PÄIVITYS 12/18/07: Paul Liebrand artikkelissa on joitakin teknisiä vaikutuksia poistaa se tai muuttaa ryhmän oletusnimet (Katso hänen kommentoida alla sekä).
Yleiskatsaus:
SharePoint on helppo määrittää ja hallita. Kuitenkin, se on osoittautunut vaikeaksi jotkut ensimmäistä kertaa ylläpitäjät todella kääri kätensä ympärille. Paitsi että, Olen nähnyt jotkut ylläpitäjät tullut täydellinen ymmärrystä maanantaina vain on menettänyt sen perjantaina, koska heillä ei ollut jotta ajaa jokin kokoonpano väliajan. (Myönnän olevani ongelman itse). Tämän blogimerkinnän toivottavasti tarjoaa hyödyllisiä SharePoint turvallisuus primer ja ennakoi security configuration toimintaohjeita.
Tärkeä huomautus:
Tämä kuvaus perustuu out of box SharePoint-suojauksilla. Oma kokemus on suuntautunut noin MOSS, joten joitakin MOSS tiettyjä juttuja täällä, mutta mielestäni se on tarkka WSS. Toivon, että kenenkään nähdä kaikki virheet tai laiminlyönnit huomauttavat siitä kommentteja tai email we. Teen korjaukset Päättäkää.
Perusteet:
Katsauksessa tarkoitetaan, on olemassa neljä pääasioita, turvallisuus: käyttäjät tai ryhmät, suojattavia kohteita, käyttöoikeustasot ja perintö.
Käyttäjät ja ryhmät murtaa alas:
- Yksittäiset käyttäjät: Vedettiin active directory tai luotu suoraan SharePoint.
- Ryhmät: Suoraan yhdistetty active Directorysta tai luotu SharePoint. Ryhmät ovat joukko käyttäjiä. Ryhmät ovat maailmanlaajuisia sivustokokoelmassa. He ole koskaan "sidottu" tiettyyn suojattavaan kohteeseen.
Suojattavia kohteita murtaa alas vähintään:
- Sivustot
- Asiakirjakirjastot
- Yksittäiset kohteet luetteloiden ja asiakirjakirjastojen
- Kansiot
- Eri BDC-asetuksia.
Muita suojattavia kohteita, mutta saat kuvan.
Käyttöoikeustasot: Nippu rakeinen / alhainen taso käyttöoikeudet, jotka sisältävät sellaisia asioita kuin luoda, lukea tai poistaa merkinnät luetteloissa.
Perintö: Oletusarvoisesti yksiköt suojausasetukset periytyvät sisältävän objektin. Alisivustot perivät käyttöoikeudet pääsivustosta. Asiakirjakirjastojen perivät sivuston. Ja niin edelleen.
Käyttäjät ja ryhmät liittyvät suojattavia kohteita kautta käyttöoikeustasot ja perintö.
Tärkein suojaussäännöt ymmärtää, Ever 🙂 :
- Ryhmät ovat yksinkertaisesti joukko käyttäjiä.
- Ryhmät ovat maailmanlaajuisia sivustokokoelman (ts. ei ole sellaista asiaa kuin ryhmän sivuston tasolla).
- Ryhmänimi ei kestä, ryhmät eivät, Kaupungissa ja itse, ole mitään tiettyä tasoa turvallisuus.
- Ryhmät on tiettyjä suojattavia yhteydessä.
- Voit määrittää eri käyttöoikeustasoja samaan ryhmään joka suojattavan.
- Web Sovelluskäytännöt valtti kaiken tämän (Katso alla).
Suojauksen hallinnan polveilevia ja käyttäjäryhmien listat aina luottaa nämä aksioomat hallita ja ymmärtää niiden suojauksen määritys.
Viat:
- Ryhmänimet väärin edellytä lupaa: Kättelyssä, SharePoint määrittää ryhmät joiden nimet tarkoita luonnostaan turvallisuustaso. Pitää ryhmän "Osallistuja". Yksi tunne SharePoint-suojauksilla hyvin tarkastella samanniminen ja olettaa, että kyseisen ryhmän jäsen voi "edistää" sivustosta/luettelosta/asiakirjakirjastoon portaalissa. Tämä voi olla totta mutta ei siksi, että ryhmän nimi sattuu olemaan "osallistuja". Tämä on vain totta kättelyssä, koska ryhmä on antanut käyttöoikeustaso, jonka avulla ne voivat lisätä, muokata tai poistaa sisältöä pääsivusto. Perintönä, "kirjoittajat" Ryhmä voi myös lisätä, muokata tai poistaa sisältöä kaikki osa-sivuston. Yksi "rikkoa" perintö ketju ja muuttaa käyttöoikeustason osa sivusto niin että jäsenet ns "avustaja" ryhmä ei osallistu, mutta vain lukea (esimerkiksi). Tämä ei olisi hyvä, tietenkin, koska olisi hyvin sekava.
- Ryhmät määritellään ei-sivuston tasolla. Se on helppo sekoittaa käyttöliittymän. Microsoft tarjoaa kätevän yhteyden käyttäjän tai ryhmän johto jokaisen sivuston "ihmisten ja ryhmien" linkki. Se on helppo uskoa, että kun olen sivuston "xyzzy" luodaan ryhmä xyzzy's ihmisten ja ryhmien linkki jonka olen juuri luonut ryhmä, joka on olemassa vain klo xyzzy. Joka ei ole. Olen itse luonut ryhmän koko sivustokokoelman.
- Ryhmien jäsenyys ei vaihtele toimipaikoittain (ts. se on sama kaikkialla ryhmän käytetään): Pitää ryhmän "omistaja" ja kaksi sivustoa, "HR" ja "Logistiikka". Se olisi normaalia ajatella, että kaksi eri henkilöä itse näitä sivustoja — HR-omistaja ja logistiikan omistaja. Käyttöliittymä helpottaa suojauksesta vastaava järjestelmänvalvoja voi huonosti tässä tilanteessa. Jos en tiedä paremmin, Saatat saada henkilöt ja ryhmät-linkkien kautta HR-sivusto, Valitse "omistajat" Ryhmä ja lisäämällä HR omistaja ryhmän. Kuukautta myöhemmin, Logistiikka tulee linja. I-KIRJAIN pääsy henkilöt ja ryhmät logistiikka-sivustosta, Lisää vedä ylös "omistajat" Ryhmä. Katso HR omistaja ja poistaa hänet, ajatellut, että olen poistaa hänen omistajilta logistiikka-sivustossa. Itse asiassa, Olen poistaa global omistajien-ryhmästä. Iloisuus ensues.
- Ei nimi ryhmään erityisasema: "Hyväksyjät" ryhmä on täydellinen esimerkki. Mitä voi jäsenten ryhmän hyväksy? Jossa häntä hyväksymään se? Todella haluan ihmisiä logistiikan osasto voi hyväksyä HR asiakirjoja? Ei tietenkään. Aina nimi ryhmiin niiden rooli organisaatiossa. Tämä vähentää ryhmälle on määritetty tietyn suojattavan sopimatonta käyttöoikeustaso. Nimi ryhmään aiotun rooli. Edellisen HR/logistiikka-menetelmän, Olen luonut kaksi uutta ryhmää: "HR omistajat" ja "logistiikka omistajat" järkevä käyttöoikeustasot kullekin ja nämä käyttäjät tekevät työnsä vaadittu vähimmäismäärä.
Muut hyödylliset viitteet:
- Web application politiikan gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Clearinghouse SharePoint turvallisuuden: http://www.sharepointsecurity.com/
- Linkkejä Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Jos olet tehnyt näin pitkälle:
Kerro minulle ajatuksiasi kautta kommentteja tai lähetä minulle sähköpostia. Jos tiedät muita hyvät referenssit, Tee sama!