अद्यतन 12/18/07: पॉल Liebrand लेख को हटाने या डिफ़ॉल्ट समूह नामों को संशोधित करने के कुछ तकनीकी परिणाम के लिए देखें (अपनी टिप्पणी के नीचे देखने के रूप में अच्छी तरह से).
अवलोकन:
SharePoint सुरक्षा को कॉन्फ़िगर और प्रबंधित करने के लिए आसान है. हालांकि, यह वास्तव में उनके हाथों यह आसपास लपेटो करने के लिए कुछ पहली बार व्यवस्थापकों के लिए मुश्किल हो सकता है साबित कर दी है. इतना ही नहीं, मैं कुछ प्रशासकों आते हैं क्योंकि वे किसी भी विन्यास समय के बीच में क्या करना है नहीं था केवल यह द्वारा शुक्रवार को खो दिया है करने के लिए सोमवार को एक सही समझ के लिए देखा है. (मैं अपने आप को इस समस्या होने के लिए स्वीकार करते हैं). इस ब्लॉग प्रविष्टि उम्मीद है एक उपयोगी SharePoint सुरक्षा प्राइमर प्रदान करता है और कुछ सुरक्षा कॉन्फ़िगरेशन सर्वोत्तम प्रथाओं की ओर इंगित करता है.
महत्वपूर्ण नोट:
इस वर्णन पर SharePoint सुरक्षा बॉक्स से बाहर आधारित है. हो सकता है इसलिए कुछ काई विशिष्ट चीज़ें यहाँ मेरे निजी अनुभव MOSS के चारों ओर उन्मुख है, लेकिन मेरा मानना है कि यह WSS के लिए सटीक है. मुझे आशा है कि किसी को भी किसी भी त्रुटि या चूक देखकर कि टिप्पणियों में बाहर बिंदु होगा कि या ईमेल मुझे. मैं जल्दबाजी के बाद सुधार कर दूँगा.
बुनियादी बातों:
इस अवलोकन के प्रयोजनों के लिए, सुरक्षा के लिए चार मूलभूत पहलू हैं: उपयोगकर्ता/समूहों, सुरक्षा योग्य ऑब्जेक्ट्स, अनुमति स्तर और वंशानुक्रम.
उपयोगकर्ता और समूह तोड़ने के लिए नीचे:
- अलग-अलग उपयोगकर्ता: से सक्रिय निर्देशिका या सीधे SharePoint में बनाए गए खींच लिया.
- कई समूह: सक्रिय निर्देशिका से सीधे मैप्ड या में बनाए गए SharePoint. उपयोगकर्ता का संग्रह समूहों रहे हैं. किसी साइट संग्रह में वैश्विक समूहों रहे हैं. वे कभी नहीं "से बंधा रहे हैं" किसी विशिष्ट सुरक्षा योग्य ऑब्जेक्ट के लिए.
सुरक्षा योग्य ऑब्जेक्ट्स कम से कम करने के लिए नीचे तोड़ना:
- साइटें
- दस्तावेज़ लायब्रेरीज़
- सूचियों और दस्तावेज़ पुस्तकालयों में अलग-अलग आइटम
- फ़ोल्डर्स
- विभिन्न BDC सेटिंग्स.
वहाँ अन्य सुरक्षा योग्य ऑब्जेक्ट्स, लेकिन तुम तस्वीर सामने आती है.
अनुमति स्तर: दानेदार का एक बंडल / कम स्तर तक पहुँच अधिकार है कि सूचियों में बनाएँ/पढ़ें/हटाएँ प्रविष्टियों के रूप में ऐसी बातें शामिल करें.
वंशानुक्रम: डिफ़ॉल्ट संस्थाओं द्वारा सुरक्षा सेटिंग्स उनके युक्त ऑब्जेक्ट से अनुवांशिक रूप से प्राप्त. उप साइटों की अनुमति उनके पैरेंट से इनहेरीट. दस्तावेज़ लाइब्रेरी उनकी साइट से इनहेरीट. पर और आगे इतना.
अनुमति स्तर और विरासत के जरिए सुरक्षा योग्य ऑब्जेक्ट्स को उपयोगकर्ता और समूह से संबंधित हैं.
सबसे महत्वपूर्ण सुरक्षा नियमों को समझने के लिए, कभी 🙂 :
- बस संग्रह उपयोगकर्ताओं के समूहों के हैं.
- किसी साइट संग्रह के भीतर वैश्विक समूहों रहे हैं (अर्थात. वहाँ एक साइट स्तर पर निर्धारित एक समूह के रूप में ऐसी कोई बात नहीं है).
- समूह का नाम नहीं बर्दाश्त कर, कई समूह नहीं करते, में और स्वयं का, सुरक्षा के किसी विशेष स्तर है.
- समूहों के पास किसी विशेष सुरक्षा योग्य ऑब्जेक्ट के संदर्भ में सुरक्षा.
- आप हर सुरक्षा योग्य ऑब्जेक्ट के लिए एक ही समूह के लिए भिन्न अनुमति स्तर असाइन कर सकते हैं.
- यह सब वेब अनुप्रयोग नीतियाँ तुरुप का (नीचे देखें).
सुरक्षा व्यवस्थापक समूह और उपयोगकर्ता लिस्टिंग के एक समुद्र में खो दिया हमेशा इन axioms का प्रबंधन और उनके सुरक्षा कॉन्फ़िगरेशन को समझने के लिए पर भरोसा कर सकते हैं.
आम नुकसान:
- समूह नामों की अनुमति झूठा समझा जाए: बॉक्स से बाहर, SharePoint सुरक्षा का एक अंतर्निहित स्तर जिनके नाम मतलब समूहों का एक सेट को परिभाषित करता है. समूह "योगदानकर्ता" पर विचार. एक SharePoint सुरक्षा के साथ अपरिचित अच्छी तरह से उस नाम को देखो और लगता है उस समूह का कोई सदस्य "में योगदान कर सकते हैं कि हो सकता" किसी भी साइट/सूची/पुस्तकालय करने के लिए पोर्टल. कि सच हो सकते हैं, लेकिन क्योंकि समूह का नाम "योगदानकर्ता" किया जा करने के लिए नहीं होता. यह केवल बॉक्स से बाहर सही है क्योंकि समूह उन्हें रूट साइट पर सामग्री जोड़ें/संपादित करें/हटाने के लिए सक्षम बनाता है एक अनुमति स्तर प्रदान की गई है. विरासत के माध्यम से, "योगदानकर्ताओं" समूह जोड़ें/संपादित करें/हटाने सामग्री हर उप-साइट पर भी हो सकती. एक तोड़ कर सकते हैं"" वंशानुक्रम चेन और परिवर्तन एक उप साइट इस तरह का अनुमति स्तर कि जनताको तथाकथित "योगदानकर्ता" समूह में सभी में योगदान नहीं कर सकते, लेकिन केवल पढ़ने के लिए (उदाहरण के लिए). यह एक अच्छा विचार नहीं होगा, जाहिर है, चूंकि यह बहुत ही भ्रामक होगा.
- कई समूह एक साइट स्तर पर निर्धारित नहीं कर रहे हैं. यह उपयोगकर्ता इंटरफ़ेस द्वारा भ्रमित किया जा करने के लिए आसान है. हर साइट "लोगों और समूहों के माध्यम से उपयोगकर्ता/समूह प्रबंधन के लिए एक सुविधाजनक लिंक Microsoft प्रदान करता है" लिंक. यह मानना है कि जब मैं साइट "xyzzy रहा हूँ करने के लिए आसान है" और मैं xyzzy के लोगों के माध्यम से एक समूह बनाएँ और कि मैं सिर्फ xyzzy पर ही मौजूद है एक समूह बना लिया समूहों के लिंक. कि मामला नहीं है. मैं वास्तव में पूरे साइट संग्रह के लिए एक समूह बनाया है.
- समूह सदस्यता द्वारा साइट भिन्नता नहीं है (अर्थात. यह एक ही समूह में उपयोग किया जाता है हर जगह है): "स्वामी समूह पर विचार" और दो साइटों, "मानव संसाधन" और "रसद". यह सामान्य करने के लिए लगता है कि दो अलग-अलग व्यक्तियों उन साइटों ही होता होगा — एक मानव संसाधन के मालिक और एक मालिक के रसद. उपयोगकर्ता इंटरफ़ेस बनाता है यह आसान के लिए इस परिदृश्य को बुरा व्यवहार करना एक सुरक्षा व्यवस्थापक. अगर मैं बेहतर नहीं पता था, मैं मानव संसाधन साइट के माध्यम से लोगों और समूहों के लिंक का उपयोग हो सकता है, "मालिकों का चयन करें" समूहीकृत और मेरी HR स्वामी उस समूह में जोड़ें. एक महीने बाद में, रसद लाइन पर आता है. मैं रसद साइट से लोगों और समूहों का उपयोग, "मालिकों ऊपर खींचो जोड़ें" समूह. मैं वहाँ मानव संसाधन के मालिक को देखने और उसे निकालें, मैं उसे रसद साइट मालिकों से निकाल रहा हूँ कि सोच. वास्तव में, मैं उसे वैश्विक मालिकों के समूह से निकाल रहा हूँ. आनंद ensues.
- विशिष्ट भूमिका पर आधारित नाम समूहों के लिए असफल: "अनुमोदक" समूह एक आदर्श उदाहरण है. क्या सदस्य इस समूह अनुमोदन के कर सकते हैं? जहां वे इसे अनुमोदन कर सकते हैं? मैं वास्तव में लोगों को रसद विभाग मानव संसाधन दस्तावेज़ों को अनुमोदित करने के लिए सक्षम होना करने के लिए चाहते हैं? बिल्कुल नहीं. हमेशा नाम संगठन के भीतर उनकी भूमिका पर आधारित समूहों. यह समूह किसी विशेष सुरक्षा योग्य ऑब्जेक्ट के लिए एक अनुचित अनुमति स्तर असाइन किया गया है के जोखिम को कम करेगा. अपने अभीष्ट भूमिका पर आधारित नाम समूहों. पिछला घंटा/रसद परिदृश्य में, मैं दो नए समूह बनाया है चाहिए: "HR मालिकों" और रसद मालिकों"" और समझदार की अनुमति स्तरों में से प्रत्येक के लिए और उनके काम करने के लिए उन उपयोगकर्ताओं के लिए आवश्यक न्यूनतम राशि आवंटित.
अन्य उपयोगी संदर्भ:
- वेब अनुप्रयोग नीति पकड़ लिया है: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- SharePoint सुरक्षा के लिए क्लीरिंगहाउस: http://www.sharepointsecurity.com/
- योएल Oleson से लिंक: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
यदि आप यह इस बना दिया है अब तक:
कृपया टिप्पणी के माध्यम से अपने विचारों को पता है या मुझे ईमेल मुझे. यदि आप अन्य अच्छा संदर्भ पता, कृपया ऐसा ही!