VÄRSKENDUS 12/18/07: Vaata Paul Liebrand artiklit mõnede tehniliste tagajärgedega eemaldamise või muutmise nimel vaikenimed (näha oma kommentaar allpool, samuti).
Ülevaade:
SharePointi on lihtne seadistada ja hallata. Aga, See on osutunud raskeks tõesti mähkida oma käed ümber mõned esmakordselt administraatoritele. Mitte ainult, et, Olen näinud mõned tulevad täiuslik arusaamisega esmaspäevast ainult kaotanud reedel sest nad ei pea seda tegema iga konfiguratsiooni vahepealsel ajal administraatorid. (Ma tunnistan, et kellel see probleem ise). See blogi loodetavasti pakub kasulikku SharePointi turvalisuse primer ja punktid suunas mõned konfiguratsiooni parimad.
Tähtis märkus:
See kirjeldus põhineb karbist SharePointi Turve. Minu isiklik kogemus on orienteeritud läheduses MOSS, nii et võib mõned MOSS konkreetne värk siin, kuid usun, et see on täpne WSS. Loodan, et keegi nägi kõik vead ja puudujäägid osutab, et kommentaarides või kirjuta mulle. Teen parandused post kiirustades.
Põhialused:
Käesolev ülevaade eesmärkidel, seal on neli põhimõttelist aspekti turvalisus: kasutajad/rühmad, turvatavate objektide, õigusetasemed ja pärand.
Kasutajate ja rühmade Break down:
- Üksikud kasutajad: Tõmmatakse aktiivse kataloogi või loodud otseselt SharePointis.
- Rühmad: Vastendatud otse kataloogist active directory või loodud SharePointi. Rühmad on rühm kasutajaid. Rühmad on globaalne kogum. Kunagi "seotud" konkreetse turvatavale objektile.
Turvatavate objektide Break down-vähemalt:
- Saidid
- Dokumenditeegid
- Üksikute kaupade loendite ja dokumenditeekide
- Kaustad
- BDC seadeid.
Seal muud turvatavate objektide, Aga sa saad pildi.
Õiguste tasemed: Kimp granuleeritud / madala taseme kasutusõigused, mis sisaldada üksusi nagu luua/lugeda/Kustuta kannete loendid.
Pärand: Vaikimisi üksuste päri turvasätted sisaldavad eesmärgiks. Alamsaitidele päri õigusi oma emalt. Dokumenditeegid päri oma kodulehele. Nii edasi ja nii edasi.
Kasutajate ja rühmade seotud turvatavate objektide kaudu õigusetasemed ja pärand.
Kõige olulisem turvaeeskirjade mõista, Kunagi 🙂 :
- Rühmad on lihtsalt kogude kasutajad.
- Rühmad on globaalne saidikogumisse (St. ei ole sellist asja nagu saidi tasandil määratletud rühma).
- Olenemata rühmanimi, rühmad ei ole, Ümbruskonnas ja ise, on kõik konkreetsed tase turvalisus.
- Rühmad on turvalisus seoses konkreetsete turvatava objekti.
- Võib määrata erinevad õigused iga turvatava objektiga samasse.
- Web taotluse poliitika trump see kõik (vt allpool).
Turvalisuse administraatorid kaotas meres rühma ja kasutaja listings saab alati toetuda need aksioomid juhtida ja mõista nende turvalisuse konfiguratsiooni.
Levinud vigu:
- Rühmanimed vääralt tähendada loa: Karbist välja, SharePointi pakutakse välja rühmi, mille nimi tähendada turvalisuse omane tase. Kaaluda rühma "Toetaja". Üks võõras SharePointi Turve võib hästi vaadata seda nime ja eeldada, et selle rühma liige saab "kaasa" Kõik saidi/nimekiri/teeki portaalis. See võib olla tõsi, kuid mitte sellepärast, et rühma nimi juhtub olema "toetaja". See on ainult tõsi karbist, sest rühm on andnud õigustetaset, mis võimaldab neil lisage/redigeerige/kustutage sisu kell juursait. Pärimise teel, "toetajad" rühm võib samuti lisage/redigeerige/kustutage sisu kell igal all-leheküljel. Üks saab "break" pärimise kett ja muutus sub saidi selliste õigusetase selle liikmete nn "toetaja" rühma ei saa kaasa aidata, Aga ainult lugege (näiteks). See ei oleks mõistlik, ilmselt, Kuna on väga segane.
- Rühmad on määratletud saidi tasemel. On lihtne segi kasutajaliides. Microsoft pakub mugava lingi kasutaja/rühma juhtimise kaudu igas kohas "inimesed ja rühmad" link. See on lihtne uskuda, et kui ma olen saidi "xyzzy" ja rühma xyzzy's inimeste kaudu luua ja sõprade link mis ma olen lihtsalt loodud grupp, mis eksisteerib üksnes xyzzy. Mis ei ole. Tegelikult olen loonud terve saidikogumi rühma.
- Rühmade koosseis ei muutu saidi (St. See on sama kõikjal kasutatakse): Kaaluda grupp "omanik" ja kaks saidid, "HR" ja "Logistika". On normaalne mõelda, et kaks όksikisiku ise neid saite — HR omanik ja logistika omanik. Kasutajaliides lihtsustab turvalisuse administraatori mishandle selle stsenaariumi. Kui ma ei tea paremini, Võiksid pääseda inimeste ja rühmade lingid HR veebilehe kaudu, Valige omanikud"" rühmitada ning lisada minu HR omanik selle rühma. Kuu aega hiljem, Logistika on real. Ma pääsen inimesed ja rühmad logistika kodulehekülg, lisada tõmme omanikud"" rühm. Ma näen HR omanik ja Eemalda teda, mõtlesin, et ma teda kõrvaldades omanikud logistika veebilehekülg. Tegelikult, Ma olen teda eemaldamine globaalse omanikud fraktsioon. Lõbusus ensues.
- Ei suutnud nime gruppideks eriülesanded: Kinnitajad"" rühm on suurepärane näide. Mida võivad elanikud selle rühma heaks? Kui nad selle kinnitada? Ma tõesti tahan inimesi logistika osakond saavad tunnustada HR dokumente? Loomulikult ei. Alati nime Sõprade põhineb nende rolli organisatsioonis. See vähendab riski, et rühm on määratud sobimatu õigusetaseme turvatava objekti jaoks. Oma kavandatud rolli gruppideks nimi. Eelmise stsenaariumi HR/logistika, Tuleks luua kaks uut rühma: "HR omanikud" ja "logistika omanikud" ja iga mõistlik õigusetasemed ja neile kasutajatele oma töö tegemiseks vajalik miinimumsumma määramine.
Muud Kasulikud viited:
- Sainpas Web taotluse poliitika su 's: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Arvelduskoja SharePointi Turve: http://www.sharepointsecurity.com/
- Joel Oleson lingid: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Kui oled teinud seda kaugele:
Palun andke mulle teada kaudu kommentaare oma mõtteid või kirjuta mulle. Kui teate muud head viited, Palun tehke sama!