ACTUALIZACIÓN 12/18/07: Consulte el artículo de Paul Liebrand para algunas consecuencias técnicas de quitar o modificar los nombres de grupo predeterminados (Véase también su comentario a continuación).
Visión general:
Es fácil de configurar y administrar SharePoint seguridad. Sin embargo, ha demostrado para ser difícil para algunos administradores primera vez realmente envolver sus manos alrededor de ella. No sólo, He visto a algunos administradores de llegar a un entendimiento perfecto el lunes sólo a han perdido viernes porque no tienen que hacer alguna configuración en el tiempo intermedio. (Admito que tengo este problema yo mismo). Esta entrada de blog que proporciona una útil cartilla de seguridad de SharePoint y apunta hacia unas mejores prácticas de configuración seguridad.
Nota importante:
Esta descripción se basa fuera de la caja de seguridad de SharePoint. Mi experiencia personal se orienta alrededor de musgo por lo que puede haber algunas cosas específicas musgo aquí, pero creo que es exacto para WSS. Espero que nadie pueda ver los errores u omisiones que señalan que en los comentarios o Enviarme un correo electrónico. Voy a hacer correcciones post prisa.
Fundamentos:
Para los propósitos de este Resumen, Hay cuatro aspectos fundamentales para la seguridad: usuarios/grupos, objetos asegurables, herencia y niveles de permisos.
Usuarios y grupos romper a:
- Usuarios individuales: Tiró de activo creado directamente en SharePoint o directorio.
- Grupos: Asignadas directamente desde active directory o creado en SharePoint. Los grupos son una colección de usuarios. Grupos son globales en una colección de sitios. Ellos no son nunca "atados" a un objeto asegurable específico.
Objetos asegurables romper a por lo menos:
- Sitios
- Bibliotecas de documentos
- Elementos individuales en las listas y bibliotecas de documentos
- Carpetas
- Varios ajustes del BDC.
Hay otros objetos asegurables, Pero tienes la foto.
Niveles de permisos: Un paquete de granular / baja nivel de permisos que incluyen cosas tales como crear, leer o eliminar entradas en las listas de.
Herencia: Por defecto entidades heredarán configuración de seguridad de objeto que contiene. Subsitios heredan permisos de sus padres. Las bibliotecas de documentos heredan de su sitio. Así sucesivamente y así sucesivamente.
Usuarios y grupos se refieren a objetos asegurables mediante niveles de permisos y herencia.
Las reglas de seguridad más importantes para entender, alguna vez 🙂 :
- Los grupos son simplemente las colecciones de los usuarios.
- Los grupos son globales dentro de una colección de sitios (i.e. No hay nada como un grupo definido en un nivel de sitio).
- Nombre del grupo no soportar, los grupos no, en y de sí mismos, tienen ningún nivel particular de seguridad.
- Los grupos tienen seguridad en el contexto de un específico objeto asegurable.
- Puede asignar niveles de permisos diferentes para el mismo grupo para cada objeto asegurable.
- Las directivas de aplicación web triunfan sobre todo esto (ver abajo).
Los administradores de seguridad perdidos en un mar de anuncios de grupo y usuario siempre pueden confiar en estos axiomas para gestionar y comprender su configuración de seguridad.
Errores comunes:
- Nombres de grupo implican falsamente permiso: Fuera de la caja, SharePoint define un conjunto de grupos cuyos nombres implican un nivel inherente de seguridad. Considerar el grupo de "Colaborador". Uno familiarizado con la seguridad de SharePoint puede mirar ese nombre y asumir que algún miembro de ese grupo puede "contribuir" a cualquier sitio/lista/Biblioteca en el portal. Eso puede ser cierto pero no porque el nombre del grupo pasa a ser "colaborador". Esto sólo es cierto fuera de la caja porque el grupo se ha proporcionado un nivel de permisos que permite añadir, editar o eliminar contenido en el sitio raíz. A través de la herencia, los contribuyentes"" Grupo también puede añadir, editar o eliminar contenido en cada sitio secundario. Uno puede "romper" la cadena de herencia y cambio el nivel de permiso de un subsitio tal que los miembros del llamada "colaborador" Grupo no contribuyen en absoluto, Pero sólo leer (por ejemplo). Esto no sería una buena idea, Obviamente, ya que sería muy confuso.
- Los grupos no están definidos a nivel de sitio. Es fácil confundirse por la interfaz de usuario. Microsoft proporciona un conveniente enlace a administración de usuario o grupo a través "y grupos de cada sitio de personas" enlace. Es fácil creer cuando estoy en el sitio "xyzzy" y crear un grupo a través personas de xyzzy y grupos que yo he creado un grupo que sólo existe en xyzzy. Ese no es el caso. Realmente he creado un grupo para la colección de todo el sitio.
- Miembros de grupos no varía por sitio (i.e. es el mismo en todas partes que se utiliza el grupo): Considerar el grupo propietario"" y dos sitios, "HR" y "Logística". Sería normal pensar que dos individuos separados dueños de esos sitios — un dueño de HR y un propietario de logística. La interfaz de usuario hace que sea fácil para un administrador de seguridad argumentado este escenario. Si no sabía mejor, Podría acceder a los enlaces de personas y grupos via el sitio HR, Seleccione los dueños"" Grupo y añadir mi dueño de HR a ese grupo. Un mes más tarde, Logística viene en línea. Acceder a personas y grupos desde el sitio de logística, Añadir Levante los dueños"" Grupo. Veo allí el dueño de HR y le quite, pensando que estoy quitando le de propietarios en el sitio de logística. En realidad, Yo le estoy quitando del Grupo Mundial de propietarios. Produce hilaridad.
- Fallando a nombre de grupos basados en papel específico: Los aprobadores"" el grupo es un ejemplo perfecto. ¿Qué miembros de aprobar de este grupo? Puede que se apruebe? Realmente quiero Departamento de logística de la gente para poder aprobar documentos de RRHH? Por supuesto que no. Nombre siempre grupos basados en su papel dentro de la organización. Esto reducirá el riesgo de que el grupo se le asigna un nivel inadecuado de permiso para un objeto asegurable determinado. Grupos nombre basados en su papel previsto. En el anterior escenario de recursos humanos y logística, Que debería haber creado dos nuevos grupos: "Dueños de HR" y "dueños de logística" y asignar niveles de permisos razonable para cada uno y la cantidad mínima necesaria para que aquellos usuarios que hagan su trabajo.
Otras referencias útiles:
- De Web aplicación política gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Centro de información para la seguridad de SharePoint: http://www.sharepointsecurity.com/
- Enlaces de Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Si lo has hecho esto lejos:
Por favor, hágamelo saber sus pensamientos a través de los comentarios o enviarme por correo electrónico. Si conoces otras buenas referencias, por favor hacer lo mismo!