FRISSÍTÉS 12/18/07: Lásd Paul Liebrand cikk néhány technikai következmények, eltávolítására vagy módosítására az alapértelmezett csoport neve (látom a megjegyzést alább is).
– Áttekintés:
SharePoint biztonsági könnyű beállítani, és kezelését. Azonban, Ez bebizonyította, hogy nehéz, hogy tényleg csavarja a kezek körül néhány először rendszergazdáknak. Nem csak, hogy, Nekem van látott némely ügyintéző, a tökéletes megértés, hétfőn, hogy csak elveszett, a péntek, mert nem kell tennie minden olyan konfiguráció, a közbeeső időben jönni. (Bevallom, hogy miután ezt a problémát magam). Ez a blog bejegyzés remélhetőleg biztosít egy hasznos SharePoint biztonsági primer, és néhány biztonsági konfigurációs gyakorlati felé mutat.
Fontos Megjegyzés::
Ez a leírás alapján a dobozból SharePoint biztonsági. Az én személyes tapasztalatom ezen a környéken: MOSS orientált, így lehet, hogy néhány MOSS konkrét dolgot itt, de azt hiszem, ez a WSS pontos. Remélem, hogy bárki látta az előforduló hibákat vagy mulasztásokat akarat pont amit ki-hozzászólások vagy elektronikus levél én. Majd, hogy a javítások utáni sietség.
Alapjai:
Ez az Áttekintés céljából, vannak négy alapvető eleme a biztonsági: felhasználók/csoportok, biztonságossá tehető objektumok, jogosultsági szintek és öröklés.
Felhasználók és csoportok le a szünet:
- Egyéni felhasználók: Kihúzták aktív könyvtár vagy közvetlenül a SharePoint alkalmazásban létrehozott.
- Csoportok: A csatlakoztatott közvetlenül az active Directoryból vagy a létrehozott SharePoint. Csoportok olyan felhasználók gyűjteménye. Csoportok a globális webhelycsoportban. Ők soha nem "kötődnek" egy adott biztonságossá tehető objektumhoz.
Biztonságossá tehető objektumok alkalom, hogy legalább:
- Oldalak
- Dokumentumtárak
- Egyedi tételek listákhoz és dokumentumtárakhoz
- Mappák
- Különböző BDC-beállításoknak.
Vannak más biztonságossá tehető objektumok, de megkapod a képet.
A jogosultsági szintek: Egy köteg-ból szemcsés / alacsony szintű hozzáférési jogokat, amelyek magukban foglalják többek között a bejegyzéseket létrehozni/olvasási/törlési listák.
Öröklés: Szervezetek alapértelmezett biztonsági beállításait örökli a tartalmazó objektumot. Sub-oldalakon engedélyt örökli a szülő. Dokumentumtárak örökli a helyszínen. Így tovább és így tovább.
Felhasználók és csoportok kapcsolódnak a biztonságossá tehető objektumokhoz keresztül engedélyszintek és öröklés.
A legfontosabb biztonsági szabályok, megérteni, Valaha 🙂 :
- Csoportok olyan egyszerűen felhasználók gyűjteménye.
- Csoportokat egy webhelycsoporton belül globálisak (i.e. nincs ilyen dolog, mint egy csoport a webhely szinten meghatározott).
- Csoport neve ellenére sem, csoportok nem, ezen a helyen és a maguk, van bizonyos szintű biztonság.
- Csoportok rendelkeznek biztonsági környezetében egy adott biztonságossá tehető objektumhoz.
- Az azonos csoportba a minden objektumtól különböző jogosultsági szinteket rendelheti.
- Web alkalmazás-házirendek adu mindez (lásd alább).
Biztonsági rendszergazdák elvesztette a csoportok és felhasználók lista tenger mindig számíthatnak a ezek kezelése, és megérteni a biztonsági konfiguráció axiómái.
Közös buktatók:
- Csoport neve tévesen azt jelenti, hogy engedély: Kívül a doboz, SharePoint meghatározza a csoportokat, akiknek a neve azt jelenti, hogy egy benne rejlő biztonsági szint. Fontolja meg a csoport "Közreműködő". Egy ismeretlen SharePoint biztonsági jól nézni ezt a nevet, és vállalja, hogy a csoport bármely tagja "hozzájárulhat" minden oldal/lista/könyvtár a portál. Ez igaz lehet, de nem azért, mert a csoport neve előfordul, hogy "közreműködő". Csak ez igaz a dobozból, mert a csoport rendelkezik egy jogosultsági szintet, amely lehetővé teszi számukra, hogy a legfelső szintű webhely tartalom hozzáadása/szerkesztése/törlése. Öröklés útján, a "közreműködők" csoport is minden szub-webhely tartalom hozzáadása/szerkesztése/törlése. Egy "szünet" az öröklési lánc és a változás a szub-webhely olyan jogosultsági szintjét hogy tagjai az úgynevezett "közreműködői" csoport egyáltalán nem járul, de csak olvasni (például). Ez nem lenne jó ötlet, nyilvánvalóan, mivel nagyon zavaró lenne.
- Hozzárendelés nem webhely szintjén. Könnyen összetéveszthető a felhasználói felület. A Microsoft biztosít egy kényelmes link felhasználók vagy csoportok kezelése révén minden webhely "emberek és csoportok" Link. Könnyű azt hinni, hogy amikor én vagyok a telek "xyzzy" és létre egy csoport emberek xyzzy barátait és csoportok a linkre, hogy én csak teremtett egy csoport, ami csak azért létezik: xyzzy. Nem ez a helyzet. Valójában már létrehozott egy csoportot az egész webhelycsoportban.
- Csoportok tagságát nem térhet el az oldalon (i.e. ugyanaz mindenhol ott a csoport szolgál): Fontolja meg a csoport tulajdonosa"" és a két telek, "A HR" és "Logisztikai". Célszerű lenne azt gondolni, hogy két külön személy maga ezekről az oldalakról — egy HR-tulajdonos és a logisztikai tulajdonosa. A felhasználói felület megkönnyíti a biztonságot kezelő rendszergazdák ütögesse ebben az esetben a. Ha én nem tudom jobban, Én lehet, hogy belépés a HR oldalon keresztül a személyek és csoportok linkek, Válassza ki a "tulajdonosok" Csoport és én HR tulajdonos hozzáadása a csoporthoz. Egy hónappal később, Logisztikai jön, a vonal. Hozzáférés az emberek és csoportok a logisztikai webhelyről, húzza fel a "tulajdonosok hozzáadása" Csoport. Lásd a HR tulajdonosa ott, és vegye rá, arra gondolt, hogy vagyok eltávolítása neki tulajdonosok logisztikai helyén. valójában, Vagyok őt eltávolítása a globális tulajdonosok csoport. Követő, vidámság.
- Hibás név csoportoknak adott szerepkörön alapuló: A jóváhagyók"" csoport egy tökéletes példa. Mi is a tagjai a csoport jóváhagyása? Ahol ezek jóváhagyása? Én igazán akar emberek logisztikai osztály képesek HR bizonylatokat jóvá? Természetesen nem. Mindig nevet a szerepét a szervezeten belüli csoportok. Ez csökkenti a kockázatát a csoport van egy megfelelő jogosultsági szint a valamely biztonságos objektumhoz rendelt. Név csoportok tervezett szerepük alapján. A korábbi HR-logisztikai forgatókönyv, Kellett volna létrehozni két új csoportok: HR tulajdonosok"" és "logisztikai tulajdonosok" minden értelmes engedélyszintek és a minimális összeg azoknak a felhasználóknak, hogy ezt a munkát, és.
Egyéb hasznos hivatkozások:
- Web alkalmazás politika megvagy: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Elszámolóház a SharePoint biztonsági: http://www.sharepointsecurity.com/
- Joel Oleson linkek: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Ha Ön már tette ezt a messze:
Legyen szíves hadd tudja a gondolatait a hozzászólások keresztül vagy elektronikus levél én. Ha tudod, más jó referenciák, legyen szíves csinál ugyanaz!