VÄRSKENDUS 11/03/08: Lugege suurepärane ja üksikasjalikud kommentaar: Dessie Lunsford sellele postitusele.

Ma olen töötanud salajane tech redigeerimise projekti up-tulevad raamat ja see viitab See blogi kirje Tyler Butler MSDN ECM blogi. Esimest korda lugesin isiklikult oleks selgelt määratletud tähenduses piiratud juurdepääsuga. Siin on liha määratlus:

SharePointis, anonüümsed kasutajad’ õigused määravad õigustetaset piiratud juurdepääs. Piiratud juurdepääs on eriline õigustetaset, mis ei ole määratud kasutaja või grupp otseselt. See eksisteerib põhjus on, sest kui teil on teegis või alamsaidi mis on purunenud päriluse, ja kasutaja/rühma juurdepääsu andmisest ainult selle Raamatukogu/alamsaidi, selleks, et vaadata selle sisu, Kasutaja/rühma peab olema juur web juurdepääsu. Vastasel juhul kasutaja/rühma ei saa sirvida Raamatukogu/alamsaidi, kuigi neil on õigused olemas, sest juursaiti asju, mida on vaja muuta saidi või teegi. Seetõttu, Kui sa annad rühma õigused alamsaidi või rikub päriluse Raamatukogu, SharePointi automaatselt anda piiratud juurdepääs selle rühma või kasutaja root Web.

See küsimus kerkib nüüd ja siis MSDN-i foorumites ja ma olen alati olnud uudishimulik (aga mitte piisavalt uudishimulik, et selgitada välja enne tänast päeva :)).

</lõpp>

Telli minu blogi.

Järgi mind vidistama kell http://www.twitter.com/pagalvin

Märk, et sotsiaalne Computing on hakanud SharePointiga startida, Ma näen oma saidi tüüpi küsimuste arvu suurenemine. Üks üldine küsimus läheb midagi sellist:

"Olen administraator ja mul on vaja juurdepääs iga saidi. Kuidas ma seda teen?"

Trikk on, et iga minu sait on oma saidikogumi. SharePointi Turve manustatakse tavaliselt saidikogumi tasemel ja see reisi üles paljud SharePointi administraatori. Tavaliselt, ta juba on juurdepääs häälestada turvalisus "main" saidi kogud ja ei pruugi mõista, et see automaatselt ei tööta minu saidid.

Saidikogumite üheskoos elavad sees suurem konteiner, mis on veebirakenduse. Serveripargi administraatorid võite saate konfigureerida turvalisus web app tasandil ja see on, kuidas administraatoritel saab anda ise juurdepääsu mis tahes saidikogumi veebirakenduses. See blogi kirje kirjeldab üks minu isiklikke kogemusi veebi rakenduste poliitikad. Web taotluse poliitika määratletud õnnetuse: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Veebi rakenduste poliitikad võivad olla ohtlikud ja pakun, et neid kasutada säästlikult. Kui mul oleks admin (ja Jumal tänatud ma ei), I looks eraldi AD konto nimeks midagi sellist "SharePointi Web App administraator" ja anda selle ühe konto web taotlus turberoll peab. Ma ei saa seadistada sellist asja korralistest admin või üksikute saidi saidikogumi administraatoritel. See pigem varjata potentsiaalseid probleeme, sest web app rolli alistab madalama tasandi turvasätteid.

</lõpp>

Telli minu blogi.

Järgi mind vidistama kell http://www.twitter.com/pagalvin

VÄRSKENDUS (02/29/08): Uute codeplex projekt tundub meetodit, kindlustada üksikute veergude: http://www.codeplex.com/SPListDisplaySetting. Kui teil on sellega töötamise kogemus, palun jäta kommentaar.

Foorum plakatid küsida sageli niimoodi: "Mul on manager vaade ja ja töötajate ülevaate loend. Kuidas secure manager vaade, et töötajad saaksid kasutada seda?"

Nad sageli küsida sellega seonduvat: "Ma tahan kindlustada konkreetse metaandmete veeru ainult juhtide võib redigeerida selle veeru, samas kui teised ei pruugi isegi näha."

Need vastused rakenduvad nii WSS 3.0 ja SAMMAL:

• SharePointi ette out-of-the-box toe tagamise views.
• SharePoint ei anna out-of-the-box toetust turvalisuse veerud.

Seal on mitmeid tehnikaid üks võimalik jälgida selliste tagatise nõuete rahuldamiseks. Siin on, mida ma mõelda:

• Kasutada out-of-the-box embrüo tasemel turvalisus. Vaadatud alati au kaubakonfiguratsiooni turvalisus. Sündmuse vastuvõtjad ja/või töövoo saab automatiseerida tagatise loovutamise.
• Kasutada isiklikke seisukohti "privilegeeritud" vaatamisi. Need on lihtne üles seada. Aga, Tänu oma "isikliku" Loodus, need tuleb konfigureerida iga kasutaja. Keegi teine isikliku vaate loomist takistada standard turvalisuse konfiguratsiooni abil.
• Kasutage andmete Loendivaate veebiosa ja rakendama AJAXy korrastamine turvalahendus mingi.
• Rullmaterjalist oma nimekirja kuvamisfunktsiooni ning lisada turbekärpimist tasandil veerg.
• Ning Andmesisestusvormid muuta ja kasutada JavaScript koos mudelit rakendada veerutaseme turbekärpimist.
• Kasutage InfoPath-vormi andmesisestuse. Rakendada veerutaseme turbekärpimist via web service kõned SharePoint ja tingimuslikult peida väljad vastavalt vajadusele.
• Rulli oma ASP.NET andmete kande funktsioon, mis implementeerib veeru turvalisus korrastamine.

Ükski neist võimalustest on tõesti nii suur, aga vähemalt tee järgi kui vaja, isegi kui on raske.

MÄRKUS: Kui te minna kõik need rajad, Ärge unustage "tegevuste-> Ava Windows Exploreriga". Soovite olla kindel, et testida, veendumaks, et see ei tööta nagu "tagaukse selle funktsiooniga" ja võita oma turvalisuse kava.

Kui teil on muid ideid või kogemusi tagamise veerge või views, Palun kirjuta mulle või jäta kommentaar ja ma ajakohastavad seda postitad vastavalt vajadusele.

</lõpp>

Telli minu blogi.

VÄRSKENDUS: Panin sellele küsimusele et MSDN siin (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) ja Michael Washam Microsoft vastas lühike vastus.

Olen loonud veebiteenusega toimib ka BDC-sõbralik fassaadi SharePointi loendisse. Kuna ma kasutasin seda minu arenduskeskkond, See töötas trahvi. Kuna ma rännanud see on uus server, See tõrge ilmnes:

Siin on rida 69:

kasutades (SPSite'i saidi = uus SPSite'i("http://localhost/sandbox"))

Olen proovinud erinevaid variante URL, sh kasutades reaalne serverinimi, selle IP-aadressi, trailing kaldkriipsud URL, jne. Ma alati sain selle viga.

Ma kasutasin Google See teadus. Paljud inimesed seisavad silmitsi selle probleemi, või variatsioonid, kuid keegi tundus olevat lahendatud.

Tricksy MOSS esitada selline üksikasjalik viga, et see ei juhtunud minuga kontrollida ning 12 taru palgid. Lõpuks, umbes 24 tundi pärast Minu kolleeg soovitas mul seda teha, I möllitud ning 12 taru Logi ja leidsin selle:

Omandada kohalikus serveripargis ilmnes erand:
System.Security.SecurityException: Taotletud registri juurdepääs keelatud.
kell System.ThrowHelper.ThrowSecurityException(ExceptionResource ressurss) kell Microsoft.Win32.RegistryKey.OpenSubKey(String nimi, Boolean kirjutatav) kell Microsoft.Win32.RegistryKey.OpenSubKey(String nimi) kell Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() kell Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() kell Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarmi& talu, Boolean& isJoined)
Assembler, mis nurjus Zone oli:  Minuarvuti

See on avanud uued võimalused teadustöö, Seega oli The Google'ile. Mis sundis mind seda Foorum post: http://forums.codecharge.com/posts.php?post_id = 67135. Tõesti ei aidanud mind, kuid see ei hakata ma mõtlen puudus andmebaas ja/või julgeoleku küsimus. Ma soldiered ja Andrew Connell postitamiseks lõpuks käivitatud mõtte, et tuleks olla kindel, et rakendusekausta identiteedi konto oli asjakohane juurdepääs andmebaasile. Arvasin, et ta on juba teinud. Aga, Minu kolleeg läks ja andis app basseini identiteedi konto täielikku juurdepääsu SQL.

Niipea, kui ta tegi seda muutust, Kõik alustas tööd.

Mis juhtus edasi on parim väljendatuna on Haiku luuletus:

Probleemid tõsta oma käed.
Swing ja miss. Proovi uuesti.
Edu! Aga kuidas? Miks?

Ta ei tahtnud jätta asju üksi sellist, eelistab anda minimaalselt vajalikku õigust (ja ilmselt abisüsteemi kirjalikult blogi; Ma võitsin teda punch, muhahahahaha!).

Ta eemaldada järgnevate õiguste app rakendusekausta identiteedi konto kuni … ei olnud enam selgesõnalise loata app rakendusekausta identiteedi konto jaoks üldse. Veebiteenuse jätkuvalt emba.

Käisime ja rebooted serverid. Kõike jätkus töötavat.

Nii, Sulgege: Me andis app bassein identiteedi täielik juurdepääs ja siis võttis ära. Veebiteenuse alustas tööd ja kunagi lakanud töötamast. Veider.

Kui keegi teab, miks see ei töötanud, palun jäta kommentaar.

</lõpp>

Pidin vastama turvalisuse nõue InfoPathi vormi täna. Selles olukorras äri, suhteliselt väikesest arvust isenditest tohivad luua uus InfoPathi vorm ja palju laiemale publikule pole lubatud seda muuta. (See on uus-rendi kohta mahajätmise vormi kasutavad inimressursside, mis käivitab töövoo).

Selle eesmärgi saavutamiseks, Olen loonud loodud kahe uue õigusetasemed ("loomine ja uuendamine" ja "värskendada ainult"), murdis pärimise vormiteegi ning mis õigused on "luua, Update" kasutaja ja eraldi "update ainult" Kasutaja. Mehaanika kõik töötas, kuid see osutus veidi rohkem seotud, kui ma ootasin. (Kui tunned vähe logisev SharePointi õiguste kohta, Vaadake see blog post). Õigusetaseme nõutavate konfiguratsioon ei ilmne kogum granuleeritud õigused. Ainult update õigusetaseme InfoPathi vormi loomiseks, Ma tegin järgmisega:

1. Loo uus õigusetase.
2. Koristama kõik valikud.
3. Valitud ainult järgmist: "Loendi õiguste":

• Üksuste redigeerimine
• Üksuste kuvamine
• Taotluse lehtede vaatamine

Need suvandid võimaldab kasutajal vormi värskendamiseks, kuid ei saa luua.

Trikk oli võimaldada "Kuva rakendus lehed". Ei ole mingit verbage õiguste taset näitab ainult update InfoPathi vormide vajadus, aga muutub see on.

Loo-ja Update oli isegi võõras. Ma järgisin sedasama, 1 kaudu 3 eespool. Pidin spetsiaalselt lisada ka saidi faili"" valik: "Kliendiintegratsiooni funktsioonide kasutamine". Uuesti, kirjeldus ei tee see tundub, nagu see peaks olema vajalik InfoPathi vormi, kuid see on.

</lõpp>

VÄRSKENDUS 01/28/08: See codeplex projekt käsitleb seda küsimust: http://www.codeplex.com/AccessChecker. Ma pole seda kasutanud, kuid see paljulubav, kui see on küsimus, te peate tegelema oma keskkonna.

VÄRSKENDUS 11/13/08: Joel Oleson kirjutas üles väga hea postitus suurema turvalisuse haldamise küsimus siin: http://www.sharepointjoel.com/Lists/Posts/Post.aspx?Nimekiri = 0cd1a63d % 2D183c % 2D4fc2% 2 D 8320% 2Dba5369008acb&ID = 113. Ta viitab mitmetele muud kasulikud vahendid.

Foorumi kasutajad ja kliendid sageli küsida mööda neid ridu: "Kuidas kas ma saan luua kõigi kasutajate juurdepääsu saidile loetelu" või "kuidas ma automaatselt uimastitarbijaid kõigi juurdepääsu nimekirja loendis tehtud muutuste kohta?"

Ei ole ühtegi läbi kasti lahust see. Kui mõtled seda hetke, See ei ole raske mõista, miks.

SharePointi Turve on väga paindlik. Seal on vähemalt nelja põhikategooriasse kasutajate:

• Anonüümsed kasutajad.
• SharePointi kasutajad ja rühmad.
• Active Directory kasutajad.
• Vormide põhinev autentimine (FBA) kasutajatele.

Paindlikkus tähendab, et kui mõni, iga teatava SharePointi sait on dramaatiliselt erinevad üksteisest. Et luua Accessi aruande loend, tuleb teha kindlaks, kuidas sait on tagatud, mitme erineva kasutaja profiili andmekogude pärida ja siis esitavad kasulik mood. See on raske probleemi lahendada üldmõistena.

Kuidas on organisatsioonide tegelevad sellega? Ma armastan kuulda teie kommentaare või e-posti.

</lõpp>

VÄRSKENDUS 12/18/07: Vaata Paul Liebrand artiklit mõnede tehniliste tagajärgedega eemaldamise või muutmise nimel vaikenimed (näha oma kommentaar allpool, samuti).

Ülevaade:

SharePointi on lihtne seadistada ja hallata. Aga, See on osutunud raskeks tõesti mähkida oma käed ümber mõned esmakordselt administraatoritele. Mitte ainult, et, Olen näinud mõned tulevad täiuslik arusaamisega esmaspäevast ainult kaotanud reedel sest nad ei pea seda tegema iga konfiguratsiooni vahepealsel ajal administraatorid. (Ma tunnistan, et kellel see probleem ise). See blogi loodetavasti pakub kasulikku SharePointi turvalisuse primer ja punktid suunas mõned konfiguratsiooni parimad.

Tähtis märkus:

See kirjeldus põhineb karbist SharePointi Turve. Minu isiklik kogemus on orienteeritud läheduses MOSS, nii et võib mõned MOSS konkreetne värk siin, kuid usun, et see on täpne WSS. Loodan, et keegi nägi kõik vead ja puudujäägid osutab, et kommentaarides või kirjuta mulle. Teen parandused post kiirustades.

Põhialused:

Käesolev ülevaade eesmärkidel, seal on neli põhimõttelist aspekti turvalisus: kasutajad/rühmad, turvatavate objektide, õigusetasemed ja pärand.

Kasutajate ja rühmade Break down:

• Üksikud kasutajad: Tõmmatakse aktiivse kataloogi või loodud otseselt SharePointis.
• Rühmad: Vastendatud otse kataloogist active directory või loodud SharePointi. Rühmad on rühm kasutajaid. Rühmad on globaalne kogum. Kunagi "seotud" konkreetse turvatavale objektile.

Turvatavate objektide Break down-vähemalt:

• Saidid
• Dokumenditeegid
• Üksikute kaupade loendite ja dokumenditeekide
• Kaustad
• BDC seadeid.

Seal muud turvatavate objektide, Aga sa saad pildi.

Õiguste tasemed: Kimp granuleeritud / madala taseme kasutusõigused, mis sisaldada üksusi nagu luua/lugeda/Kustuta kannete loendid.

Pärand: Vaikimisi üksuste päri turvasätted sisaldavad eesmärgiks. Alamsaitidele päri õigusi oma emalt. Dokumenditeegid päri oma kodulehele. Nii edasi ja nii edasi.

Kasutajate ja rühmade seotud turvatavate objektide kaudu õigusetasemed ja pärand.

Kõige olulisem turvaeeskirjade mõista, Kunagi 🙂 :

1. Rühmad on lihtsalt kogude kasutajad.
2. Rühmad on globaalne saidikogumisse (St. ei ole sellist asja nagu saidi tasandil määratletud rühma).
3. Olenemata rühmanimi, rühmad ei ole, Ümbruskonnas ja ise, on kõik konkreetsed tase turvalisus.
4. Rühmad on turvalisus seoses konkreetsete turvatava objekti.
5. Võib määrata erinevad õigused iga turvatava objektiga samasse.
6. Web taotluse poliitika trump see kõik (vt allpool).

Turvalisuse administraatorid kaotas meres rühma ja kasutaja listings saab alati toetuda need aksioomid juhtida ja mõista nende turvalisuse konfiguratsiooni.

Levinud vigu:

• Rühmanimed vääralt tähendada loa: Karbist välja, SharePointi pakutakse välja rühmi, mille nimi tähendada turvalisuse omane tase. Kaaluda rühma "Toetaja". Üks võõras SharePointi Turve võib hästi vaadata seda nime ja eeldada, et selle rühma liige saab "kaasa" Kõik saidi/nimekiri/teeki portaalis. See võib olla tõsi, kuid mitte sellepärast, et rühma nimi juhtub olema "toetaja". See on ainult tõsi karbist, sest rühm on andnud õigustetaset, mis võimaldab neil lisage/redigeerige/kustutage sisu kell juursait. Pärimise teel, "toetajad" rühm võib samuti lisage/redigeerige/kustutage sisu kell igal all-leheküljel. Üks saab "break" pärimise kett ja muutus sub saidi selliste õigusetase selle liikmete nn "toetaja" rühma ei saa kaasa aidata, Aga ainult lugege (näiteks). See ei oleks mõistlik, ilmselt, Kuna on väga segane.
• Rühmad on määratletud saidi tasemel. On lihtne segi kasutajaliides. Microsoft pakub mugava lingi kasutaja/rühma juhtimise kaudu igas kohas "inimesed ja rühmad" link. See on lihtne uskuda, et kui ma olen saidi "xyzzy" ja rühma xyzzy's inimeste kaudu luua ja sõprade link mis ma olen lihtsalt loodud grupp, mis eksisteerib üksnes xyzzy. Mis ei ole. Tegelikult olen loonud terve saidikogumi rühma.
• Rühmade koosseis ei muutu saidi (St. See on sama kõikjal kasutatakse): Kaaluda grupp "omanik" ja kaks saidid, "HR" ja "Logistika". On normaalne mõelda, et kaks όksikisiku ise neid saite — HR omanik ja logistika omanik. Kasutajaliides lihtsustab turvalisuse administraatori mishandle selle stsenaariumi. Kui ma ei tea paremini, Võiksid pääseda inimeste ja rühmade lingid HR veebilehe kaudu, Valige omanikud"" rühmitada ning lisada minu HR omanik selle rühma. Kuu aega hiljem, Logistika on real. Ma pääsen inimesed ja rühmad logistika kodulehekülg, lisada tõmme omanikud"" rühm. Ma näen HR omanik ja Eemalda teda, mõtlesin, et ma teda kõrvaldades omanikud logistika veebilehekülg. Tegelikult, Ma olen teda eemaldamine globaalse omanikud fraktsioon. Lõbusus ensues.
• Ei suutnud nime gruppideks eriülesanded: Kinnitajad"" rühm on suurepärane näide. Mida võivad elanikud selle rühma heaks? Kui nad selle kinnitada? Ma tõesti tahan inimesi logistika osakond saavad tunnustada HR dokumente? Loomulikult ei. Alati nime Sõprade põhineb nende rolli organisatsioonis. See vähendab riski, et rühm on määratud sobimatu õigusetaseme turvatava objekti jaoks. Oma kavandatud rolli gruppideks nimi. Eelmise stsenaariumi HR/logistika, Tuleks luua kaks uut rühma: "HR omanikud" ja "logistika omanikud" ja iga mõistlik õigusetasemed ja neile kasutajatele oma töö tegemiseks vajalik miinimumsumma määramine.

Muud Kasulikud viited:

• Sainpas Web taotluse poliitika su 's: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Arvelduskoja SharePointi Turve: http://www.sharepointsecurity.com/
• Joel Oleson lingid: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Kui oled teinud seda kaugele:

Palun andke mulle teada kaudu kommentaare oma mõtteid või kirjuta mulle. Kui teate muud head viited, Palun tehke sama!