ACTUALIZACIÓN 11/03/08: Asegúrese de leer el comentario excelente y detallado de Dese Lunsford a este post.

He estado trabajando en un proyecto de edición de tecnología secreta para un próximo libro y hace referencia a Esta entrada de blog por Tyler Butler en el blog de ECM de MSDN. Esta es la primera vez que leo personalmente una definición clara del significado de acceso limitado. Aquí es la carne de la definición:

En SharePoint, usuarios anónimos’ los derechos están determinados por el nivel de permiso de acceso limitado. Acceso limitado es un nivel de permiso especial que no puede asignarse a un usuario o grupo directamente. La razón existe es porque si tienes una biblioteca o subsitio que ha roto la herencia de permisos, y dar un acceso de usuario o grupo a sólo esa library/subsitio, para poder ver su contenido, el grupo de usuarios debe tener cierto acceso a la web de raíz. De lo contrario el grupo de usuarios serán incapaces de examinar el library/subsitio, a pesar de que tienen derechos allí, porque hay cosas en la web de raíz que son necesarios para procesar el sitio o la biblioteca. Por lo tanto, Cuando le daré un permisos de grupo sólo a un subsitio o biblioteca que está rompiendo la herencia de permisos, SharePoint automáticamente dará acceso limitado a ese grupo o usuario en la web de raíz.

Esta pregunta viene ahora y luego en los foros MSDN y siempre he sido curioso (pero no lo suficientemente curiosa figura de afuera antes de hoy :)).

</final>

Suscribirse a mi blog.

Sígueme en Twitter en http://www.twitter.com/pagalvin

En una señal de que la computación Social está empezando a despegar con SharePoint, Veo un mayor número de preguntas de tipo mi sitio. Una pregunta común es algo como esto:

"Soy un administrador y que necesito para poder acceder a cada sitio de mi. Cómo lo hago?"

El truco aquí es que cada sitio de mi propia colección de sitios. Seguridad de SharePoint es normalmente administrado en el nivel de colección de sitio y esto viajes muchos un administrador de SharePoint. Normalmente, ella ya tiene acceso para configurar la seguridad en los principales"" Colecciones de sitio y puede no darse cuenta que esto no funciona automáticamente para mis sitios.

Colectivamente vivos dentro de un recipiente más grande de colecciones de sitios, que es la aplicación web. Administradores de granja pueden puede configurar la seguridad en el nivel de aplicación web y se trata de cómo administradores pueden conceder acceso a cualquier colección de sitios en la aplicación web. Esta entrada de blog describe una de mis experiencias personales con las directivas de aplicación web. Definí una política de aplicación de web por accidente: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Las directivas de aplicación Web pueden ser peligrosas y sugiero que se usa con moderación. Si tuviera un administrador (y gracias a Dios no soy), Yo crearía una cuenta separada de AD llamada algo así como "SharePoint Web App administrador" y una cuenta de la función de seguridad de aplicación web necesita. No se configura este tipo de cosa para el admin de los explotación regular o administradores de colección de sitio individual. Tenderá a ocultar posibles problemas porque el papel de la aplicación web reemplaza cualquier configuración de seguridad de nivel inferior.

</final>

Suscribirse a mi blog.

Sígueme en Twitter en http://www.twitter.com/pagalvin

ACTUALIZACIÓN (02/29/08): Este nuevo proyecto de codeplex parece proporcionar un método para proteger columnas individuales: http://www.codeplex.com/SPListDisplaySetting. Si usted tiene alguna experiencia trabajando con él, por favor dejar un comentario.

Carteles del Foro preguntan frecuentemente como este: "Tengo una visión responsable y y una visión personal de una lista. Cómo segura la vista manager para que el personal no puede utilizar?"

También con frecuencia piden una pregunta relacionada: "Quiero asegurar una columna de metadatos específicos para que sólo los administradores pueden editar esa columna, mientras que otros no pueden verlo."

Estas respuestas se aplican a ambos WSS 3.0 y MOSS:

• SharePoint no proporciona soporte de out-of-box para asegurar views.
• SharePoint no proporciona soporte de out-of-box para columnas seguridad.

Hay varias técnicas uno pueden seguir para resolver este tipo de requisitos de seguridad. Aquí es lo que puedo pensar:

• Utilizar seguridad a nivel de elemento de fuera de la caja. Vistas siempre honran a configuración de seguridad de nivel de elemento. Receptores de eventos y flujo de trabajo puede automatizar la asignación de seguridad.
• Utilizar vistas personales para "el privilegio" Vistas. Estos son fáciles de configurar. Sin embargo, debido a su personal"" naturaleza, Estos deben ser configurados para cada usuario. Configuración de seguridad estándar de uso para evitar que nadie crear un punto de vista personal.
• Usar un elemento web vista de datos e implementar algún tipo de solución de recorte de seguridad AJAXy.
• Rodar su propia funcionalidad de visualización de la lista e incorporar el recorte de seguridad a nivel de columna.
• Modificar los formularios de entrada de datos y utilizar JavaScript junto con el modelo de seguridad para aplicar el recorte de seguridad de nivel de la columna.
• Utilizar un formulario de InfoPath para entrada de datos. Aplicar recorte de seguridad de nivel de columna mediante llamadas a servicios web de SharePoint y condicionalmente ocultar campos según sea necesario.
• Rollo de su propia función de entrada de datos ASP.NET que implementa el recorte de seguridad a nivel de columna.

Ninguna de esas opciones son realmente tan bueno, pero hay al menos un camino a seguir si necesita, Aunque es difícil.

NOTA: Si vas por ninguno de estos caminos, no se olvide "acciones-> Abrir con explorador de Windows". Usted quiere estar seguro de que pruebas con esa característica para asegurarse de que no funciona como una "puerta trasera" y derrotar a su esquema de seguridad.

Si usted tiene otras ideas o experiencias con columnas o puntos de vista de la seguridad, por favor Enviarme un correo electrónico o deja un comentario y actualizaremos esta contabilización según corresponda.

</final>

Suscribirse a mi blog.

ACTUALIZACIÓN: He publicado esta pregunta a MSDN aquí (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) y Michael Washam de Microsoft respondió con una respuesta concisa.

He creado un servicio web para actuar como un Fachada BDC-amistoso para una lista de SharePoint. Cuando utilicé esto desde mi entorno de desarrollo, funcionó bien. Cuando migrado a un nuevo servidor, Me encontré con este error:

Aquí está la línea 69:

utilizando (Sitio SPSite = new SPSite("http://localhost/sandbox"))

Traté de diversas variaciones en la URL, inclusive usando el nombre del servidor real, su dirección IP, barras que se arrastra en la dirección URL, etc.. Siempre tengo ese error.

He usado El Google a la investigación lo. Muchas personas enfrentan este problema, o variaciones de él, pero nadie parece tenerlo solucionado.

Tricksy MOSS proporcionó un detallado error que no se le ocurrió a mí para comprobar la 12 registros de colmena. Con el tiempo, acerca de 24 horas después de mi colega se recomienda que hacerlo, Comprobado la 12 sección registro y encontre esto:

Se produjo una excepción al intentar adquirir la granja local:
System.Security.SecurityException: No se permite el acceso de registro solicitado.
en System.ThrowHelper.ThrowSecurityException(Recursos ExceptionResource) en Microsoft.Win32.RegistryKey.OpenSubKey(Nombre de cadena, Boolean escritura) en Microsoft.Win32.RegistryKey.OpenSubKey(Nombre de cadena) en Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() en Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() atMicrosoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& granja, Boolean& isJoined)
La zona de la Asamblea que no era:  MiPC

Esto abrió nuevas vías de investigación, Así que fue a la Google. Eso me llevó a esto Foro: http://forums.CodeCharge.com/posts.php?post_id = 67135. Que realmente no ayudarme pero al inicio lo hizo me hace pensar que hubo un problema de base de datos y seguridad. Siguió y De Andrew Connell publicar finalmente activa el pensamiento que debo estar seguro de que la cuenta de identidad de grupo de aplicaciones tenía un acceso adecuado a la base de datos. Pensé que ya lo. Sin embargo, mi colega fue y le dio la aplicación identidad cuenta completo acceso a la piscina a SQL.

Tan pronto como ella hizo ese cambio, todo comenzó a trabajar.

Lo que pasó después es mejor expresado como un Haiku poema:

Problemas que levanten la mano.
Swing y miss. Vuelve a intentarlo.
Éxito! Pero cómo? ¿Por qué?

No quería dejar las cosas solo así, prefiriendo darle los permisos mínimos necesarios (y probablemente con miras a escribir una entrada de blog; La golpeé con el punzón, muhahahahaha!).

Sustrajo sucesivos permisos de la cuenta de identidad app piscina hasta … ya no había ningún permiso explícito para la cuenta de identidad del grupo de aplicación en todo. El servicio web continuó trabajando muy bien.

Fuimos y reiniciar los servidores. Todo continuó trabajando bien.

Por lo tanto, en Resumen: nos dio el acceso a la identidad de la aplicación piscina completo y luego lo llevó. El servicio web comenzó a trabajar y nunca dejó de funcionar. Extraño.

Si alguien sabe por qué eso debería haber funcionado, por favor dejar un comentario.

</final>

Que necesitaba para cumplir con un requisito de seguridad para un formulario de InfoPath hoy. En esta situación de negocio, un número relativamente pequeño de individuos se les permite crear un nuevo formulario de InfoPath y pueden editar un público mucho más amplio. (Esto es Alquiler de nueva incorporación forma usada por los recursos humanos que inicia un flujo de trabajo).

Para cumplir ese objetivo, He creado creado dos nuevos niveles de permiso ("crear y actualizar" y "actualizar sólo"), rompió la herencia para la biblioteca de formularios y asignar permisos a un "crear, actualización" usuario y "actualización independiente solamente" usuario. Todos los mecánicos trabajados, pero resultó ser un poco más que de lo que esperaba. (Si te sientes un poco nervioso en SharePoint permisos, Revisa este post de blog). La configuración de seguridad requeridos para el nivel de permiso no era el conjunto obvio de permisos granulares. Para crear un nivel de permiso de actualización-sólo para un formulario de InfoPath, Hice lo siguiente:

1. Crear un nuevo nivel de permiso.
2. Despejar todas las opciones.
3. Selecciona únicamente el siguiente de "Permisos de lista":

• Editar artículos
• Ver artículos
• Ver páginas de aplicación

Seleccionar estas opciones permite a un usuario actualizar un formulario, Pero no crean.

El truco era permitir que las "páginas de aplicación de vista". No hay cualquier verbage en el nivel de permiso que indica que se requiere de sólo actualización de formularios de InfoPath, Pero resulta que es.

Crear y actualizar fue aún más extraño. He seguido los mismos pasos, 1 a través de 3 por encima de. Agregar específicamente un "permiso de sitio" opción: "Uso de características de integración de cliente". Nuevo, la descripción no hacer parecer que debería ser requerido para un formulario de InfoPath, Pero ahí está.

</final>

ACTUALIZACIÓN 01/28/08: Este proyecto de codeplex aborda esta cuestión: http://www.codeplex.com/AccessChecker. No lo he usado, pero parece prometedor si este es un tema que necesita dirección en su entorno.

ACTUALIZACIÓN 11/13/08: Joel Oleson escribió un puesto muy bueno en la mayor seguridad gestión cuestión aquí: http://www.sharepointjoel.com/lists/posts/post.aspx?Lista = 0cd1a63d % 2D183c % 2D4fc2% 2 D 8320% 2Dba5369008acb&ID = 113. Vincula a un número de otros recursos útiles.

Los clientes y usuarios del foro a menudo una preguntan a lo largo de estas líneas: "Cómo genero una lista de todos los usuarios con acceso a un sitio" o "¿Cómo puedo yo Alerte automáticamente todos los usuarios con acceso a la lista de cambios realizados en la lista?"

No hay ninguna fuera de la solución para esto. Si lo piensas por un momento, No es difícil entender por qué.

Seguridad de SharePoint es muy flexible. Existen al menos cuatro grandes categorías de usuarios:

• Usuarios anónimos.
• Los grupos y los usuarios de SharePoint.
• Usuarios de directorio activos.
• Autenticación basada en formularios (FBA) usuarios.

La flexibilidad significa que desde una perspectiva de seguridad, cualquier sitio de SharePoint determinado será dramáticamente diferente de otro. Con el fin de generar un informe de lista de acceso, uno tiene que determinar cómo se asegura el sitio, consulta varios repositorios de Perfil de usuario diferente y luego presentarla de forma útil. Es un problema difícil a resolver genéricamente.

¿Cómo las organizaciones están lidiando con esto? Me encantaría oír de usted en los comentarios o Correo electrónico.

</final>

ACTUALIZACIÓN 12/18/07: Consulte el artículo de Paul Liebrand para algunas consecuencias técnicas de quitar o modificar los nombres de grupo predeterminados (Véase también su comentario a continuación).

Visión general:

Es fácil de configurar y administrar SharePoint seguridad. Sin embargo, ha demostrado para ser difícil para algunos administradores primera vez realmente envolver sus manos alrededor de ella. No sólo, He visto a algunos administradores de llegar a un entendimiento perfecto el lunes sólo a han perdido viernes porque no tienen que hacer alguna configuración en el tiempo intermedio. (Admito que tengo este problema yo mismo). Esta entrada de blog que proporciona una útil cartilla de seguridad de SharePoint y apunta hacia unas mejores prácticas de configuración seguridad.

Nota importante:

Esta descripción se basa fuera de la caja de seguridad de SharePoint. Mi experiencia personal se orienta alrededor de musgo por lo que puede haber algunas cosas específicas musgo aquí, pero creo que es exacto para WSS. Espero que nadie pueda ver los errores u omisiones que señalan que en los comentarios o Enviarme un correo electrónico. Voy a hacer correcciones post prisa.

Fundamentos:

Para los propósitos de este Resumen, Hay cuatro aspectos fundamentales para la seguridad: usuarios/grupos, objetos asegurables, herencia y niveles de permisos.

Usuarios y grupos romper a:

• Usuarios individuales: Tiró de activo creado directamente en SharePoint o directorio.
• Grupos: Asignadas directamente desde active directory o creado en SharePoint. Los grupos son una colección de usuarios. Grupos son globales en una colección de sitios. Ellos no son nunca "atados" a un objeto asegurable específico.

Objetos asegurables romper a por lo menos:

• Sitios
• Bibliotecas de documentos
• Elementos individuales en las listas y bibliotecas de documentos
• Carpetas
• Varios ajustes del BDC.

Hay otros objetos asegurables, Pero tienes la foto.

Niveles de permisos: Un paquete de granular / baja nivel de permisos que incluyen cosas tales como crear, leer o eliminar entradas en las listas de.

Herencia: Por defecto entidades heredarán configuración de seguridad de objeto que contiene. Subsitios heredan permisos de sus padres. Las bibliotecas de documentos heredan de su sitio. Así sucesivamente y así sucesivamente.

Usuarios y grupos se refieren a objetos asegurables mediante niveles de permisos y herencia.

Las reglas de seguridad más importantes para entender, alguna vez 🙂 :

1. Los grupos son simplemente las colecciones de los usuarios.
2. Los grupos son globales dentro de una colección de sitios (i.e. No hay nada como un grupo definido en un nivel de sitio).
3. Nombre del grupo no soportar, los grupos no, en y de sí mismos, tienen ningún nivel particular de seguridad.
4. Los grupos tienen seguridad en el contexto de un específico objeto asegurable.
5. Puede asignar niveles de permisos diferentes para el mismo grupo para cada objeto asegurable.
6. Las directivas de aplicación web triunfan sobre todo esto (ver abajo).

Los administradores de seguridad perdidos en un mar de anuncios de grupo y usuario siempre pueden confiar en estos axiomas para gestionar y comprender su configuración de seguridad.

Errores comunes:

• Nombres de grupo implican falsamente permiso: Fuera de la caja, SharePoint define un conjunto de grupos cuyos nombres implican un nivel inherente de seguridad. Considerar el grupo de "Colaborador". Uno familiarizado con la seguridad de SharePoint puede mirar ese nombre y asumir que algún miembro de ese grupo puede "contribuir" a cualquier sitio/lista/Biblioteca en el portal. Eso puede ser cierto pero no porque el nombre del grupo pasa a ser "colaborador". Esto sólo es cierto fuera de la caja porque el grupo se ha proporcionado un nivel de permisos que permite añadir, editar o eliminar contenido en el sitio raíz. A través de la herencia, los contribuyentes"" Grupo también puede añadir, editar o eliminar contenido en cada sitio secundario. Uno puede "romper" la cadena de herencia y cambio el nivel de permiso de un subsitio tal que los miembros del llamada "colaborador" Grupo no contribuyen en absoluto, Pero sólo leer (por ejemplo). Esto no sería una buena idea, Obviamente, ya que sería muy confuso.
• Los grupos no están definidos a nivel de sitio. Es fácil confundirse por la interfaz de usuario. Microsoft proporciona un conveniente enlace a administración de usuario o grupo a través "y grupos de cada sitio de personas" enlace. Es fácil creer cuando estoy en el sitio "xyzzy" y crear un grupo a través personas de xyzzy y grupos que yo he creado un grupo que sólo existe en xyzzy. Ese no es el caso. Realmente he creado un grupo para la colección de todo el sitio.
• Miembros de grupos no varía por sitio (i.e. es el mismo en todas partes que se utiliza el grupo): Considerar el grupo propietario"" y dos sitios, "HR" y "Logística". Sería normal pensar que dos individuos separados dueños de esos sitios — un dueño de HR y un propietario de logística. La interfaz de usuario hace que sea fácil para un administrador de seguridad argumentado este escenario. Si no sabía mejor, Podría acceder a los enlaces de personas y grupos via el sitio HR, Seleccione los dueños"" Grupo y añadir mi dueño de HR a ese grupo. Un mes más tarde, Logística viene en línea. Acceder a personas y grupos desde el sitio de logística, Añadir Levante los dueños"" Grupo. Veo allí el dueño de HR y le quite, pensando que estoy quitando le de propietarios en el sitio de logística. En realidad, Yo le estoy quitando del Grupo Mundial de propietarios. Produce hilaridad.
• Fallando a nombre de grupos basados en papel específico: Los aprobadores"" el grupo es un ejemplo perfecto. ¿Qué miembros de aprobar de este grupo? Puede que se apruebe? Realmente quiero Departamento de logística de la gente para poder aprobar documentos de RRHH? Por supuesto que no. Nombre siempre grupos basados en su papel dentro de la organización. Esto reducirá el riesgo de que el grupo se le asigna un nivel inadecuado de permiso para un objeto asegurable determinado. Grupos nombre basados en su papel previsto. En el anterior escenario de recursos humanos y logística, Que debería haber creado dos nuevos grupos: "Dueños de HR" y "dueños de logística" y asignar niveles de permisos razonable para cada uno y la cantidad mínima necesaria para que aquellos usuarios que hagan su trabajo.

Otras referencias útiles:

• De Web aplicación política gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Centro de información para la seguridad de SharePoint: http://www.sharepointsecurity.com/
• Enlaces de Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Si lo has hecho esto lejos:

Por favor, hágamelo saber sus pensamientos a través de los comentarios o enviarme por correo electrónico. Si conoces otras buenas referencias, por favor hacer lo mismo!