FRISSÍTÉS 11/03/08: Feltétlenül olvassa el a kiváló és részletes magyarázat Dessie Lunsford erre a post.

Már dolgozik a titkos tech egy megjelöl-jövő könyv szerkesztési projekten, és hivatkozik erre a blog bejegyzést Tyler Butler által az MSDN ECM-blog. Ez az első alkalommal személyesen olvastam a jelentését a korlátozott hozzáférés egyértelmű meghatározása. Itt van a hús, meghatározás:

A SharePoint, a névtelen felhasználók’ jogok határozzák meg a korlátozott hozzáférés jogosultsági szint. Korlátozott hozzáférés egy különleges engedélyszintet, amelyet nem lehet hozzárendelni a felhasználó vagy csoport közvetlenül. Létezik, mert ha egy könyvtár vagy az alwebhely, törött engedélyek öröklődése, és a felhasználó/csoport hozzáférést csak adott könyvtár/alwebhely számára, annak érdekében, hogy a tartalmának megtekintéséhez, a felhasználócsoport néhány gyökér webes hozzáféréssel kell rendelkeznie. Egyébként a felhasználócsoport lesz képtelen-hoz legel a könyvtár/alwebhely, annak ellenére, hogy joguk van ott, mivel a legfelső szintű webhelyen lévő dolgokat, a webhely vagy a tár leképezéséhez szükséges. Ezért, Amikor vagy ad egy csoport engedélyek csak egy alwebhely vagy egy könyvtár, hogy megtörjük engedélyek öröklődése, SharePoint automatikusan korlátozott hozzáférést biztosít a csoport vagy a felhasználó a gyökérwebhelyen.

Ez a kérdés jön megjelöl most és akkor a MSDN fórumokon, és én mindig is kíváncsi (de nem kíváncsi elég-hoz elképzel ez ki előtt ma :)).

</vége>

Subscribe to my blog.

Kövesse nekem Twitter http://www.twitter.com/pagalvin

A jele, hogy szociális számítástechnikai kezd felszállni a SharePoint, Látom, hogy a megnövekedett számú hely típusú kérdések. Egy gyakori kérdés megy valami ilyesmi:

"Én vagyok a rendszergazda, és kell, hogy legyen képes-hoz belépés minden az én-m telek. Hogyan csinál én csinál amit?"

A trükk itt az, hogy minden az én-m telek saját webhelycsoport. SharePoint biztonsági általában beadni a webhelycsoport szintjén, és ez kifog sok egy SharePoint-rendszergazda. Általában, ő már férhet hozzá a "fő biztonság konfigurálása" Webhelycsoportok és esetleg nem veszi észre, hogy ez automatikusan nem működik az én-m telek.

Webhelycsoportok együttesen él benne egy nagyobb tartályba, melyik a webes alkalmazás. Farm adminok tud biztonsági konfigurálhatja a web app szinten, és ez hogyan adminok magukat hozzáférést biztosíthat a webhelycsoport a webalkalmazás. Ez a blog bejegyzés leírja egy pókháló alkalmazás-házirendek személyes tapasztalataim. Egy webes alkalmazás-házirend határozza baleset: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web alkalmazás-házirendek veszélyes lehet, és azt javaslom, hogy kell használni takarékosan. Ha egy admin (és hála az égnek nem vagyok), Én hozna létre egy külön AD számlát nevezett valami, mint a "SharePoint Web App ügyintéző" és add, hogy egy számla a webes alkalmazás biztonsági szerepkör szükséges. Nem kíván konfigurálja ezt a fajta dolog a rendszeres mezőgazdasági admin vagy egyéni webhely gyűjtemény adminok. Ez általában elrejteni a lehetséges problémákat, mert a web app szerepe felülírja minden alacsonyabb szintű biztonsági beállítások.

</vége>

Subscribe to my blog.

Kövesse nekem Twitter http://www.twitter.com/pagalvin

FRISSÍTÉS (02/29/08): Ezt az új codeplex projekt úgy tűnik, hogy egy módszer részére Fejsze alakú egyéni oszlopok: http://www.codeplex.com/SPListDisplaySetting. Ha bármilyen tapasztalata vele, Kérem, hagyjon egy megjegyzést.

Fórum plakátok gyakran kérdez egy kérdés, mint ez: "Van egy igazgató kilátás és és alkalmazottak listáját. Hogyan biztosít az igazgató kilátás, úgy, hogy a személyzet nem tudja használni?"

Ők is gyakran kérdezni kapcsolódó: "Azt akarom, hogy biztosít egy egyedi metaadat-oszlop, azért csak a vezetők módosíthatja az oszlop, míg mások még nem lehet látni."

Ezek a válaszok vonatkozik mindkét WSS 3.0 és moha:

• SharePoint nem a out-of-the-box támogatást nyújt kilátást biztosító.
• SharePoint nem out-of-the-box támogatást nyújt a biztonsági oszlopok.

Vannak több technika egyik tudod követni, hogy megfelelnek az ilyen típusú biztonsági követelmények. Itt van, amit én is gondolok:

• Használja az out-of-the-box elem szintű biztonság. Véleményét mindig tiszteletére elem szintű biztonsági beállítások. Az eseményfogadók és/vagy munkafolyamat automatizálhatja a biztonsági hozzárendelés.
• "Kiváltságos személyes nézetek használata" megtekintés. Ezek a könnyen beállítható. Azonban, mivel a "személyes" természet, ezeket ki kell konfigurálni kell az egyes felhasználók. Szabványos biztonsági beállításai segítségével akadályozza meg bárki más személyes nézet létrehozása.
• Használ egy adatnézet kijelző, és végre valamilyen AJAXy biztonsági tisztítás megoldás.
• Roll a saját lista funkciók és bele az oszlop szintű biztonsági tisztítás.
• Módosítsa az adatbeviteli űrlapokon, és a JavaScript együtt a biztonsági modell oszlop-szint biztonság tisztítás végrehajtása.
• Használ egy InfoPath-űrlap adatbeviteli. Via webszolgáltatási hívások SharePoint és feltételes elrejtése mezőket szükség szerint oszlop-szint biztonság tisztítás végrehajtása.
• Roll saját ASP.NET adatok bejegyzés funkció, amely megvalósítja oszlop szintű biztonsági tisztítás.

Egyik sem-ból ezek a lehetőségek tényleg olyan nagy, de van legalább egy utat követni, ha kell, még akkor is, ha nehéz.

MEGJEGYZÉS:: Ha Ön megy-legyőz akármi-ból ezek görbék, Ne felejtsd el "műveletek-> Nyit-val Windows Felfedező". Ön akar lenni abban, hogy tesztelje, hogy a funkció, hogy megbizonyosodjon arról, hogy ez nem működik, mint egy "hátsó ajtó" és győzd le a biztonsági rendszer.

Ha más ötletek vagy tapasztalatok biztosítása oszlopok vagy views, kérlek elektronikus levél én vagy hagyjuk egy megjegyzést, és én majd frissíti a megfelelő könyvelési.

</vége>

Subscribe to my blog.

FRISSÍTÉS: Kifüggesztett ezt a kérdést MSDN itt (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) és Michael Washam a Microsoft válaszolt egy tömör választ.

Én teremtett egy pókháló szolgáltatás-hoz viselkedni vhogy egy BDC-barát homlokzat SharePoint-listába. Mikor én használt ez az én-m fejlődés környezet, Ez munkás finom. Amikor áttelepített, ez egy új szerver, Azután kapta a hibaüzenetet:

Itt van a vonal 69:

használatával (Webhely SPSite = új SPSite("http://localhost/sandbox"))

Próbáltam különböző változatai az URL-t, beleértve a kiszolgáló valódi név használatával, az IP-cím, az URL-t a sorvégi vágás, stb. Mindig van, hogy a hiba.

Én használt A Google a kutatás azt. Sok ember szembenéz ez probléma, vagy változatok, de senki sem úgy tűnt, hogy megoldódott.

Takaros MOSS nyújtott ilyen részletes hiba, hogy ez nem fordul elő velem, hogy ellenőrizze a 12 kaptár-naplók. Végül, körülbelül 24 óra után az én-m kolléga erre ajánlott, Megnéztem ki a 12 Méhkas Napló, és ezt találtam:

Kivétel történt, miközben megpróbálja megszerezni a helyi farmban:
System.Security.SecurityException: Rendszerleíró adatbázis kért hozzáférése nem engedélyezett.
a System.ThrowHelper.ThrowSecurityException(ExceptionResource-erőforrás) a Microsoft.Win32.RegistryKey.OpenSubKey(Húr neve, Logikai írható) a Microsoft.Win32.RegistryKey.OpenSubKey(Húr neve) a Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() a Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() a Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& Farm, Logikai& isJoined)
A sikertelen kódösszeállítás zónája volt:  Sajátgép

Ez megnyitotta az új kutatási irányvonalat, így volt hát-hoz-a Google. Ez vezetett engem erre hozzászólásra: http://forums.codecharge.com/Posts.php?post_id = 67135. Ez nem igazán segített nekem, de ez tett elkezd gyártás én gondol volt egy adatbázis és/vagy biztonsági kérdés. Én ebből és Andrew Connell Végül kiváltott tegye a gondolat, hogy én kell győződjön meg arról, hogy az Alkalmazáskészlet identitása fiók volt a megfelelő adatbázis-hozzáférés. Azt gondoltam, hogy már. Azonban, az én-m kolléga ment, és adott a app készlet identitás rendszerfióknak teljes körű hozzáférési SQL.

Ahogy ő tette, hogy a változás, mindent kezdett el dolgozni.

Mi történt a következő legjobb fejezzük ki egy Haiku vers:

Problémák emelés-uk kezek.
Swing és miss. próbáld újra.
A siker! De hogyan? miért?

Nem akarta, hogy hagyjuk egyedül ilyesmi, inkább, hogy a minimális szükséges engedéllyel (és valószínűleg felelősség írás egy blog bejegyzést; Üt neki, hogy az ütést, muhahahahaha!).

Egymást követő engedélyek eltávolították a számlából app medence identitás-ig … nem volt többé semmilyen kifejezett engedélye fiók app készlet minden. A webszolgáltatás tovább folytatta a munkát csak finom.

Mentünk, és újraindul a szerver. Mindent továbbra is jól működik.

Így, -hoz újra bedugni: adott a app készlet identitás teljes hozzáférést, és majd elvették. A webszolgáltatás kezdett dolgozni, és soha nem működik. Bizarr.

Ha valaki tudja, miért kell hogy dolgozott, Kérem, hagyjon egy megjegyzést.

</vége>

Kellett, hogy megfeleljen az InfoPath-űrlapok biztonsági követelmény ma. Ebben a helyzetben üzleti, viszonylag kevés számú egyed hozhatnak létre új InfoPath-űrlap és egy sokkal szélesebb közönség van engedélyezett-hoz sajtó alá helyez ez. (Ez az új bérlet a bentlakásos formában emberi erőforrások által használt amit indított munkafolyamat).

E célkitűzés teljesítéséhez, Én létre a létrehozott két új jogosultsági szintek ("létrehozása és frissítése" és az "update csak"), öröklési űrlaptárhoz tört, és engedélyeket, hogy a "létrehozása, frissítés" felhasználói és külön "frissítés csak" felhasználó. A mechanika minden munkás, kiderült, hogy egy kicsit többet érintő, mint amire számítottam, de. (Ha úgy érzi, egy kicsit reszketeg, a SharePoint-jogosultságok, Nézze meg ezt a blogbejegyzést). A szükséges biztonsági konfigurációját a jogosultsági szint nem volt nyilvánvaló halmaza szemcsés jogosultságok. A frissítés csak vonatkozó engedélyszintet egy InfoPath-űrlap létrehozása, Én tett a következő:

1. Hozzon létre egy új jogosultsági szint.
2. Eltakarítani minden választások.
3. Csak a következő "Listaengedélyek" kiválasztott:

• Elemek szerkesztése
• Elemek megtekintése
• Alkalmazáslapok megtekintése

A fenti lehetőségek kiválasztása lehetővé teszi a felhasználóknak a bejelentőlap, de nem hozza létre.

A trükk az volt, hogy engedélyezi a "alkalmazáslapok megtekintése". Nincs olyan igei a jogosultsági szintet, amely azt jelzi, ami szükséges a frissítés csak az InfoPath-űrlapok, de kiderült, hogy az.

Még furcsább volt, létrehozása és frissítése. Ugyanazokat a lépéseket követtem., 1 keresztül 3 a fenti. Kellett kifejezetten hozzá egy webhely engedély"" a beállítás: "Ügyfél-integrációs szolgáltatások használata". Újra, , hogy a Leírás ott nem úgy tűnik, mintha meg kellett szükséges egy InfoPath-űrlap, de ott van.

</vége>

FRISSÍTÉS 01/28/08: A codeplex projekt foglalkozik a probléma: http://www.codeplex.com/AccessChecker. Még nem használtam, de úgy néz ki, ígéretes, ha ez egy olyan kérdés, kell címét a környezetben.

FRISSÍTÉS 11/13/08: Joel Oleson írt egy nagyon jó post a nagyobb biztonsági irányítási problémát itt: http://www.sharepointjoel.com/Lists/Posts/Post.aspx?Lista = 0cd1a63d % 2D183c % 2D4fc2 % 2 D 8320 % 2Dba5369008acb&ID = 113. A linkek néhány más hasznos források.

Fórum felhasználók és az ügyfelek gyakran kérdez egy kérdés, ezek a vonalak mentén: "Hogyan csinál én létrehoz egy listát a webhelyhez hozzáférő valamennyi felhasználó számára" vagy "hogyan tud én automatikusan éber minden felhasználó hozzáférhet a listán végzett módosítások listája?"

Nincs ki a box megoldás, ez van. Ha jól meggondoljuk, egy pillanatra, -a ' nem kemény-hoz ért miért.

SharePoint biztonsági igazi hajlékony. Legalább négy fő kategória a felhasználók:

• Névtelen felhasználók.
• SharePoint-felhasználók és csoportok.
• Active Directory-felhasználók.
• Űrlap alapú hitelesítés (FBA) a felhasználók.

A rugalmasság azt jelenti, hogy a biztonsági szempontból, egy adott SharePoint oldalon lesz drámaian eltérő, másik. Annak érdekében, hogy az access lista-jelentés létrehozása, kell, hogy meggyőződjenek arról, hogy a webhely biztonságos, a lekérdezés több különböző felhasználói profil adattárakban és majd úgy egy hasznos divat. Ez egy nehéz probléma megoldására általánosságban.

Hogyan foglalkoznak ezzel a szervezetek? Szeretném hallani rólad a hozzászólások, vagy e-mailben.

</vége>

FRISSÍTÉS 12/18/07: Lásd Paul Liebrand cikk néhány technikai következmények, eltávolítására vagy módosítására az alapértelmezett csoport neve (látom a megjegyzést alább is).

– Áttekintés:

SharePoint biztonsági könnyű beállítani, és kezelését. Azonban, Ez bebizonyította, hogy nehéz, hogy tényleg csavarja a kezek körül néhány először rendszergazdáknak. Nem csak, hogy, Nekem van látott némely ügyintéző, a tökéletes megértés, hétfőn, hogy csak elveszett, a péntek, mert nem kell tennie minden olyan konfiguráció, a közbeeső időben jönni. (Bevallom, hogy miután ezt a problémát magam). Ez a blog bejegyzés remélhetőleg biztosít egy hasznos SharePoint biztonsági primer, és néhány biztonsági konfigurációs gyakorlati felé mutat.

Fontos Megjegyzés::

Ez a leírás alapján a dobozból SharePoint biztonsági. Az én személyes tapasztalatom ezen a környéken: MOSS orientált, így lehet, hogy néhány MOSS konkrét dolgot itt, de azt hiszem, ez a WSS pontos. Remélem, hogy bárki látta az előforduló hibákat vagy mulasztásokat akarat pont amit ki-hozzászólások vagy elektronikus levél én. Majd, hogy a javítások utáni sietség.

Alapjai:

Ez az Áttekintés céljából, vannak négy alapvető eleme a biztonsági: felhasználók/csoportok, biztonságossá tehető objektumok, jogosultsági szintek és öröklés.

Felhasználók és csoportok le a szünet:

• Egyéni felhasználók: Kihúzták aktív könyvtár vagy közvetlenül a SharePoint alkalmazásban létrehozott.
• Csoportok: A csatlakoztatott közvetlenül az active Directoryból vagy a létrehozott SharePoint. Csoportok olyan felhasználók gyűjteménye. Csoportok a globális webhelycsoportban. Ők soha nem "kötődnek" egy adott biztonságossá tehető objektumhoz.

Biztonságossá tehető objektumok alkalom, hogy legalább:

• Oldalak
• Dokumentumtárak
• Egyedi tételek listákhoz és dokumentumtárakhoz
• Mappák
• Különböző BDC-beállításoknak.

Vannak más biztonságossá tehető objektumok, de megkapod a képet.

A jogosultsági szintek: Egy köteg-ból szemcsés / alacsony szintű hozzáférési jogokat, amelyek magukban foglalják többek között a bejegyzéseket létrehozni/olvasási/törlési listák.

Öröklés: Szervezetek alapértelmezett biztonsági beállításait örökli a tartalmazó objektumot. Sub-oldalakon engedélyt örökli a szülő. Dokumentumtárak örökli a helyszínen. Így tovább és így tovább.

Felhasználók és csoportok kapcsolódnak a biztonságossá tehető objektumokhoz keresztül engedélyszintek és öröklés.

A legfontosabb biztonsági szabályok, megérteni, Valaha 🙂 :

1. Csoportok olyan egyszerűen felhasználók gyűjteménye.
2. Csoportokat egy webhelycsoporton belül globálisak (i.e. nincs ilyen dolog, mint egy csoport a webhely szinten meghatározott).
3. Csoport neve ellenére sem, csoportok nem, ezen a helyen és a maguk, van bizonyos szintű biztonság.
4. Csoportok rendelkeznek biztonsági környezetében egy adott biztonságossá tehető objektumhoz.
5. Az azonos csoportba a minden objektumtól különböző jogosultsági szinteket rendelheti.
6. Web alkalmazás-házirendek adu mindez (lásd alább).

Biztonsági rendszergazdák elvesztette a csoportok és felhasználók lista tenger mindig számíthatnak a ezek kezelése, és megérteni a biztonsági konfiguráció axiómái.

Közös buktatók:

• Csoport neve tévesen azt jelenti, hogy engedély: Kívül a doboz, SharePoint meghatározza a csoportokat, akiknek a neve azt jelenti, hogy egy benne rejlő biztonsági szint. Fontolja meg a csoport "Közreműködő". Egy ismeretlen SharePoint biztonsági jól nézni ezt a nevet, és vállalja, hogy a csoport bármely tagja "hozzájárulhat" minden oldal/lista/könyvtár a portál. Ez igaz lehet, de nem azért, mert a csoport neve előfordul, hogy "közreműködő". Csak ez igaz a dobozból, mert a csoport rendelkezik egy jogosultsági szintet, amely lehetővé teszi számukra, hogy a legfelső szintű webhely tartalom hozzáadása/szerkesztése/törlése. Öröklés útján, a "közreműködők" csoport is minden szub-webhely tartalom hozzáadása/szerkesztése/törlése. Egy "szünet" az öröklési lánc és a változás a szub-webhely olyan jogosultsági szintjét hogy tagjai az úgynevezett "közreműködői" csoport egyáltalán nem járul, de csak olvasni (például). Ez nem lenne jó ötlet, nyilvánvalóan, mivel nagyon zavaró lenne.
• Hozzárendelés nem webhely szintjén. Könnyen összetéveszthető a felhasználói felület. A Microsoft biztosít egy kényelmes link felhasználók vagy csoportok kezelése révén minden webhely "emberek és csoportok" Link. Könnyű azt hinni, hogy amikor én vagyok a telek "xyzzy" és létre egy csoport emberek xyzzy barátait és csoportok a linkre, hogy én csak teremtett egy csoport, ami csak azért létezik: xyzzy. Nem ez a helyzet. Valójában már létrehozott egy csoportot az egész webhelycsoportban.
• Csoportok tagságát nem térhet el az oldalon (i.e. ugyanaz mindenhol ott a csoport szolgál): Fontolja meg a csoport tulajdonosa"" és a két telek, "A HR" és "Logisztikai". Célszerű lenne azt gondolni, hogy két külön személy maga ezekről az oldalakról — egy HR-tulajdonos és a logisztikai tulajdonosa. A felhasználói felület megkönnyíti a biztonságot kezelő rendszergazdák ütögesse ebben az esetben a. Ha én nem tudom jobban, Én lehet, hogy belépés a HR oldalon keresztül a személyek és csoportok linkek, Válassza ki a "tulajdonosok" Csoport és én HR tulajdonos hozzáadása a csoporthoz. Egy hónappal később, Logisztikai jön, a vonal. Hozzáférés az emberek és csoportok a logisztikai webhelyről, húzza fel a "tulajdonosok hozzáadása" Csoport. Lásd a HR tulajdonosa ott, és vegye rá, arra gondolt, hogy vagyok eltávolítása neki tulajdonosok logisztikai helyén. valójában, Vagyok őt eltávolítása a globális tulajdonosok csoport. Követő, vidámság.
• Hibás név csoportoknak adott szerepkörön alapuló: A jóváhagyók"" csoport egy tökéletes példa. Mi is a tagjai a csoport jóváhagyása? Ahol ezek jóváhagyása? Én igazán akar emberek logisztikai osztály képesek HR bizonylatokat jóvá? Természetesen nem. Mindig nevet a szerepét a szervezeten belüli csoportok. Ez csökkenti a kockázatát a csoport van egy megfelelő jogosultsági szint a valamely biztonságos objektumhoz rendelt. Név csoportok tervezett szerepük alapján. A korábbi HR-logisztikai forgatókönyv, Kellett volna létrehozni két új csoportok: HR tulajdonosok"" és "logisztikai tulajdonosok" minden értelmes engedélyszintek és a minimális összeg azoknak a felhasználóknak, hogy ezt a munkát, és.

Egyéb hasznos hivatkozások:

• Web alkalmazás politika megvagy: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Elszámolóház a SharePoint biztonsági: http://www.sharepointsecurity.com/
• Joel Oleson linkek: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Ha Ön már tette ezt a messze:

Legyen szíves hadd tudja a gondolatait a hozzászólások keresztül vagy elektronikus levél én. Ha tudod, más jó referenciák, legyen szíves csinál ugyanaz!