SharePoint Seguridade Primer Fundamentos / Evitar as trampas comúns

Actualización 12/18/07: Ver o artigo de Paul Liebrand para algunhas consecuencias técnicas de eliminar ou modificar os nomes de grupos estándar (ver o seu comentario a continuación, así).

Visión global:

SharePoint security is easy to configure and manage. Con todo, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Eu admite a ter este problema me). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Nota importante:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or enviar correo-e me. I’ll make corrections post haste.

Fundamentos:

Aos efectos da presente Resumo, existen catro aspectos fundamentais para a seguridade: usuarios / grupos, obxectos que poden ser protexidos, niveis de permisos e de herdanza.

Usuarios e Grupos quebran-se en:

  • Os usuarios individuais: Tirado do Active Directory ou creado directamente no SharePoint.
  • Grupos: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" a un obxecto específico protexido.

Obxectos que poden ser protexidos romper a polo menos:

  • Sitios
  • As bibliotecas de documentos
  • Elementos individuais en listas e bibliotecas de documentos
  • Cartafois
  • Varias opcións BDC.

Existen outros obxectos que poden ser protexidos, pero comeza a foto.

Os niveis de permiso: Un feixe de granular / low level access rights that include such things as create/read/delete entries in lists.

Herdanza: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Usuarios e grupos se relacionan con obxectos que poden ser protexidos a través de niveis de permiso e de herdanza.

Os máis importantes Normas de Seguridade para entender, Ever 🙂 :

  1. Os grupos son simplemente coleccións de usuarios.
  2. Grupos son globais dentro dun conxunto de sitios web (i.e. non hai tal cousa como un grupo definido a nivel local).
  3. Nome do grupo non resistir, grupos non facer, en si, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. Pode asignar niveis de permiso diferentes para o mesmo grupo para cada obxecto protexido.
  6. Aplicación web políticas trunfo todo isto (mira abaixo).

Os administradores de seguridade perdidas nun mar de grupo e lista de usuarios poderá contar con estes axiomas para xestionar e entender a súa configuración de seguridade.

Problemas comúns:

  • Os nomes dos grupos implicar falsamente permiso: Fóra da caixa, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" grupo non pode contribuír en todo, pero só ler (por exemplo). This would not be a good idea, obviamente, xa que sería moi confuso.
  • Os grupos non son definidos a nivel local. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" ligazón. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Grupos de adhesión non varía pola web (i.e. é a mesma en todas partes do grupo se usa): Consider the group "Owner" e dous locais, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Eu podería acceder as persoas e con grupos a través da web de RH, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. En realidade, I’m removing her from the global Owners group. Hilarity ensues.
  • Deixar de citar grupos baseados en papel específico: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Eu debería crear dous novos grupos: "HR Owners" and "Logistics Owners" e asignar niveis de permiso por cada cordas e ao importe mínimo esixido para os usuarios fagan o seu traballo.

Outras referencias útiles:

Se chegou aquí:

Please let me know your thoughts via the comments or email me. If you know other good references, faga o mesmo!

Technorati Tags:

Fácil e rápida: Crear un Data View web Part (DVWP)

Hai unha gran riqueza de información sobre o WSS 3.0 Data View web Part (DVWP) on the web from several sources. Con todo, I found it to be surprisingly difficult to find information on this first very basic step. Here is another article in the "quick and easy" serie para afrontalo lo.

Siga estes pasos para crear un Data View web Part (DVWP). They are based on an "Announcements" parte da web, pero se aplican á maioría das listas.

  1. Crear unha peza web Anuncios e engadila a un sitio web.
  2. Abre o sitio web no SharePoint Design.
  3. Abre default.aspx web.
  4. Select the Announcements web part and right-click.
  5. No menú contextual, select "Convert to XSOT Data View".

SharePoint Deseño avisa que esta web é agora personalizado a partir da súa definición de sitio. Iso non é necesariamente malo, pero non son importantes implicacións (execución, mellorar, outros) which are beyond the scope of this little "Quick and Easy" entrada. To get more information on this subject, Recomendo os dous libros aquí así como o seu favorito de procura en Internet.

Confirmar que fixo correctamente:

  1. Pechar e reabrir o navegador web (to avoid accidentally re-posting the original "add a new web part").
  2. Select the web part’s arrow drop-down and choose "Modify Shared Web Part" desde o menú.
  3. O panel de ferramentas abre á dereita.
  4. O panel cambiou das súas opcións habituais para este conxunto:
imaxe

“Non se pode ver a lista de propiedade de columna de esquema da lista do SharePoint” — descrición / traballo-around

Esta semana, finalmente reproducido un problema que fora informar por un usuario remoto: Cando tentou exportar o contido dunha lista de Excel, as cousas parecen comezar a traballar, pero entón Excel debería aparecer un erro: "Cannot get the list schema column property from the SharePoint list". She was running office 2003, windows XP and connecting to MOSS.

Eu procurei as Internets e vin algunhas especulacións pero nada 100% definitive. Hence, este post.

O problema: Exportando unha vista a Excel que contén unha data (data = o tipo de datos da columna).

O que funcionou para nós: Convert the date to a "single line of text". Entón, convertelo-lo para unha data.

That solved it. It was nice to see that the conversion worked, na realidade. It was quite nervous that converting things this way would fail, but it did not.

Este erro foi lanzada unha sombra enorme sobre o tipo de datos data en mente do cliente, entón nós imos estar buscando unha resposta definitiva de Microsoft e espera que eu vou publicar e actualizar aquí o próximo período curto de tempo coa súa resposta oficial e Información do hotfix.

Outras referencias:

http://www.kevincornwell.com/blog/index.php/cannot-get-the-list-schema-column-property-from-the-sharepoint-list/

http://forums.microsoft.com/MSDN/ShowPost.aspx?PostID=2383611&SiteID=1

<final>

Rexístrate para o meu blog.

Technorati Tags: ,

Rápido e sinxelo: Mande unha mensaxe co link incorporado a partir de fluxo de traballo do SharePoint Design

Unha ou dúas veces por mes, alguén publicar unha pregunta foro: "How do I include hyperlinks to URL’s that are clickable from a SharePoint Designer email?"

Presentado sen comentario: (ben, Realmente non hai máis comentarios despois da imaxe):

imaxe

Becky Isserman segue-se con unha explicación útil sobre como inserir unha ligazón a un artigo do correo electrónico: http://www.sharepointblogs.com/mosslover/archive/2007/11/20/addition-to-paul-galvin-s-post-about-sending-an-e-mail-with-hyperlinks-in-spd.aspx

Nova versión: Fluxo de traballo do SharePoint Design Extensións (Funcións de manexo de cadeas)

Actualización: Aquí tes os meus pensamentos sobre a comercialización deste proxecto: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!569.entry

Eu estiven ocupado traballando no meu proxecto CodePlex, que está enfocada na subministración de extensións de manipulación de cadea para fluxos de traballo creados vía SharePoint Design.

Aquí tes información:

Proxecto de casa: http://www.codeplex.com/spdwfextensions

Solte: https://www.codeplex.com/Release/ProjectReleases.aspx?ProjectName=spdwfextensions&ReleaseId=8280

Versión 1.0 inclúe os seguintes novas características:

Función Descrición (se non mesmo. función Net)
Nun-entradas() Volta o número "entradas" in a string as per a specified delimiter.

Por exemplo: Num-entries in a string "a,b,c" with delimiter "," = 3.

Entrada() Returns the nth token in a string as per a specified delimiter.
Lonxitude String.length
Substituír() String.Replace()
Contén() String.Contains()
Returns the word "true" or the word "false".
Substring(comezar) String.substring(comezar)
Substring(comezar,lonxitude) String.substring(comezar,lonxitude)
ToUpper() String.toupper()
ToLower() String.ToLower()
StartsWith() String.StartsWith()
Returns the word "true" or the word "false".
EndsWith() String.EndsWith()
Returns the word "true" or the word "false".

Un erro de execución BDC explicou

Eu causou un erro BDC esta semana que se manifestou sobre a interface de usuario e no 12 colmea rexistro en tempo de execución.

Primeiro, este apareceu na interface de usuario:

Non se atopou campos para introducir todos os valores identificador para realizar correctamente unha MethodInstance SpecificFinder con nome … Asegúrese de parámetros de entrada teñen TypeDescriptors asociados con cada identificador definido para esta entidade.

Aquí está unha captura de pantalla:

clip_image001

Eu podería causar esta mensaxe sexa exhibida na 12 rexistro colmea a gusto (using my patented high-tech-don’t-try-this-at-home "mysterious errors" método):

11/14/2007 09:24:41.27 w3wp.exe (0x080C) 0x0B8C SharePoint Portal Server Business Data 6q4x High Exception in BusinessDataWebPart.OnPreRender: System.InvalidOperationException: O valor Identificador ”, de tipo ”, non é válido. Expected Identifier value of Type ‘System.String’. en Microsoft.Office.Server.ApplicationRegistry.MetadataModel.Entity.FindSpecific(Obxecto[] subIdentifierValues, LobSystemInstance LobSystemInstance) en Microsoft.SharePoint.Portal.WebControls.BdcClientUtil.FindEntity(Entidade entidade, Obxecto[] userValues, LobSystemInstance LobSystemInstance) en Microsoft.SharePoint.Portal.WebControls.BusinessDataItemBuilder.GetEntityInstance(Ver desiredView) en Microsoft.SharePoint.Portal.WebControls.BusinessDataDetailsWebPart.GetEntityInstance() en Microsoft.SharePoint.Portal.WebControls.BusinessDataDetailsWebPart.SetDataSourceProperties()

Procurei ao redor e atopar algunhas pistas no MSDN foro, but they weren’t enough for me to understand what I was doing wrong. I watched a webcast by Ted Pattison que a miña compañía ten squirreled afastado nun servidor e veu a entender o meu problema.

Na miña ADF, Estou me conectando a un banco de datos SQL como se mostra:

            <Propiedade Nome="RdbCommandText" Tipo="System.String">
              <![CDATA[
                Seleccione
                      , CARRIER_ID, EFFDT, DESCR, EFF_STATUS, TAXPAYER_ID, Network_id, FRT_FORWARD_FLG, ALT_NAME1, ALT_NAME2, LANGUAGE_CD,
                      PAÍS, Endereço1, Endereço2, Endereço3, ADDRESS4, CIDADE, NUM1, NUM2, HOUSE_TYPE, ADDR_FIELD1, ADDR_FIELD2, ADDR_FIELD3,
                      County, ESTADO, Postal, GEO_CODE, IN_CITY_LIMIT, Country_code, TELÉFONO, MEDIDA, FAX, LAST_EXP_CHK_DTTM, FREIGHT_VENDOR,
                      INTERLINK_DLL, TMS_EXCLUDE_FLG
                 (nolock)
                ONDE
                  (SetId <> 'Compartir') e
                  (descargar(CARRIER_ID) >= Menor(@ MinID)) e
                  (descargar(CARRIER_ID) <= Menor(@ MaxId)) e
                  (descargar(DESCR) COMO menor(@ InputDescr))
                ]]>
            </Propiedade>

Eu estaba sempre que o SQL dunha persoa dBA e estou dado a entender que é un especial view they created just for me. The unique key there is CARRIER_ID.

Aquí é a erro eu introducir:

      <Identificadores>
        <Identificar Nome="CARRIER_ID" TypeName="System.String" />
        <Identificar Nome="DESCR" TypeName="System.String" /> 
</Identificadores>

Nalgún lugar ao longo da liña, Eu conseguira confundir-me sobre o significado de <Identificadores> and added DESCR even though it’s not actually an identifier. I took DESCR out of the identifiers set and presto! Todo funcionou.

I hope this saves someone some grief 🙂

Technorati Tags: , , ,

Non pode bater Alcance do SharePoint

Durante os últimos dous días, I have participated in two meetings during which we presented the results of a SharePoint project. The CIO and his team joined the first meeting. That’s standard and not especially notable. The IT department is obviously involved in an enterprise rollout of any technology project. The second meeting expanded to include a V.P. de marketing, varios directores que representan HR, Loxística, Fabricación, Proxectos de Capital, Calidade, Adquisitivo, Desenvolvemento corporativo e outros departamentos (algúns dos cales nin sequera foron directamente implicados na fase actual). That’s a mighty wide audience.

Na miña vida anterior, I primarily worked on ERP and CRM projects. They both have a fairly wide solution domain but not as wide as SharePoint. To be fully realized, SharePoint projects legitimately and necessarily reach into every nook and cranny of an organization. How many other enterprise solutions have that kind of reach? Not many.

SharePoint clearly represents an enormous opportunity for those of us fortunate enough to be in this space. It provides a great technical opportunity (que é dalgún xeito ligado a súa cabeza aquí under "Technologies You Must Master"). But even better, SharePoint exposes us to an extensive and wide range of business processes through these engagements. How many CRM specialists work with the manufacturing side of the company? How many ERP consultants work with human resources on talent acquisition? SharePoint exceeds them both.

Como calquera cousa, non é perfecto, pero é un lugar maldito bo para ser.

Polo amor de [cubrir a súa persoa máis querida / ser superior], don’t change the ‘Title’ columna de sitio.

No SharePoint foros, someone occasionally asks about "changing the label of Title" or about "removing title from lists".

Bottom line: Non faga iso!

Desafortunadamente, a interfaz de usuario permite un cambio de sentido único de que etiqueta da columna, como se mostra:

imaxe

Title is a column associated with the "Item" tipo de contido. Moitos, moitos, moitos CT empregar esta columna e se cambiar isto aquí, it ripples out everywhere. There’s a good chance that you didn’t intend for that to happen. You were probably thinking to yourself, "I have a custom lookup list and ‘Title’ simplemente non ten sentido como un nome de columna, so I’m going to change it to ‘Status Code’ and add a description column." But if you follow through on that thought and rename ‘Title’ to ‘Status Code’, todos os títulos da lista (incluíndo bibliotecas de documentos) changes to "Status Code" e probablemente non tiña a intención para que isto ocorre.

O problema real é que se trata dun cambio de sentido único. The UI "knows" that "title" is a reserved word. Así, if you try and change "Status Code" back to "Title", vai evitar que e agora se retratado nun canto usando tinta que nunca seca 🙂

Entón o que pasa se xa cambiou? I haven’t seen the answer we all want, which is a simple and easy method to change the label back to ‘Title’. Right now, the best advice is to change it to something like "Doc/Item Title". That’s a generic enough label that may not be too jarring for your users.

Eu teño algunhas outras ideas que están na miña lista de cousas a facer cousas para a investigación:

  • Contacta Microsoft.
  • Fai algo co modelo de obxecto, quizais xunto cunha característica.
  • Descubrir o esquema da base de datos e actualizar manualmente SQL. (Ten que contactar coa Microsoft antes de facelo; el probabelmente vai anular o seu contrato de soporte).

Se alguén sabe como solucionar isto, por favor publicar un comentario.

Actualiza final da tarde, 11/15: Descubrín esta conexión que describe un método para crear un tipo de lista que non ten unha columna de título: http://www.venkat.org/index.php/2007/09/03/how-to-remove-title-column-from-a-custom-list/

BDC ADF eo seu amigo, CDATA

Teño notado algúns estraña e innecesaria man codificación de RdbCommandText en algúns exemplos (incluíndo a documentación MSDN).

I wanted to point out to newcomers to BDC that commands can be wrapped inside a CDATA tag in their "natural" form. Así, esta construción estraño:

<Propiedade Nome="RdbCommandText" Tipo="System.String">
Seleccione dbo.MCRS_SETTLEMENT.id, dbo.MCRS_SETTLEMENT.settlement de dbo.MCRS_SETTLEMENT
ONDE (ID &gt;= @MinId) E (ID &lt;= @ MaxId)
</Propiedade>

pode ser mellor representado desta forma:

<Propiedade Nome="RdbCommandText" Tipo="System.String">
<![CDATA[
Seleccione dbo.MCRS_SETTLEMENT.id, dbo.MCRS_SETTLEMENT.settlement de dbo.MCRS_SETTLEMENT
ONDE (ID >= @MinId) E (ID <= @ MaxId)
]]>
</Propiedade>

</final>

Exemplo BDC

Introdución á BDC

Exemplo Funcional: BDC ADF que se conecta á base de datos SQL ID de usuario e contrasinal incorporado

I needed to wire up MOSS to a SQL database via BDC. For testing/POC purposes, I wanted to embed the SQL account user id and password in the ADF. Starting with este modelo (http://msdn2.microsoft.com/en-us/library/ms564221.aspx), Creei un ADF que se conecta a unha instancia do servidor SQL particular e troncos cun determinado ID de usuario e contrasinal e mostra neste tramo:

  <LobSystemInstances>
    <LobSystemInstance Nome="ClaimsInstance">
      <Propiedades>
        <Propiedade Nome="AuthenticationMode" Tipo="System.String">PassThrough</Propiedade>
        <Propiedade Nome="DatabaseAccessProvider" Tipo="System.String">SqlServer</Propiedade>
        <Propiedade Nome="RdbConnection fonte de datos" Tipo="System.String">real do servidor  instancia real</Propiedade>
        <Propiedade Nome="RdbConnection Initial Catalog" Tipo="System.String">catálogo de inicio real</Propiedade>
        <Propiedade Nome="RdbConnection Seguridade Integrada" Tipo="System.String">SSPI</Propiedade>
        <Propiedade Nome="RdbConnection pooling" Tipo="System.String">teito</Propiedade>

        <!-- Estes son os valores de chave: -->
        <Propiedade Nome="RdbConnection ID do usuario" Tipo="System.String">unctual ID do usuario</Propiedade>
        <Propiedade Nome="RdbConnection contrasinal" Tipo="System.String">Contrasinal real</Propiedade>
        <Propiedade Nome="Trusted_Connection RdbConnection" Tipo="System.String">teito</Propiedade>

      </Propiedades>
    </LobSystemInstance>
  </LobSystemInstances>

Non é unha boa práctica, but it’s useful for a quick and simple configuration for testing. This was surprisingly difficult to figure out. I never found a functional example with search keywords:

  • ADF incorporado usuario e contrasinal
  • inserir ID de usuario e contrasinal no ADF
  • inserir ID de usuario e contrasinal no ADF BDC
  • SharePoint BDC cartilla
  • SharePoint incorporar ID de usuario e contrasinal no ADF

</final>

Rexístrate para o meu blog.