global in einer Websitesammlung. Sie sind nie "gebunden" für ein bestimmtes sicherungsfähiges Objekt.

Sicherungsfähige Objekte mindestens bis zum brechen:

  • Standorte
  • Dokumentbibliotheken
  • Einzelne Elemente in Listen und Dokumentbibliotheken
  • Ordner
  • Verschiedene BDC-Einstellungen.

Es andere sicherungsfähige Objekte, aber Sie erhalten das Bild.

Berechtigungsstufen: Ein Bündel von körnigen / Low-Level-Zugriff-Rechte, die solche Dinge wie erstellen/Lesen/löschen Einträge in Listen enthalten.

Vererbung: Standardmäßig erben Entitäten Sicherheitseinstellungen von ihrem Objekt. Unterwebsites erben Berechtigung von ihrem übergeordneten. Dokumentbibliotheken erben ihrer Website. So weiter und so fort.

Benutzer und Gruppen beziehen sich auf sicherungsfähige Objekte über Berechtigungen und Vererbung.

Die wichtigsten Sicherheitsregeln zu verstehen, Immer 🙂 :

  1. Gruppen sind einfach Sammlungen von Benutzern.
  2. Gruppen sind global innerhalb einer Websitesammlung (dh. Es gibt keine solche Sache wie eine Gruppe auf einer Websiteebene der definiert).
  3. Gruppenname nicht widerstehen, Gruppen nicht, in und von sich selbst, haben Sie besonderen Maß an Sicherheit.
  4. Gruppen haben Sicherheit im Zusammenhang mit einem bestimmten sicherungsfähigen Objekt.
  5. Sie können unterschiedliche Berechtigungsstufen auf die gleiche Gruppe für jedes sicherungsfähige Objekt zuweisen..
  6. Webanwendungsrichtlinien trump all dies (siehe unten).

Sicherheitsadministratoren verloren in einem Meer von Gruppen- und Angebote können immer auf diese Axiome zu verwalten und zu verstehen ihre Sicherheitskonfiguration verlassen.

Häufige Probleme:

  • Gruppennamen implizieren fälschlicherweise Berechtigung: Out of the box, SharePoint definiert eine Reihe von Gruppen, deren Namen eine inhärente Sicherheitsstufe implizieren. Betrachten Sie die Gruppe "Contributor". Eine SharePoint-Sicherheit vertraut kann gut Schau dir diesen Namen und davon ausgehen, dass jedes Mitglied der Gruppe "beitragen können" zu jeder Seite/Liste/Bibliothek in das portal. Das mag wahr sein, aber nicht, weil der Name der Gruppe ist nun mal "Mitwirkender". Dies gilt nur, out of the Box, da die Gruppe eine Berechtigungsstufe bereitgestellt wurde, die sie hinzufügen/bearbeiten/löschen auf der Stammwebsite ermöglicht, Inhalt zu. Durch Vererbung, die Mitwirkenden"" Gruppe kann auch hinzufügen/bearbeiten/löschen Inhalt bei jedem Sub-Standort. Man kann "brechen" die Vererbungskette und Ändern der Berechtigungsstufe für eine Unterwebsite, dass Mitglieder der so genannten "Beitragszahler" Gruppe kann nicht auf allen beitragen., aber nur lesen (zum Beispiel). Das wäre keine gute Idee, offensichtlich, Da wäre es sehr verwirrend.
  • Gruppen sind nicht auf einer Websiteebene definiert.. Es ist leicht, von der Benutzeroberfläche zu verwechseln. Microsoft bietet einen praktischen Link zu Benutzer/Gruppe Management über jede Seite "Benutzer und Gruppen" Verbindung. Es ist leicht zu glauben, dass wenn ich Standort "Xyzzy am" und erstelle ich eine Gruppe durch Xyzzy des Menschen und Gruppen zu verknüpfen, die habe ich eine Gruppe, die nur existiert nur erstellt, um xyzzy. Das ist nicht der Fall. Ich habe tatsächlich eine Gruppe für die gesamte Websitesammlung erstellt..
  • Gruppen-Mitgliedschaft variiert nicht von Website (dh. Es ist das gleiche überall, wo die Gruppe verwendet wird): Betrachten Sie die Gruppe "Besitzer" und zwei Seiten, "HR" und "Logistik". Es wäre normal zu denken, dass zwei getrennte Individuen Netzwerktraffic besitzen würde — ein HR-Eigentümer und Besitzer einer Logistik. Die Benutzeroberfläche macht es einfach für dieses Szenario schlecht Sicherheitsadministrator. Wenn ich nicht besser wissen, Ich könnte die Menschen und Gruppen Links über die HR-Website zugreifen., Wählen Sie die "Besitzer" Gruppieren und meine HR-Besitzer dieser Gruppe hinzufügen. Einen Monat später, Logistik geht online. Ich habe Zugriff Menschen und Gruppen auf den Logistikstandort, Pull-up "Besitzer hinzufügen" Gruppe. Ich sehe den HR-Besitzer gibt und sie entfernen, denken, dass ich ihr von den Eigentümern des Logistik-Standorts entfernen bin. Tatsächlich, Ich bin ihr aus der globalen Gruppe Besitzer entfernen.. Heiterkeit entsteht.
  • Ausgefallene Namen Gruppen basierend auf spezifischen Rolle: Die genehmigenden"" Gruppe ist ein perfektes Beispiel. Was können Mitglieder dieser Gruppe genehmigen? Wo können sie es genehmigen? Will ich wirklich Menschen Logistikabteilung, HR-Dokumente genehmigen zu können? Natürlich nicht. Nennen Sie immer Gruppen basierend auf ihrer Rolle innerhalb der Organisation. Dies reduziert das Risiko, dass die Gruppe eine unangemessene Berechtigungsstufe für ein bestimmtes sicherungsfähiges Objekt zugewiesen ist. Name-Gruppen basierend auf ihre vorgesehene Funktion. Im vorherigen Szenario HR/Logistik, Ich sollte zwei neue Gruppen erstellt haben: "HR-Besitzer" und Logistik Inhaber"" und weisen sinnvolle Berechtigungsstufen für jeden und der Mindestbetrag erforderlich für jene Benutzer, ihre Arbeit zu tun.

Andere nützliche Verweise:

Wenn Sie es, das gemacht haben weit:

Lass es mich wissen, Ihre Gedanken über die Kommentare oder mailen Sie mir. Wenn Sie wissen, dass andere guten Referenzen, Bitte das gleiche tun!

Technorati Tags:

8 Gedanken zu „SharePoint Security Fundamentals Primer / Häufige Probleme vermeiden

  1. Perry

    Weitere Fallstricke:

    * Es gibt bestimmte speziellen Berechtigungen an anderer Stelle im SSP verfügbar und nicht sichtbar im Abschnitt Benutzer und Gruppen: "Berechtigungen für Personalisierungsdienste" und "Business Data Catalog-Berechtigungen"

    * Ich habe gelesen, dass es auch spezielle Berechtigungen in SharePoint Designer in einige mysteriöse Xml in html irgendwo begraben gibt.

    * Die primäre und sekundäre Administratoren für eine Websitesammlung werden an anderer Stelle in einer Websitesammlung Einstellungen gehalten., und sind nicht sichtbar im Abschnitt Benutzer und Gruppen.

    * Bestimmte Konten haben magische (Spezial) Fähigkeiten unabhängig davon, was Sie im Bereich Benutzer und Gruppen finden Sie unter: Mitglieder der integrierten Gruppe Administratoren auf den Webservern, und das Farm-Dienstkonto.

    (PS: Löschen der Spam-Kommentare würde hier Lesbarkeit verbessern.)

    Antwort
  2. Jean Wright
    Dies ist ein sehr guter Beitrag. Ich habe ein paar Mal in diese Falle getappt. Sicherheits-Management kann komplexe bekommen, wenn Sie beginnen, Mischen von Authentifizierungsmethoden und verschiedene Gruppierungsmethoden. Dies muss als Teil des Planungsprozesses betrachtet werden und sollte nicht übersehen werden.
    Antwort
  3. Mark Miller schrieb:
    (Hinweis von Paul: Mark fragte mich seinem Kommentar eine kleine Änderung vorzunehmen, aber ich kann nicht live Spaces Kommentare bearbeiten, also habe ich hinzugefügt es neu hier mit der Änderung und das Original gelöscht).
    Paul,
    Der Zusammenfassung Ansatz für die Präsentation dieser Informationen kam sehr gut aus. Besonders mochte ich die "Fallstricke" Abschnitt, Da ich in ein paar die mir gefallen haben.
    Eine andere Sache, was Sie gesagt hit home: Lernen am Montag bedeutet nicht notwendigerweise nicht, dass Sie daran erinnern werde am Freitag. Ich bin froh, dass jemand außer mir ihrer Blog als eine "Hülle verwendet" System für die wichtigen Dinge, die nicht in regelmäßigen Abständen durchgeführt werden.
    Gute Arbeit.
    Grüße,
    Marke
    EndUserSharePoint.com

    November 27 9:04 AM
    (http://www.EndUserSharePoint.com)

    Antwort
  4. Paul Galvin
    Ich denke, dass es wahrscheinlich eine gute Idee, diese Standardgruppen zu entfernen ist, besonders angemeldeter Benutzer und Besitzer. Sie sind aufbürde und leicht verwechselt. Ich bevorzuge "alle authentifizierten Benutzer" an Stelle von "Besucher" Gruppe sowie. Wenn bestimmte sollten Benutzer nur Lesezugriff, dann ich empfehlen würde, eine Anzeigengruppe oder SharePoint-Gruppe mit einem entsprechend beschreibende Namen erstellen, zB. "Logistik-Besucher".
    –Paul G
    Antwort
  5. Kein name
    Es klingt wie das erste, was Sie tun sollten ist den Besucher nur dump, Angemeldeter Benutzer und Besitzer Gruppen und ersetzen Sie sie durch Ihre eigenen logischen Gruppen. Dies wäre sinnvoll zu tun?
    Antwort

Hinterlasse eine Antwort

Deine Email-Adresse wird nicht veröffentlicht. erforderliche Felder sind markiert *