ĜISDATIGO 12/18/07: Vidi artikolon de Paul Liebrand por kelkaj teknikaj sekvoj forigi aŭ modifanta la defaŭltajn grupajn nomojn (Vidi lian rimarkon sub ankaŭ).
Superrigardo:
SharePoint sekureco estas facile formi kaj administri. Tamen, Ĝi pruvis esti malfacila por kelkaj unua-tempaj administrantoj vere volvi iliajn manojn ĉirkaŭ ĝi. Ne nur tio, Mi vidis kelkajn administrantojn venita al perfekta kompreno lunde nur perdas ĝin de vendredo ĉar ili ne devis fari ajnan konfiguracion en la intervenanta tempo. (Mi agnoskas al havanta #?i tiu problemon mi mem). Ĉi tiu bloga eniro espereble provizas utilan SharePoint sekureca enkonduko kaj punktoj al iu sekureca konfiguracio plej bonaj praktikoj.
Grava Noto:
Ĉi tiu priskribo estas bazita sur ekstere de la skatolo SharePoint sekureco. Mia propra sperto estas oriented ĉirkaŭ MUSKO do tie povas esti iu MUSKO specifa aĵo ĉi tie, Sed mi kredas ĝin estas preciza por WSS. Mi esperas ke iu ajn vidanta ajnajn erarojn aŭ preterlasojn indikos ke ekstere en rimarkoj aŭ Retpoŝtigi min. Mi faros ĝustigan poŝton rapideco.
Fundamentals:
Por la celoj de #?i tiu superrigardo, Estas kvar fundamentaj flankoj al sekureco: Uzantaj/grupoj, Securable objektoj, Permesaj niveloj kaj #hereda?o.
uzantoj kaj Grupoj Rompi malsupren al:
- Individuaj uzantoj: Tirita de aktiva adresaro #a? kreis rekte en SharePoint.
- Grupoj: Mapis rekte de aktiva adresaro aŭ kreita en SharePoint. Grupoj estas kolekto de uzantoj. Grupoj estas tutmondaj en eja kolekto. Ili estas neniam "ligita" Al specifa securable objekto.
Securable objektoj Rompi malsupren al #almena?:
- Ejoj
- Dokumentaj bibliotekoj
- Individuaj eroj en listoj kaj dokumentaj bibliotekoj
- Tekoj
- Diversaj BDCaj fiksoj.
Tie alia securable objektoj, Sed vi akiras la bildon.
Permesaj niveloj: Pako de granular / Malalta nivela aliro rajtoj kiu inkluzivas tiajn aferojn kiel kreas/legita/forigi enirojn en listoj.
#Hereda?o: De defaŭltaj entoj heredas sekurecajn fiksojn de ilia enhavanta objekto. Sub-ejoj heredas permeson de ilia gepatro. Dokumentaj bibliotekoj heredas de ilia ejo. Tiel sur kaj tiel antaŭen.
uzantoj kaj grupoj rilatas al securable objektoj tra permesaj niveloj kaj #hereda?o.
La Plej Gravaj Sekurecaj Reguloj Kompreni, Ever 🙂 :
- Grupoj estas simple kolektoj de uzantoj.
- Grupoj estas tutmondaj ene de eja kolekto (T.e. Estas ne tia afero kiel grupo difinita #?e eja nivelo).
- Grupo nomas ne eltenanta, Grupoj faras ne, Je kaj de si mem, Havi ajnan apartan nivelon de sekureco.
- Grupoj havas sekurecon en la kunteksto de specifa securable objekto.
- Vi povas asigni malsamajn permesajn nivelojn al la sama grupo por #?iu securable objekto.
- #Aranea?o apliko politikoj superatutas #?iu de #tio ?i (Vidi malsupre).
Sekurecaj administrantoj perdita en maro de grupo kaj uzantaj listeroj #?iam povas fidi sur #?i tiu aksiomoj administri kaj kompreni ilian sekurecan konfiguracion.
Oftaj Enfaliloj:
- Grupo nomas malvere implici permeson: Ekstere de la skatolo, SharePoint difinas aron de grupigas kies nomoj implicas esencan nivelon de sekureco. Konsideri la grupan "Kontribuanton". Unu nekonata kun SharePoint sekureco bone povas rigardi tiun nomon kaj supozas ke ajna membro de tiu grupo povas "kontribui" Al ajna eja/lista/biblioteko en la portalo. Kiu povas esti vera sed ne ĉar la nomo de la grupo okazas esti "kontribuanto". Tio ĉi estas nur vera ekstere de la skatolo ĉar la grupo estis provizita permesan nivelon kiu ebligas ilin aldoni/redakti/forigi enhavon ĉe la radika ejo. Tra heredaĵo, La "kontribuantoj" Grupo ankaŭ povas aldoni/redakti/forigi enhavon ĉe ĉiu sub-ejo. Unu povas "rompi" La #hereda?o #?eno kaj #?an?i la permesan nivelon de sub-ejo tia ke membroj de la #la?dira "Kontribuanto" Grupo ne povas kontribui #?e #?iu, Sed nur legita (Ekzemple). Tio ĉi ne estus bona ideo, Evidente, Pro tio ke ?i estus tre konfuzanta.
- Grupoj ne estas difinita #?e eja nivelo. Ĝi estas facile esti konfuzita de la uzanta fasado. Microsoft provizas oportunan ligon al uzanta/grupo administrado tra la Homoj de "ĉiu ejo kaj Grupoj" Ligo. Ĝi estas facile kredi ke kiam mi estas ĉe ejo "xyzzy" Kaj mi kreas grupon tra la Homoj de xyzzy kaj Grupoj ligas ke mi nur kreis grupon ke nur ekzistas ĉe xyzzy. Kiu ne estas la kazo. Mi efektive kreis grupon por la tuta eja kolekto.
- Grupa #membri?o ne varias de ejo (T.e. ?i estas la sama #?ie la grupo estas uzita): Konsideri la grupon "Owner" Kaj du ejoj, "HR" Kaj "Loĝistiko". Ĝi estus normala pensi ke du apartaj individuoj posedus tiujn ejojn — HRa posedanto kaj Loĝistika posedanto. La uzanta fasado faras ĝin facile por sekureca administranto mistrakti ĉi tiun scenaron. Se mi ne sciis pli bonan, Mi povus aliri la Homojn kaj Grupojn ligas tra la HRa ejo, Elekti la "Posedantojn" Grupo kaj aldoni mian HRan posedanton al tiu grupo. Monato poste, Loĝistikoj venas enretan. Mi aliras Homojn kaj Grupojn de la Loĝistika ejo, Aldoni tiron supre la "Posedantoj" Grupo. Mi vidas la HRan posedanton tie kaj forigi ŝin, Pensanta ke mi estas foriganta ŝin de Posedantoj ĉe la Loĝistika ejo. Fakte, Mi estas foriganta ŝin de la tutmonda Posedanta grupo. Hilarity rezultas.
- Malsukcesanta nomi grupojn bazita sur specifa rolo: La "Approvers" Grupo estas perfekta ekzemplo. Kio povas membrojn de ĉi tiu grupo aprobas? Kie povas ilin aprobas ĝin? Faras min vere deziri homa Loĝistiko departemento esti kapabla aprobi HRajn dokumentojn? Nature ne. Ĉiam nomi grupojn bazita sur ilia rolo ene de la organizo. Tio ĉi reduktos la riskon ke la grupo estas asignita nekonvenan permesan nivelon por aparta securable objekto. Nomo grupigas bazita sur ilia intenca rolo. En la antaŭa HRa/Loĝistika scenaro, Mi devus krei du novajn grupojn: "HRaj Posedantoj" Kaj "#Lo?istiko Posedantoj" Kaj asigni prudentajn permesajn nivelojn por #?iu kaj la minimuma kvanto postulita por tiuj uzantoj fari ilian laborpostenon.
Aliaj Utilaj Referencoj:
- #Aranea?o apliko politiko gotcha??: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Clearinghouse por SharePoint sekureco: http://www.sharepointsecurity.com/
- Ligoj de Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Se vi??E faris ?in #?i tiu fora:
Bonvolu lasi Mi scii viajn pensojn tra la rimarkoj aŭ retpoŝtigi min. Se vi scias aliajn bonajn referencojn, Bonvolu fari la saman!