SharePoint Sekureco Fundamentals Enkonduko / Eviti Oftajn Enfalilojn

ĜISDATIGO 12/18/07: Vidi artikolon de Paul Liebrand por kelkaj teknikaj sekvoj forigi aŭ modifanta la defaŭltajn grupajn nomojn (Vidi lian rimarkon sub ankaŭ).

Superrigardo:

SharePoint sekureco estas facile formi kaj administri. Tamen, Ĝi pruvis esti malfacila por kelkaj unua-tempaj administrantoj vere volvi iliajn manojn ĉirkaŭ ĝi. Ne nur tio, Mi vidis kelkajn administrantojn venita al perfekta kompreno lunde nur perdas ĝin de vendredo ĉar ili ne devis fari ajnan konfiguracion en la intervenanta tempo. (Mi agnoskas al havanta #?i tiu problemon mi mem). Ĉi tiu bloga eniro espereble provizas utilan SharePoint sekureca enkonduko kaj punktoj al iu sekureca konfiguracio plej bonaj praktikoj.

Grava Noto:

Ĉi tiu priskribo estas bazita sur ekstere de la skatolo SharePoint sekureco. Mia propra sperto estas oriented ĉirkaŭ MUSKO do tie povas esti iu MUSKO specifa aĵo ĉi tie, Sed mi kredas ĝin estas preciza por WSS. Mi esperas ke iu ajn vidanta ajnajn erarojn aŭ preterlasojn indikos ke ekstere en rimarkoj aŭ Retpoŝtigi min. Mi faros ĝustigan poŝton rapideco.

Fundamentals:

Por la celoj de #?i tiu superrigardo, Estas kvar fundamentaj flankoj al sekureco: Uzantaj/grupoj, Securable objektoj, Permesaj niveloj kaj #hereda?o.

uzantoj kaj Grupoj Rompi malsupren al:

  • Individuaj uzantoj: Tirita de aktiva adresaro #a? kreis rekte en SharePoint.
  • Grupoj: Mapis rekte de aktiva adresaro aŭ kreita en SharePoint. Grupoj estas kolekto de uzantoj. Grupoj estas tutmondaj en eja kolekto. Ili estas neniam "ligita" Al specifa securable objekto.

Securable objektoj Rompi malsupren al #almena?:

  • Ejoj
  • Dokumentaj bibliotekoj
  • Individuaj eroj en listoj kaj dokumentaj bibliotekoj
  • Tekoj
  • Diversaj BDCaj fiksoj.

Tie alia securable objektoj, Sed vi akiras la bildon.

Permesaj niveloj: Pako de granular / Malalta nivela aliro rajtoj kiu inkluzivas tiajn aferojn kiel kreas/legita/forigi enirojn en listoj.

#Hereda?o: De defaŭltaj entoj heredas sekurecajn fiksojn de ilia enhavanta objekto. Sub-ejoj heredas permeson de ilia gepatro. Dokumentaj bibliotekoj heredas de ilia ejo. Tiel sur kaj tiel antaŭen.

uzantoj kaj grupoj rilatas al securable objektoj tra permesaj niveloj kaj #hereda?o.

La Plej Gravaj Sekurecaj Reguloj Kompreni, Ever 🙂 :

  1. Grupoj estas simple kolektoj de uzantoj.
  2. Grupoj estas tutmondaj ene de eja kolekto (T.e. Estas ne tia afero kiel grupo difinita #?e eja nivelo).
  3. Grupo nomas ne eltenanta, Grupoj faras ne, Je kaj de si mem, Havi ajnan apartan nivelon de sekureco.
  4. Grupoj havas sekurecon en la kunteksto de specifa securable objekto.
  5. Vi povas asigni malsamajn permesajn nivelojn al la sama grupo por #?iu securable objekto.
  6. #Aranea?o apliko politikoj superatutas #?iu de #tio ?i (Vidi malsupre).

Sekurecaj administrantoj perdita en maro de grupo kaj uzantaj listeroj #?iam povas fidi sur #?i tiu aksiomoj administri kaj kompreni ilian sekurecan konfiguracion.

Oftaj Enfaliloj:

  • Grupo nomas malvere implici permeson: Ekstere de la skatolo, SharePoint difinas aron de grupigas kies nomoj implicas esencan nivelon de sekureco. Konsideri la grupan "Kontribuanton". Unu nekonata kun SharePoint sekureco bone povas rigardi tiun nomon kaj supozas ke ajna membro de tiu grupo povas "kontribui" Al ajna eja/lista/biblioteko en la portalo. Kiu povas esti vera sed ne ĉar la nomo de la grupo okazas esti "kontribuanto". Tio ĉi estas nur vera ekstere de la skatolo ĉar la grupo estis provizita permesan nivelon kiu ebligas ilin aldoni/redakti/forigi enhavon ĉe la radika ejo. Tra heredaĵo, La "kontribuantoj" Grupo ankaŭ povas aldoni/redakti/forigi enhavon ĉe ĉiu sub-ejo. Unu povas "rompi" La #hereda?o #?eno kaj #?an?i la permesan nivelon de sub-ejo tia ke membroj de la #la?dira "Kontribuanto" Grupo ne povas kontribui #?e #?iu, Sed nur legita (Ekzemple). Tio ĉi ne estus bona ideo, Evidente, Pro tio ke ?i estus tre konfuzanta.
  • Grupoj ne estas difinita #?e eja nivelo. Ĝi estas facile esti konfuzita de la uzanta fasado. Microsoft provizas oportunan ligon al uzanta/grupo administrado tra la Homoj de "ĉiu ejo kaj Grupoj" Ligo. Ĝi estas facile kredi ke kiam mi estas ĉe ejo "xyzzy" Kaj mi kreas grupon tra la Homoj de xyzzy kaj Grupoj ligas ke mi nur kreis grupon ke nur ekzistas ĉe xyzzy. Kiu ne estas la kazo. Mi efektive kreis grupon por la tuta eja kolekto.
  • Grupa #membri?o ne varias de ejo (T.e. ?i estas la sama #?ie la grupo estas uzita): Konsideri la grupon "Owner" Kaj du ejoj, "HR" Kaj "Loĝistiko". Ĝi estus normala pensi ke du apartaj individuoj posedus tiujn ejojn — HRa posedanto kaj Loĝistika posedanto. La uzanta fasado faras ĝin facile por sekureca administranto mistrakti ĉi tiun scenaron. Se mi ne sciis pli bonan, Mi povus aliri la Homojn kaj Grupojn ligas tra la HRa ejo, Elekti la "Posedantojn" Grupo kaj aldoni mian HRan posedanton al tiu grupo. Monato poste, Loĝistikoj venas enretan. Mi aliras Homojn kaj Grupojn de la Loĝistika ejo, Aldoni tiron supre la "Posedantoj" Grupo. Mi vidas la HRan posedanton tie kaj forigi ŝin, Pensanta ke mi estas foriganta ŝin de Posedantoj ĉe la Loĝistika ejo. Fakte, Mi estas foriganta ŝin de la tutmonda Posedanta grupo. Hilarity rezultas.
  • Malsukcesanta nomi grupojn bazita sur specifa rolo: La "Approvers" Grupo estas perfekta ekzemplo. Kio povas membrojn de ĉi tiu grupo aprobas? Kie povas ilin aprobas ĝin? Faras min vere deziri homa Loĝistiko departemento esti kapabla aprobi HRajn dokumentojn? Nature ne. Ĉiam nomi grupojn bazita sur ilia rolo ene de la organizo. Tio ĉi reduktos la riskon ke la grupo estas asignita nekonvenan permesan nivelon por aparta securable objekto. Nomo grupigas bazita sur ilia intenca rolo. En la antaŭa HRa/Loĝistika scenaro, Mi devus krei du novajn grupojn: "HRaj Posedantoj" Kaj "#Lo?istiko Posedantoj" Kaj asigni prudentajn permesajn nivelojn por #?iu kaj la minimuma kvanto postulita por tiuj uzantoj fari ilian laborpostenon.

Aliaj Utilaj Referencoj:

Se vi??E faris ?in #?i tiu fora:

Bonvolu lasi Mi scii viajn pensojn tra la rimarkoj aŭ retpoŝtigi min. Se vi scias aliajn bonajn referencojn, Bonvolu fari la saman!

Technorati Etikedoj:

8 pensoj pri "SharePoint Sekureco Fundamentals Enkonduko / Eviti Oftajn Enfalilojn

  1. Perry

    Pli da enfaliloj:

    * Estas certaj specialaj permesoj havebla aliloke en la SSP kaj ne videbla en la Homoj kaj Grupa sekcio: "Personalization priservas permesojn"kaj "Komerca Datuma Katalogo permesoj"

    * Mi legis ke estas #anka? speciala SharePoint Designer permesoj havebla en kelkaj arkana xml entombigita en html ie.

    * La Primaraj kaj Duarangaj Administrantoj por Eja Kolekto estas tenita aliloke en Eja Kolekto fiksoj, Kaj ne estas videbla en la Homoj kaj Grupa sekcio.

    * Certaj kontoj havas magian (Speciala) Kapablecoj #?iaokaze de kio vi vidas en la Homoj kaj Grupa areo: Membroj de la konstruita-en Administranta grupo sur la retserviloj, Kaj la Biena Serva Konto.

    (PS: Foriganta la spamajn rimarkojn plibonigus legibility #?i tie.)

    Respondo
  2. Jean Wright
    #Tio ?i estas tre bona #po?to. Mi falis en #?i tiu kaptilo sur kelkaj okazoj. Sekureca administrado povas akiri kompleksan kiam vi komencas miksanta authentication metodoj kaj malsama sekureco grupiganta metodojn. #Tio ?i devas esti konsiderita kiel parto de la planada procezo kaj ne devus esti preteratentita.
    Respondo
  3. Mark Miller skribis:
    (Noto de Paul: Mark demandis min fari malgrandan #?an?o al lia rimarko sed mi povas?? Redaktas vivajn spacojn rimarkas sekve I??E aldonita ?in denove #?i tie kun la #?an?o kaj forigis la originalon).
    Paul,
    La resuma #alproksimi?o por prezentanta #?i tiu info venis de tre bone. Mi precipe #?ati la "Enfalilojn" Sekcio, Ekde I??E falita en kelkaj de tiuj mi mem.
    Alia afero vi diris frapita hejmon: Lernanta lunde doesn?? Ne nepre signifi vin??L memori ?in vendrede. I?? Gaja iu cetere mi estas uzanta ilian blogon kiel "tickler" Sistemo por tiuj kritikaj aferoj kiu ne estas farita sur regula bazo.
    Bona laboro.
    Konsideroj,
    Mark
    EndUserSharePoint.Com

    Novembro 27 9:04 AM
    (http://www.EndUserSharePoint.com)

    Respondo
  4. Paul Galvin
    Mi pensas ?in?? #Ver?ajne bona ideo forigi tiujn #defa?lta grupojn, Precipe Kontribuanto kaj Owner. Ili estas overbroad kaj facile konfuzita. Mi preferas uzi "Ĉiujn Aŭtentikigis Uzantojn" En loko de "Vizitanto" Grupigi ankaŭ. Se specifa aro de uzantoj nur devus legita-nura aliro tiam mi rekomendus kreanta ADan grupon aŭ SharePoint grupo kun appropriately priskriba nomo, Ekz. "#Lo?istiko Vizitantoj".
    –Paul G
    Respondo
  5. Neniu nomo
    ?i sonas kiel la unua afero vi devus fari estas nur #for?eti la Vizitanton, kontribuanto kaj Owner grupoj kaj #anstata?igi ilin kun viaj propraj logikaj grupoj. Volus #?i tiu faran senton fari?
    Respondo

Lasi Respondon

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita *