SharePoint Sigurnost Osnove Primer / Izbjegnite zamke zajedničkih

UPDATE 12/18/07: Vidi Paula Liebrand je članak za nekih tehničkih posljedica uklanjanja ili mijenjanja imena zadane grupe (vidjeti njegov komentar ispod, kao i).

Pregled:

SharePoint security is easy to configure and manage. Međutim, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Ja priznajem da imaju ovaj problem sam). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Važna napomena:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or elektronička pošta mene. I’ll make corrections post haste.

Osnove:

Za potrebe ovog pregleda, postoje četiri temeljna aspekta sigurnosti: Korisnici / grupe, securable objekti, razina dozvole i baština.

Korisnici i grupe razbiti se:

  • Individualni korisnici: Povukao iz aktivnog imenika ili stvorili izravno u SharePoint.
  • Grupe: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" na određenu securable objekta.

Securable objekti razbiti barem:

  • Stranice
  • Document knjižnice
  • Pojedinačne stavke popisa i biblioteke dokumenata
  • Mape
  • Različiti BDC postavke.

Postoje drugi objekti securable, ali ćete dobiti sliku.

Razine dozvola: Snop granule / low level access rights that include such things as create/read/delete entries in lists.

Baština: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Korisnici i grupe se odnose na securable objekata preko razina dozvole i nasljedstvo.

Najvažnijih sigurnosnih pravila razumjeti, Ever 🙂 :

  1. Grupe su jednostavno skupovi izabranih korisnika.
  2. Grupe su globalne unutar zbirke web-mjesta (i.e. ne postoji takva stvar kao grupa definiranih na razini web-mjesta).
  3. Naziv grupe ne izdržati, skupine ne, sami po sebi, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. Možete dodijeliti različite razine dozvole u istoj skupini za svaki objekt securable.
  6. Web aplikacija politike adut sve to (vidi dolje).

Sigurnosni administratori izgubljeni u moru i grupe korisnika oglasi se uvijek može osloniti na tim aksiomima za upravljanje i razumjeti njihovu sigurnosnu konfiguraciju.

Zajednički Zamke:

  • Skupina imena lažno podrazumijeva dozvolu: Out of the box, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" grupa ne može doprinijeti na sve, , ali samo čitati (na primjer). This would not be a good idea, očito, jer će biti vrlo zbunjujući.
  • Grupe nisu definirane na razini web-mjesta. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" link. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Grupe članstvo ne ovisi o web-mjestu (i.e. to je svugdje ista skupina koristi): Consider the group "Owner" i dva mjesta, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Ja mogu pristupiti ljudima i skupinama veze putem HR web-mjestu, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. Zapravo, I’m removing her from the global Owners group. Hilarity ensues.
  • Neuspjeh u ime skupine na temelju specifične uloge: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Trebao sam stvorio dvije nove skupine: "HR Owners" and "Logistics Owners" osjetljiv i dodijeliti razine dozvola za svaki i najmanji iznos potreban za one korisnike da rade svoj posao.

Ostali Korisni Reference:

Ako ste napravili je to daleko:

Please let me know your thoughts via the comments or email me. If you know other good references, molimo vas da učinite isto!

Technorati Tags:

Brzo i jednostavno: Stvaranje web-dio Prikaz podataka (DVWP)

Tu je bogatstvo velike informacije o WSS 3.0 Pregled podataka web-dio (DVWP) on the web from several sources. Međutim, I found it to be surprisingly difficult to find information on this first very basic step. Here is another article in the "quick and easy" Serija njegovom rješavanju.

Slijedite ove korake za stvaranje web pregleda podataka dio (DVWP). They are based on an "Announcements" Web-dio, ali primjenjivati ​​na većini popisa.

  1. Otvori dio najave stranica i dodajte ga na licu mjesta.
  2. Otvorite stranicu na SharePoint Designer.
  3. Otvorite web-Default.aspx.
  4. Select the Announcements web part and right-click.
  5. Iz kontekstnog izbornika, select "Convert to XSLT Data View".

SharePoint Designer vas obavještava da je ova stranica je sada prilagoditi na svom mjestu definiciji. To nije nužno loše, ali ima važne implikacije (performanse, poboljšati, drugi) which are beyond the scope of this little "Quick and Easy" ulazak. To get more information on this subject, Preporučujem obje knjige ovdje , kao i vaš omiljeni pretraživanje interneta.

Uvjerite se da ste to učinili ispravno:

  1. Zatvorite i ponovno otvorite web-preglednik (to avoid accidentally re-posting the original "add a new web part").
  2. Select the web part’s arrow drop-down and choose "Modify Shared Web Part" iz izbornika.
  3. Alat otvara se u desno.
  4. Ploča se promijenila od svojih uobičajenih zadanih opcija za to:
slika

“Ne mogu dobiti stupac nekretnine sheme popisa iz SharePoint popisa” — Opis / zaobilazna

Ovaj tjedan, napokon smo reproducirati problem koji je bio prijavljen od strane udaljenog korisnika: Kada je pokušao izvesti sadržaj popisa u Excel, stvari bi se činiti da počnu raditi, ali onda Excel će poskočiti pogrešku: "Cannot get the list schema column property from the SharePoint list". She was running office 2003, windows XP and connecting to MOSS.

Tražila sam internets i vidio neke špekulacije, ali ništa 100% definitive. Hence, ovaj post.

Problem: Izvoz pogled na Excel koji sadrži datum (datum = Tip podataka stupca).

Što je radio za nas: Convert the date to a "single line of text". Tada, pretvoriti ga natrag do datuma.

That solved it. It was nice to see that the conversion worked, actually. It was quite nervous that converting things this way would fail, but it did not.

Ovaj bug je bačen ogroman sjenu vrsti datumu podataka u klijenta uma, tako da ćemo biti tražeći definitivan odgovor od Microsofta i nadam se da ću postavljati i ažurirati ovdje u sljedećem kratkom vremenskom razdoblju s njihovom službenom odgovoru i popravcima informacija.

Ostale reference:

http://www.kevincornwell.com/blog/index.php/cannot-get-the-list-schema-column-property-from-the-sharepoint-list/

http://forums.microsoft.com/MSDN/ShowPost.aspx?PostID=2383611&SiteID=1

<kraj>

Pretplatite se na moj blog.

Technorati Tags: ,

Brzo i jednostavno: Pošaljite e-mail s ugrađenim hipervezu iz SharePoint Designer tijeka rada

Jednom ili dva puta mjesečno, netko postovi forum pitanje: "How do I include hyperlinks to URL’s that are clickable from a SharePoint Designer email?"

Predstavljen bez daljnjeg komentara: (dobro, zapravo ima dodatno komentirati po slici):

slika

Becky Isserman prati s korisnim objašnjenje o tome kako ugraditi link na stavku u poruku e-pošte: http://www.sharepointblogs.com/mosslover/archive/2007/11/20/addition-to-paul-galvin-s-post-about-sending-an-e-mail-with-hyperlinks-in-spd.aspx

Novo izdanje: SharePoint Designer tijeka Extensions (niz manipulacija funkcije)

UPDATE: Pogledajte ovdje za moje misli na komercijalizaciju ovog projekta: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!569.entry

Ja sam bio zauzet radi na mom Codeplex projekt koji je trenutno usredotočen na pružanje ekstenzije niz manipulacija u tijekove rada stvorio putem SharePoint Designer.

Vidi ovdje za detalje:

Projekt kuće: http://www.codeplex.com/spdwfextensions

Oslobodite: https://www.codeplex.com/Release/ProjectReleases.aspx?ProjectName=spdwfextensions&ReleaseId=8280

Verzija 1.0 uključuje sljedeće nove značajke:

Funkcija Opis (ako ne i isti kao. Neto funkciju)
Broj-unosi() Returns the number "entries" in a string as per a specified delimiter.

Na primjer: Num-entries in a string "a,b,c" with delimiter "," = 3.

Ulazak() Returns the nth token in a string as per a specified delimiter.
Dužina String.Length
Zamijeniti() String.Replace()
Sadrži() String.Contains()
Returns the word "true" or the word "false".
Podniz(početi) String.Substring(početi)
Podniz(početi,dužina) String.Substring(početi,dužina)
ToUpper() String.ToUpper()
ToLower() String.ToLower()
StartsWith() String.StartsWith()
Returns the word "true" or the word "false".
EndsWith() String.EndsWith()
Returns the word "true" or the word "false".

BDC runtime error objasnio

Ja izazvao BDC pogrešku ovog tjedna da se očituje o korisničkom sučelju i 12 Grozd log tijekom izvršavanja.

Prvi, to se pojavio u korisničkom sučelju:

Ne mogu pronaći stavke za umetanje sve identifikatora vrijednosti pravilno izvršiti SpecificFinder MethodInstance s Ime … Osigurajte ulazni parametri moraju TypeDescriptors povezane sa svakom Identifier definirane za ovog entiteta.

Ovdje je screen shot:

clip_image001

Ja se također može uzrokovati ovu poruku da se pojavi u 12 Grozd log po volji (using my patented high-tech-don’t-try-this-at-home "mysterious errors" način):

11/14/2007 09:24:41.27 w3wp.exe (0x080C) 0x0B8C SharePoint Portal Server Business Data 6q4x High Exception in BusinessDataWebPart.OnPreRender: System.InvalidOperationException: Identifier vrijednost ”, Tipa ”, je nevažeći. Expected Identifier value of Type ‘System.String’. na Microsoft.Office.Server.ApplicationRegistry.MetadataModel.Entity.FindSpecific(Objekt[] subIdentifierValues, LobSystemInstance lobSystemInstance) na Microsoft.SharePoint.Portal.WebControls.BdcClientUtil.FindEntity(Entitetska entitet, Objekt[] userValues, LobSystemInstance lobSystemInstance) na Microsoft.SharePoint.Portal.WebControls.BusinessDataItemBuilder.GetEntityInstance(Pogledajte desiredView) na Microsoft.SharePoint.Portal.WebControls.BusinessDataDetailsWebPart.GetEntityInstance() na Microsoft.SharePoint.Portal.WebControls.BusinessDataDetailsWebPart.SetDataSourceProperties()

Tražio sam okolo i naći neke ponude u MSDN forum, but they weren’t enough for me to understand what I was doing wrong. I watched a webcast by Ted Pattison da je moja društvo squirreled je daleko na poslužitelju i shvatio moj problem.

U mom ADF, Ja sam spajanje na SQL bazi podataka kao što je prikazano:

            <Svojstvo Ime="RdbCommandText" Tip="System.String">
              <![CDATA[
                SELECT
                      , CARRIER_ID, EFFDT, Descr, EFF_STATUS, TAXPAYER_ID, NETWORK_ID, FRT_FORWARD_FLG, ALT_NAME1, ALT_NAME2, LANGUAGE_CD,
                      DRŽAVA, Address1, Adresa2, ADDRESS3, ADDRESS4, GRAD, NUM1, Num2, HOUSE_TYPE, ADDR_FIELD1, ADDR_FIELD2, ADDR_FIELD3,
                      ŽUPANIJA, DRŽAVNA, POŠTANSKI, GEO_CODE, IN_CITY_LIMIT, COUNTRY_CODE, TELEFON, PROŠIRENJE, FAX, LAST_EXP_CHK_DTTM, FREIGHT_VENDOR,
                      INTERLINK_DLL, TMS_EXCLUDE_FLG
                 (nolock)
                GDJE
                  (SETID <> 'Dijele') i
                  (sniziti(CARRIER_ID) >= Niži(@ MinId)) i
                  (sniziti(CARRIER_ID) <= Niži(@ MaxId)) i
                  (sniziti(Descr) Kao što su niže(@ InputDescr))
                ]]>
            </Svojstvo>

Bio sam pod uvjetom da iz SQL DBA osobe, a ja sam dao razumjeti da je poseban view they created just for me. The unique key there is CARRIER_ID.

Ovdje je bug sam uveo:

      <Identifikatora>
        <Identifier Ime="CARRIER_ID" TypeName="System.String" />
        <Identifier Ime="Descr" TypeName="System.String" /> 
</Identifikatora>

Negdje duž linije, I uspjela sam se zbuniti oko značenja <Identifikatora> and added DESCR even though it’s not actually an identifier. I took DESCR out of the identifiers set and presto! Sve je radio.

I hope this saves someone some grief 🙂

Technorati Tags: , , ,

Vi ne možete pobijediti SharePoint dosega

Tijekom posljednja dva dana, I have participated in two meetings during which we presented the results of a SharePoint project. The CIO and his team joined the first meeting. That’s standard and not especially notable. The IT department is obviously involved in an enterprise rollout of any technology project. The second meeting expanded to include a V.P. od marketinga, nekoliko redatelji predstavljaju HR, Logistika, Proizvodnja, Kapitalni projekti, Kakvoća, Nabava, Korporativni razvoj i drugim odjelima (od kojih neki nisu ni bili izravno uključeni u sadašnjoj fazi). That’s a mighty wide audience.

U mom prethodnom životu, I primarily worked on ERP and CRM projects. They both have a fairly wide solution domain but not as wide as SharePoint. To be fully realized, SharePoint projects legitimately and necessarily reach into every nook and cranny of an organization. How many other enterprise solutions have that kind of reach? Not many.

SharePoint clearly represents an enormous opportunity for those of us fortunate enough to be in this space. It provides a great technical opportunity (koji je nekako izokrenulo ovdje under "Technologies You Must Master"). But even better, SharePoint exposes us to an extensive and wide range of business processes through these engagements. How many CRM specialists work with the manufacturing side of the company? How many ERP consultants work with human resources on talent acquisition? SharePoint exceeds them both.

Kao i sve, to nije savršen, ali to je vraški dobro mjesto da se.

Za ljubav [ispunite svoje najviše volio osobi / visokog se], don’t change the ‘Title’ stranica stupcu.

Na SharePoint forumi, someone occasionally asks about "changing the label of Title" or about "removing title from lists".

Bottom line: Nemojte to učiniti!

Nažalost, Korisničko sučelje omogućuje jednosmjernu promjenu tom oznakom stupca kao što je prikazano:

slika

Title is a column associated with the "Item" Vrsta sadržaja. Mnogi, mnogi, mnogi CT-a iskoristili ovu kolumnu, a ako ga promijeniti ovdje, it ripples out everywhere. There’s a good chance that you didn’t intend for that to happen. You were probably thinking to yourself, "I have a custom lookup list and ‘Title’ jednostavno nema smisla kao ime stupca, so I’m going to change it to ‘Status Code’ and add a description column." But if you follow through on that thought and rename ‘Title’ to ‘Status Code’, svakom popisu titula (uključujući biblioteke dokumenata) changes to "Status Code" i vjerojatno ne namjeravaju da se to dogodi.

Pravi problem je u tome što je to jednosmjerna promjena. The UI "knows" that "title" is a reserved word. Tako, if you try and change "Status Code" back to "Title", to će vas spriječiti i sada ste sebe naslikao u kutu using paint that never dries 🙂

Dakle, što će se dogoditi ako ga već promijenio? I haven’t seen the answer we all want, which is a simple and easy method to change the label back to ‘Title’. Right now, the best advice is to change it to something like "Doc/Item Title". That’s a generic enough label that may not be too jarring for your users.

Imam neke druge ideje koje su na mom to-do popisa stvari u istraživanja:

  • Kontakt Microsoft.
  • Učinite nešto s objekta modela, možda u kombinaciji sa značajkom.
  • Shvatiti shemu baze podataka i ručno ažurirati SQL. (Trebali bi kontaktirati Microsoft prije nego događaj ovaj, iako; to će vjerojatno poništiti ugovor za podršku).

Ako netko zna kako riješiti ovaj, molimo upisali komentar.

Ažuriranje kasno poslijepodne, 11/15: Našao sam ovaj link koji opisuje metodu za stvaranje vrstu popisa koji nema naslov stupca: http://www.venkat.org/index.php/2007/09/03/how-to-remove-title-column-from-a-custom-list/

BDC ADF i tvoj prijatelj, CDATA

Primijetio sam neke neugodne i nepotrebne ruku kodiranje RdbCommandText u nekim primjerima (uključujući i dokumentaciju MSDN).

I wanted to point out to newcomers to BDC that commands can be wrapped inside a CDATA tag in their "natural" form. Tako, to nezgodna izgradnju:

<Svojstvo Ime="RdbCommandText" Tip="System.String">
SELECT dbo.MCRS_SETTLEMENT.id, dbo.MCRS_SETTLEMENT.settlement od dbo.MCRS_SETTLEMENT
GDJE (id &gt;= @MinId) I (id &Bilo;= @ MaxId)
</Svojstvo>

može biti bolje zastupljeni na ovaj način:

<Svojstvo Ime="RdbCommandText" Tip="System.String">
<![CDATA[
SELECT dbo.MCRS_SETTLEMENT.id, dbo.MCRS_SETTLEMENT.settlement od dbo.MCRS_SETTLEMENT
GDJE (id >= @MinId) I (id <= @ MaxId)
]]>
</Svojstvo>

</kraj>

Primjer BDC

Uvod u BDC

Funkcionalna Primjer: BDC ADF koji se spaja na SQL bazu podataka s ugrađenim korisničko ime i lozinku

I needed to wire up MOSS to a SQL database via BDC. For testing/POC purposes, I wanted to embed the SQL account user id and password in the ADF. Starting with Ovaj predložak (http://msdn2.microsoft.com/en-us/library/ms564221.aspx), I stvorio ADF-a koji se povezuje s određenom SQL poslužiteljem i prijavljuje sa specifičnim korisničko ime i lozinku i prikazano u ovom isječku:

  <LobSystemInstances>
    <LobSystemInstance Ime="ClaimsInstance">
      <Svojstva>
        <Svojstvo Ime="AuthenticationMode" Tip="System.String">Prolaz</Svojstvo>
        <Svojstvo Ime="DatabaseAccessProvider" Tip="System.String">SQLServer</Svojstvo>
        <Svojstvo Ime="RdbConnection Izvor podataka" Tip="System.String">Stvarni poslužitelj  stvarna instanca</Svojstvo>
        <Svojstvo Ime="RdbConnection Početni Katalog" Tip="System.String">stvarna početna kataloga</Svojstvo>
        <Svojstvo Ime="RdbConnection Integrirana sigurnost" Tip="System.String">SspI</Svojstvo>
        <Svojstvo Ime="RdbConnection Ujedinjavanje" Tip="System.String">lažan</Svojstvo>

        <!-- To su ključne vrijednosti: -->
        <Svojstvo Ime="RdbConnection ID korisnika" Tip="System.String">actual ID korisnika</Svojstvo>
        <Svojstvo Ime="Lozinka RdbConnection" Tip="System.String">Stvarni Lozinka</Svojstvo>
        <Svojstvo Ime="RdbConnection Trusted_Connection" Tip="System.String">lažan</Svojstvo>

      </Svojstva>
    </LobSystemInstance>
  </LobSystemInstances>

To nije dobra praksa, but it’s useful for a quick and simple configuration for testing. This was surprisingly difficult to figure out. I never found a functional example with search keywords:

  • ADF ugrađen userid i lozinku
  • položiti korisničko ime i lozinku u ADF
  • položiti korisničko ime i lozinku u ADF BDC
  • SharePoint BDC primer
  • SharePoint položiti korisnički ID i lozinku u ADF

</kraj>

Pretplatite se na moj blog.