PÄIVITYS 11/03/08: Lue erinomaisesta kommentti Dessie Lunsford tähän tehtävään.

Olen työskennellyt salainen tech editointi projekti tulossa kirja ja se viittaa tämän blogimerkinnän Tyler Butler MSDN ECM-blogi. Tämä on ensimmäistä kertaa luen itse määriteltävä rajoitettu pääsy merkitys. Tässä on lihan määritelmä:

SharePointissa, anonyymit käyttäjät’ oikeudet määräytyvät rajoitettuja käyttöoikeuksia. Rajoitettu pääsy on erityinen käyttöoikeustaso, jonka ei voi määrittää käyttäjän tai ryhmän suoraan. Se on olemassa siksi Jos kirjasto tai alisivuston joka on rikki käyttöoikeuksien periytyminen, ja käyttäjän tai ryhmän käyttöoikeuksien antaminen vain Kirjasto/oman, nähdäksesi sen sisältö, käyttäjä tai ryhmä on jonkinlainen pääsy sivuston pääkansioon. Muuten käyttäjä tai ryhmä voi selata Kirjasto/alisivusto, Vaikka niillä on siellä, koska on pääsivusto asioita, joita tarvitaan sivuston tai Kirjasto. Siksi, Kun annat ryhmän käyttöoikeuksia vain alisivuston tai Kirjasto, joka rikkoo käyttöoikeuksien periytyminen, SharePoint automaattisesti antaa rajoitettu pääsy että ryhmälle tai käyttäjälle pääsivustossa.

Tämä kysymys tulee esille silloin MSDN-keskustelupalstoissa ja olen aina ollut utelias (mutta ei utelias selvittää ennen tänään :)).

</loppu>

Tilaa blogiin.

Noudata minut viserrys http://www.twitter.com/pagalvin

Merkki, että sosiaalisia Computing alkaa ottamaan pois SharePoint, Näen lisääntyneistä oman sivuston tyyppi kysymykset. Yksi yhteinen kysymys menee jotain tällaista:

"Olen järjestelmänvalvoja ja minun täytyy käyttää jokainen oman sivuston. Miten teen sen?"

Puijata tähän on, että kukin oman sivuston on oma sivustokokoelman. SharePoint-suojauksilla yleensä annetaan sivustokokoelman tasolla ja tämä matkat useita SharePoint-järjestelmänvalvojaan. Yleensä, Hän on jo yhteys "main-suojauksen määrittäminen" sivustokokoelmien ja voi ymmärtää, että tämä ei toimi automaattisesti omat sivustot.

Sivustokokoelmien yhdessä elävät suurempi kontti, Mikä on web-sovellus. Palvelinfarmin järjestelmänvalvojat voivat määrittää suojauksen web app-tasolla ja tämä on, miten järjestelmänvalvojat voivat myöntää itselleen käyttöoikeuden minkä tahansa sivustokokoelman WWW-sovelluksessa. Tämän blogimerkinnän kuvataan yksi web Sovelluskäytännöt Omat kokemukset. Web Sovelluskäytäntö määritelty onnettomuus: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web Sovelluskäytännöt voi olla vaarallista ja ehdotan, että niitä käytetään säästeliäästi. Jos olisin admin (ja Luojan kiitos en ole), Haluan luoda erillinen mainos arvo maine jotain "SharePoint Web App ylläpitäjä" ja antaa yhden tilin web sovellus käyttöoikeusrooli on. En määrittää tällaista asiaa säännöllisesti klusterin järjestelmänvalvoja tai yksittäisen sivuston kokoelma ylläpitäjät. Se yleensä piilottaa mahdollisia ongelmia, koska web-app rooli ohittaa kaikki alemman tason suojausasetukset.

</loppu>

Tilaa blogiin.

Noudata minut viserrys http://www.twitter.com/pagalvin

PÄIVITYS (02/29/08): Tämä uusi codeplex hanke näyttää tarjoavat tapa turvata yksittäisten sarakkeiden: http://www.codeplex.com/SPListDisplaySetting. Jos sinulla on kokemusta työskentelystä sitä, Jätä kommentti.

Foorumi julisteita usein kysyvät kysymyksiä, kuten tämä: "Olen manager mieltä ja ja henkilöstön katsella luettelo. Miten secure manager Näytä, jotta henkilöstö voi käyttää sitä?"

He myös usein kysyä liittyvä kysymys: "Haluan varmistaa tiettyjen metatiedot-sarakkeen niin, että vain valvojat voivat muokata sarakkeen, kun toiset ei voi edes nähdä sitä."

Nämä vastaukset koskevat sekä WSS 3.0 ja SAMMAL:

• SharePoint ei tue OOBE turvaamiseksi tarkastelua.
• SharePoint ei tue OOBE turvallisuus sarakkeiden.

On olemassa useita tekniikoita yksi seurata noudattaa tällaisia turvallisuusvaatimusten. Tässä on mitä ajattelen:

• Käyttää OOBE alkiotason suojaus. Näkymät aina huomioon nimikkeen suojauksen konfiguroinnin. Tapahtuman vastaanottajat ja/tai työnkulun automatisoida vakuuden luovutus.
• Käyttää henkilökohtaisia näkymiä on "etuoikeutettu" näkymät. Nämä ovat helppo asentaa. Kuitenkin, "henkilökohtaisista" Luonto, ne on määritettävä kullekin käyttäjälle. Käytä elintasoturvan kokoonpano jotta henkilökohtaisen näkymän luomiseen.
• Tiedot-web-osan avulla ja toteuttaa jonkinlainen AJAXy tietoturvaratkaisu leikkaus.
• Roll oman luettelon näyttöominaisuudet ja sisällyttää käyttäjäkohtainen saraketasolla.
• Muokkaaminen tietojen syöttölomakkeen ja käyttää JavaScript turvallisuus malli yhdessä toteuttamaan saraketason käyttäjäkohtainen.
• Käyttävät InfoPath-lomaketta tietojen syöttämistä. Toteuttaa saraketason käyttäjäkohtainen kautta web palvelu edellyttää SharePoint ja ehdollisesti Piilota kentät tarvittaessa.
• Roll oman ASP.NET tiedot merkinnän toiminnon, joka toteuttaa sarakkeen tason käyttäjäkohtainen.

Mikään näistä vaihtoehdoista ei ole todella niin hyvä, mutta ainakin polku seuraa jos haluat, Vaikka on vaikea.

HUOMAUTUS: Jos haluat mennä mitään näitä polkuja, Älä unohda "toimet-> Avaa Resurssienhallinnassa". Haluat varmistaa, että testaat, joka ominaisuus varmistaa, että se ei toimi "-takaoven" ja voittaa suojausmallin mukaisen.

Jos sinulla on muita ideoita tai kokemuksia turvata sarakkeita tai näkymät, Ole hyvä email we tai jätä kommentti ja I päivittää tämän lähettämistä tarvittaessa.

</loppu>

Tilaa blogiin.

PÄIVITYS: I lähetetty tähän kysymykseen tässä MSDN (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) ja Michael Washam Microsoft vastasi ytimekäs vastaus.

Olen luonut web-palveluun, toimia BDC-friendly julkisivu SharePoint-luetteloon. Kun olen käyttänyt tätä minun kehitysympäristö, se toimi moitteettomasti. Kun olen siirtänyt tämän uuteen palvelimeen, Olen havainnut tämän virheen:

Tässä on line 69:

käyttäminen (SPSite-sivuston = uusi SPSite("http://localhost/sandbox"))

Olen kokeillut erilaisia muunnelmia URL, myös käyttämällä todellinen palvelinnimi, IP-osoitteen, perään vinoviiva URL, jne. Olen aina saanut tämän virheen.

Käytin Google jotta tutkia se. Paljon ihmisiä kohtaamaan tämän ongelman, tai muunnelmia, mutta ei kukaan näyttänyt saada se ratkaistu.

Tricksy MOSS jos esittää tarkasti erehdys että se ei tapahdu minun tarkistaa, 12 rakenteen lokit. Lopulta, tietoja 24 tunnin kuluttua kollegani Suositellut sitä, Olen kassalla 12 Hive loki ja löysin tämän:

Poikkeus haettaessa paikallisen maatilan:
System.Security.SecurityException: Pyydettyjä rekisterinkäyttöoikeuksia ei sallita.
klo System.ThrowHelper.ThrowSecurityException(ExceptionResource resurssi) klo Microsoft.Win32.RegistryKey.OpenSubKey(Merkkijonon nimi, Totuusarvo voi kirjoittaa) klo Microsoft.Win32.RegistryKey.OpenSubKey(Merkkijonon nimi) klo Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() klo Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() klo Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& Farm, Totuusarvo& isJoined)
Epäonnistuneen kokoonpanon alueella oli:  Oma tietokone

Tämä avasi uusia mahdollisuuksia tutkimuksen, joten se oli takaisin Google. Tämä johti minut tähän Forum viesti: http://forums.codecharge.com/Posts.php?post_id = 67135. Eipä siitä juuri apua minulle, mutta se alkaa tehdä minut ajattelemaan, oli tietokannasta ja/tai turvallisuuden kysymys. Olen soldiered ja Andrew Connell Post vihdoin laukaisi ajatus, että minun pitäisi tehdä varma, että sovellussarjan tunnistetiedon tilinä oli asianmukainen pääsy tietokantaan. Ajattelin, että se on jo tehnyt. Kuitenkin, kollegani meni ja antoi app allas identiteetin tilin täydet käyttöoikeudet SQL.

Heti, kun hän teki muutos, Kaikki aloitti.

Mitä tapahtui seuraavaksi on paras Haiku runo:

Ongelmia nostaa kätensä.
Swing ja ikävä. Yritä uudestaan.
Menestys! Mutta miten? Miksi?

Hän ei halunnut jättää yksin tuollaista, mieluummin antaa tarvittava vähimmäisoikeus (ja todennäköisesti perusteellisesti kirjoittaa blogimerkinnän; Ehkä häntä booli, muhahahahaha!).

Hän poistaa peräkkäisten käyttöoikeudet app allas identiteetin tililtä … ei ollut enää mitään nimenomaista lupaa app allas tunnistetiedon tilinä ollenkaan. Web-palvelun jatkoi hienosti.

Menimme ja käynnistetään palvelimet. Kaikki edelleen toimivat hyvin.

Niin, kertaus: annoimme app allas identiteetin täydet ja sitten vei. Web-palvelun aloitti ja koskaan lakkasi toimimasta. Outo.

Jos joku tietää, miksi se olisi toiminut, Jätä kommentti.

</loppu>

Minun piti täyttää InfoPath-lomakkeen tietoturvavaatimuksen tänään. Business-tilanne, suhteellisen pieni määrä henkilöitä voivat luoda uusi InfoPath-lomake ja laajemmin voivat muokata sitä. (Tämä on uusi vuokraus-lennolle muodossa, jota inhimillisten voimavarojen että aloittaa työnkulun).

Tavoitteen saavuttamiseksi, Loin luotu kaksi uusia käyttöoikeustasoja ("luonti ja päivitys" ja "Päivitä"), rikkoi periytymisen lomakekirjastoon ja määrittää käyttöoikeudet a "Luo, päivitys" käyttäjä ja erillinen "update vain" käyttäjä. Mekaniikka kaikki toimi, mutta se osoittautui hieman enemmän mukana kuin odotin. (Jos sinusta tuntuu hieman hatara SharePoint-käyttöoikeuksien, Lähtö tämä blogi). Suojaustarve määritystoiminto käyttöoikeustason ei ilmeinen joukko hienojakoisen oikeuksien. Voit luoda vain päivitys-käyttöoikeustaso InfoPath-lomake, Tein seuraavat:

1. Luoda uusia käyttöoikeustasoja.
2. Poistaa kaikki asetukset.
3. Valittu vain seuraavat "Luettelon käyttöoikeuksia":

• Muokkaa kohteita
• Kohteiden tarkasteleminen
• Näytä sovellussivut

Näiden valintojen avulla käyttäjä voi päivittää lomakkeen, mutta ei luoda.

Temppu oli, että "Näytä sovellussivut". Ei ole mitään verbage käyttöoikeustaso, jonka osoittaa, joka on tarpeen päivittää vain InfoPath-lomakkeet, kuitenkin käynyt ilmi, se on.

Luo ja Päivitä oli jopa muukalainen. Seuraa samat vaiheet, 1 kautta 3 Edellä. Minulla oli nimenomaan lisätä "sivusto lupaa" vaihtoehto: "Käytä asiakasintegraatio-ominaisuuksia". Uudelleen, kuvaus on ei tee se näyttää kuin se pitäisi vaatia InfoPath-lomake, mutta se on.

</loppu>

PÄIVITYS 01/28/08: Codeplex-hankkeessa käsitellään: http://www.codeplex.com/AccessChecker. En ole käyttänyt sitä, mutta se näyttää lupaavalta, jos asiasta täytyy puuttua ympäristössäsi.

PÄIVITYS 11/13/08: Joel Oleson kirjoitti erittäin hyvä viesti suuremman turvallisuuden hallinta asiasta täällä: http://www.sharepointjoel.com/Lists/Posts/Post.aspx?Luettelo = 0cd1a63d % 2D183c % 2D4fc2 % 2 D 8320 % 2Dba5369008acb&ID = 113. Se yhdistää useita muita hyödyllisiä resursseja.

Foorumin käyttäjät ja asiakkaat usein kysyä tämänsuuntaisia: "Miten voin luoda luettelon käyttäjistä, joilla on pääsy sivuston" tai "Miten voi automaattisesti varoitan kaikki käyttäjille pääsyn luettelon muutoksista luetteloon?"

Ei out of the box ratkaisu tähän. Jos ajattelee sitä hetki, se ei ole vaikea ymmärtää miksi.

SharePoint-suojauksilla on erittäin joustava. Tällä hetkellä ainakin neljään pääluokkaan käyttäjien:

• Anonyymit käyttäjät.
• SharePoint käyttäjät ja ryhmät.
• Active Directoryn käyttäjät.
• Lomakkeiden perustuva autentikointi (FBA) käyttäjät.

Joustavuus tarkoittaa, että turvallisuus näkökulmasta, tietyn SharePoint-sivuston on dramaattisesti erilainen toinen. Jotta voidaan luoda access-luettelo-raportti, yksi on selvittää, miten sivusto suojataan, kyselyn useita eri käyttäjän profiili arkistoja ja esittää sen sitten hyödyllistä tavalla. Se on ankara arvoitus jotta ratkaista yleisesti.

Miten järjestöt käsittelevät tätä? Haluaisin mielelläni kuulla teiltä kommentteja tai Sähköposti.

</loppu>

PÄIVITYS 12/18/07: Paul Liebrand artikkelissa on joitakin teknisiä vaikutuksia poistaa se tai muuttaa ryhmän oletusnimet (Katso hänen kommentoida alla sekä).

Yleiskatsaus:

SharePoint on helppo määrittää ja hallita. Kuitenkin, se on osoittautunut vaikeaksi jotkut ensimmäistä kertaa ylläpitäjät todella kääri kätensä ympärille. Paitsi että, Olen nähnyt jotkut ylläpitäjät tullut täydellinen ymmärrystä maanantaina vain on menettänyt sen perjantaina, koska heillä ei ollut jotta ajaa jokin kokoonpano väliajan. (Myönnän olevani ongelman itse). Tämän blogimerkinnän toivottavasti tarjoaa hyödyllisiä SharePoint turvallisuus primer ja ennakoi security configuration toimintaohjeita.

Tärkeä huomautus:

Tämä kuvaus perustuu out of box SharePoint-suojauksilla. Oma kokemus on suuntautunut noin MOSS, joten joitakin MOSS tiettyjä juttuja täällä, mutta mielestäni se on tarkka WSS. Toivon, että kenenkään nähdä kaikki virheet tai laiminlyönnit huomauttavat siitä kommentteja tai email we. Teen korjaukset Päättäkää.

Perusteet:

Katsauksessa tarkoitetaan, on olemassa neljä pääasioita, turvallisuus: käyttäjät tai ryhmät, suojattavia kohteita, käyttöoikeustasot ja perintö.

Käyttäjät ja ryhmät murtaa alas:

• Yksittäiset käyttäjät: Vedettiin active directory tai luotu suoraan SharePoint.
• Ryhmät: Suoraan yhdistetty active Directorysta tai luotu SharePoint. Ryhmät ovat joukko käyttäjiä. Ryhmät ovat maailmanlaajuisia sivustokokoelmassa. He ole koskaan "sidottu" tiettyyn suojattavaan kohteeseen.

Suojattavia kohteita murtaa alas vähintään:

• Sivustot
• Asiakirjakirjastot
• Yksittäiset kohteet luetteloiden ja asiakirjakirjastojen
• Kansiot
• Eri BDC-asetuksia.

Muita suojattavia kohteita, mutta saat kuvan.

Käyttöoikeustasot: Nippu rakeinen / alhainen taso käyttöoikeudet, jotka sisältävät sellaisia asioita kuin luoda, lukea tai poistaa merkinnät luetteloissa.

Perintö: Oletusarvoisesti yksiköt suojausasetukset periytyvät sisältävän objektin. Alisivustot perivät käyttöoikeudet pääsivustosta. Asiakirjakirjastojen perivät sivuston. Ja niin edelleen.

Käyttäjät ja ryhmät liittyvät suojattavia kohteita kautta käyttöoikeustasot ja perintö.

Tärkein suojaussäännöt ymmärtää, Ever 🙂 :

1. Ryhmät ovat yksinkertaisesti joukko käyttäjiä.
2. Ryhmät ovat maailmanlaajuisia sivustokokoelman (ts. ei ole sellaista asiaa kuin ryhmän sivuston tasolla).
3. Ryhmänimi ei kestä, ryhmät eivät, Kaupungissa ja itse, ole mitään tiettyä tasoa turvallisuus.
4. Ryhmät on tiettyjä suojattavia yhteydessä.
5. Voit määrittää eri käyttöoikeustasoja samaan ryhmään joka suojattavan.
6. Web Sovelluskäytännöt valtti kaiken tämän (Katso alla).

Suojauksen hallinnan polveilevia ja käyttäjäryhmien listat aina luottaa nämä aksioomat hallita ja ymmärtää niiden suojauksen määritys.

Viat:

• Ryhmänimet väärin edellytä lupaa: Kättelyssä, SharePoint määrittää ryhmät joiden nimet tarkoita luonnostaan turvallisuustaso. Pitää ryhmän "Osallistuja". Yksi tunne SharePoint-suojauksilla hyvin tarkastella samanniminen ja olettaa, että kyseisen ryhmän jäsen voi "edistää" sivustosta/luettelosta/asiakirjakirjastoon portaalissa. Tämä voi olla totta mutta ei siksi, että ryhmän nimi sattuu olemaan "osallistuja". Tämä on vain totta kättelyssä, koska ryhmä on antanut käyttöoikeustaso, jonka avulla ne voivat lisätä, muokata tai poistaa sisältöä pääsivusto. Perintönä, "kirjoittajat" Ryhmä voi myös lisätä, muokata tai poistaa sisältöä kaikki osa-sivuston. Yksi "rikkoa" perintö ketju ja muuttaa käyttöoikeustason osa sivusto niin että jäsenet ns "avustaja" ryhmä ei osallistu, mutta vain lukea (esimerkiksi). Tämä ei olisi hyvä, tietenkin, koska olisi hyvin sekava.
• Ryhmät määritellään ei-sivuston tasolla. Se on helppo sekoittaa käyttöliittymän. Microsoft tarjoaa kätevän yhteyden käyttäjän tai ryhmän johto jokaisen sivuston "ihmisten ja ryhmien" linkki. Se on helppo uskoa, että kun olen sivuston "xyzzy" luodaan ryhmä xyzzy's ihmisten ja ryhmien linkki jonka olen juuri luonut ryhmä, joka on olemassa vain klo xyzzy. Joka ei ole. Olen itse luonut ryhmän koko sivustokokoelman.
• Ryhmien jäsenyys ei vaihtele toimipaikoittain (ts. se on sama kaikkialla ryhmän käytetään): Pitää ryhmän "omistaja" ja kaksi sivustoa, "HR" ja "Logistiikka". Se olisi normaalia ajatella, että kaksi eri henkilöä itse näitä sivustoja — HR-omistaja ja logistiikan omistaja. Käyttöliittymä helpottaa suojauksesta vastaava järjestelmänvalvoja voi huonosti tässä tilanteessa. Jos en tiedä paremmin, Saatat saada henkilöt ja ryhmät-linkkien kautta HR-sivusto, Valitse "omistajat" Ryhmä ja lisäämällä HR omistaja ryhmän. Kuukautta myöhemmin, Logistiikka tulee linja. I-KIRJAIN pääsy henkilöt ja ryhmät logistiikka-sivustosta, Lisää vedä ylös "omistajat" Ryhmä. Katso HR omistaja ja poistaa hänet, ajatellut, että olen poistaa hänen omistajilta logistiikka-sivustossa. Itse asiassa, Olen poistaa global omistajien-ryhmästä. Iloisuus ensues.
• Ei nimi ryhmään erityisasema: "Hyväksyjät" ryhmä on täydellinen esimerkki. Mitä voi jäsenten ryhmän hyväksy? Jossa häntä hyväksymään se? Todella haluan ihmisiä logistiikan osasto voi hyväksyä HR asiakirjoja? Ei tietenkään. Aina nimi ryhmiin niiden rooli organisaatiossa. Tämä vähentää ryhmälle on määritetty tietyn suojattavan sopimatonta käyttöoikeustaso. Nimi ryhmään aiotun rooli. Edellisen HR/logistiikka-menetelmän, Olen luonut kaksi uutta ryhmää: "HR omistajat" ja "logistiikka omistajat" järkevä käyttöoikeustasot kullekin ja nämä käyttäjät tekevät työnsä vaadittu vähimmäismäärä.

Muut hyödylliset viitteet:

• Web application politiikan gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Clearinghouse SharePoint turvallisuuden: http://www.sharepointsecurity.com/
• Linkkejä Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Jos olet tehnyt näin pitkälle:

Kerro minulle ajatuksiasi kautta kommentteja tai lähetä minulle sähköpostia. Jos tiedät muita hyvät referenssit, Tee sama!