SharePoint biztonsági alapjainak Primer / Elkerüljék a buktatókat, közös

FRISSÍTÉS 12/18/07: Lásd Paul Liebrand cikk néhány technikai következmények, eltávolítására vagy módosítására az alapértelmezett csoport neve (látom a megjegyzést alább is).

– Áttekintés:

SharePoint biztonsági könnyű beállítani, és kezelését. Azonban, Ez bebizonyította, hogy nehéz, hogy tényleg csavarja a kezek körül néhány először rendszergazdáknak. Nem csak, hogy, Nekem van látott némely ügyintéző, a tökéletes megértés, hétfőn, hogy csak elveszett, a péntek, mert nem kell tennie minden olyan konfiguráció, a közbeeső időben jönni. (Bevallom, hogy miután ezt a problémát magam). Ez a blog bejegyzés remélhetőleg biztosít egy hasznos SharePoint biztonsági primer, és néhány biztonsági konfigurációs gyakorlati felé mutat.

Fontos Megjegyzés::

Ez a leírás alapján a dobozból SharePoint biztonsági. Az én személyes tapasztalatom ezen a környéken: MOSS orientált, így lehet, hogy néhány MOSS konkrét dolgot itt, de azt hiszem, ez a WSS pontos. Remélem, hogy bárki látta az előforduló hibákat vagy mulasztásokat akarat pont amit ki-hozzászólások vagy elektronikus levél én. Majd, hogy a javítások utáni sietség.

Alapjai:

Ez az Áttekintés céljából, vannak négy alapvető eleme a biztonsági: felhasználók/csoportok, biztonságossá tehető objektumok, jogosultsági szintek és öröklés.

Felhasználók és csoportok le a szünet:

  • Egyéni felhasználók: Kihúzták aktív könyvtár vagy közvetlenül a SharePoint alkalmazásban létrehozott.
  • Csoportok: A csatlakoztatott közvetlenül az active Directoryból vagy a létrehozott SharePoint. Csoportok olyan felhasználók gyűjteménye. Csoportok a globális webhelycsoportban. Ők soha nem "kötődnek" egy adott biztonságossá tehető objektumhoz.

Biztonságossá tehető objektumok alkalom, hogy legalább:

  • Oldalak
  • Dokumentumtárak
  • Egyedi tételek listákhoz és dokumentumtárakhoz
  • Mappák
  • Különböző BDC-beállításoknak.

Vannak más biztonságossá tehető objektumok, de megkapod a képet.

A jogosultsági szintek: Egy köteg-ból szemcsés / alacsony szintű hozzáférési jogokat, amelyek magukban foglalják többek között a bejegyzéseket létrehozni/olvasási/törlési listák.

Öröklés: Szervezetek alapértelmezett biztonsági beállításait örökli a tartalmazó objektumot. Sub-oldalakon engedélyt örökli a szülő. Dokumentumtárak örökli a helyszínen. Így tovább és így tovább.

Felhasználók és csoportok kapcsolódnak a biztonságossá tehető objektumokhoz keresztül engedélyszintek és öröklés.

A legfontosabb biztonsági szabályok, megérteni, Valaha 🙂 :

  1. Csoportok olyan egyszerűen felhasználók gyűjteménye.
  2. Csoportokat egy webhelycsoporton belül globálisak (i.e. nincs ilyen dolog, mint egy csoport a webhely szinten meghatározott).
  3. Csoport neve ellenére sem, csoportok nem, ezen a helyen és a maguk, van bizonyos szintű biztonság.
  4. Csoportok rendelkeznek biztonsági környezetében egy adott biztonságossá tehető objektumhoz.
  5. Az azonos csoportba a minden objektumtól különböző jogosultsági szinteket rendelheti.
  6. Web alkalmazás-házirendek adu mindez (lásd alább).

Biztonsági rendszergazdák elvesztette a csoportok és felhasználók lista tenger mindig számíthatnak a ezek kezelése, és megérteni a biztonsági konfiguráció axiómái.

Közös buktatók:

  • Csoport neve tévesen azt jelenti, hogy engedély: Kívül a doboz, SharePoint meghatározza a csoportokat, akiknek a neve azt jelenti, hogy egy benne rejlő biztonsági szint. Fontolja meg a csoport "Közreműködő". Egy ismeretlen SharePoint biztonsági jól nézni ezt a nevet, és vállalja, hogy a csoport bármely tagja "hozzájárulhat" minden oldal/lista/könyvtár a portál. Ez igaz lehet, de nem azért, mert a csoport neve előfordul, hogy "közreműködő". Csak ez igaz a dobozból, mert a csoport rendelkezik egy jogosultsági szintet, amely lehetővé teszi számukra, hogy a legfelső szintű webhely tartalom hozzáadása/szerkesztése/törlése. Öröklés útján, a "közreműködők" csoport is minden szub-webhely tartalom hozzáadása/szerkesztése/törlése. Egy "szünet" az öröklési lánc és a változás a szub-webhely olyan jogosultsági szintjét hogy tagjai az úgynevezett "közreműködői" csoport egyáltalán nem járul, de csak olvasni (például). Ez nem lenne jó ötlet, nyilvánvalóan, mivel nagyon zavaró lenne.
  • Hozzárendelés nem webhely szintjén. Könnyen összetéveszthető a felhasználói felület. A Microsoft biztosít egy kényelmes link felhasználók vagy csoportok kezelése révén minden webhely "emberek és csoportok" Link. Könnyű azt hinni, hogy amikor én vagyok a telek "xyzzy" és létre egy csoport emberek xyzzy barátait és csoportok a linkre, hogy én csak teremtett egy csoport, ami csak azért létezik: xyzzy. Nem ez a helyzet. Valójában már létrehozott egy csoportot az egész webhelycsoportban.
  • Csoportok tagságát nem térhet el az oldalon (i.e. ugyanaz mindenhol ott a csoport szolgál): Fontolja meg a csoport tulajdonosa"" és a két telek, "A HR" és "Logisztikai". Célszerű lenne azt gondolni, hogy két külön személy maga ezekről az oldalakról — egy HR-tulajdonos és a logisztikai tulajdonosa. A felhasználói felület megkönnyíti a biztonságot kezelő rendszergazdák ütögesse ebben az esetben a. Ha én nem tudom jobban, Én lehet, hogy belépés a HR oldalon keresztül a személyek és csoportok linkek, Válassza ki a "tulajdonosok" Csoport és én HR tulajdonos hozzáadása a csoporthoz. Egy hónappal később, Logisztikai jön, a vonal. Hozzáférés az emberek és csoportok a logisztikai webhelyről, húzza fel a "tulajdonosok hozzáadása" Csoport. Lásd a HR tulajdonosa ott, és vegye rá, arra gondolt, hogy vagyok eltávolítása neki tulajdonosok logisztikai helyén. valójában, Vagyok őt eltávolítása a globális tulajdonosok csoport. Követő, vidámság.
  • Hibás név csoportoknak adott szerepkörön alapuló: A jóváhagyók"" csoport egy tökéletes példa. Mi is a tagjai a csoport jóváhagyása? Ahol ezek jóváhagyása? Én igazán akar emberek logisztikai osztály képesek HR bizonylatokat jóvá? Természetesen nem. Mindig nevet a szerepét a szervezeten belüli csoportok. Ez csökkenti a kockázatát a csoport van egy megfelelő jogosultsági szint a valamely biztonságos objektumhoz rendelt. Név csoportok tervezett szerepük alapján. A korábbi HR-logisztikai forgatókönyv, Kellett volna létrehozni két új csoportok: HR tulajdonosok"" és "logisztikai tulajdonosok" minden értelmes engedélyszintek és a minimális összeg azoknak a felhasználóknak, hogy ezt a munkát, és.

Egyéb hasznos hivatkozások:

Ha Ön már tette ezt a messze:

Legyen szíves hadd tudja a gondolatait a hozzászólások keresztül vagy elektronikus levél én. Ha tudod, más jó referenciák, legyen szíves csinál ugyanaz!

Technorati Tags:

8 gondolatok „SharePoint biztonsági alapjainak Primer / Elkerüljék a buktatókat, közös

  1. Perry

    Buktatókat:

    * Vannak bizonyos speciális engedélyek rendelkezésre másutt az SSP-nek és nem látható, a személyek és csoportok részben: "Személyre szabott szolgáltatások engedélyei" és "üzleti adatkatalógus engedélyek"

    * Olvastam, hogy vannak speciális SharePoint Designer engedélyek rendelkezésre álló néhány misztikus XML, html valahol belül temették el.

    * Az elsődleges és másodlagos rendszergazdái a helycsoport webhelycsoport beállításai máshol tartott, és nem látható a személyek és csoportok részben.

    * Egyes fiókok rendelkeznek mágikus (különleges) függetlenül attól, hogy mit látsz a személyek és csoportok területen képességek: a webszerverek a beépített rendszergazdák csoport tagjai, és a farmfiók szolgáltatás.

    (PS: Törlés a spam hozzászólások javítaná olvashatóságát itt.)

    Válasz
  2. Jean Wright
    Ez egy nagyon jó post. Ebbe a csapdába esett egy pár alkalommal. Biztonsági kezelése összetett kaphat, amikor elkezdi a keverés módszerek hitelesítési és biztonsági módszerek csoportosítása. Ez a tervezési folyamat részeként figyelembe kell venni, és nem szabad figyelmen kívül hagyni.
    Válasz
  3. Mark Miller írta:
    (Megjegyzés: a Paul: Mark megkért, hogy csinál egy kis változás, a hozzászólás, de nem tudom szerkeszteni élő terek hozzászólások, így már hozzá, újra itt a változás, és el kell hagyni az eredeti).
    Paul,
    Nagyon jól jött ki a összefoglaló megközelítés részére mutatja be ezt az infót. Én különösen tetszett a "buktatók" szakasz, Azóta már beleesett néhány-ból ezek magam.
    Egy másik dolog, amit mondott találsz: tanulás hétfőn nem nem feltétlenül jelenti azt, pénteken emlékezni fogsz. Örülök, hogy valaki rajtam kívül használja a blog, mint egy "kényes ügy" olyan kritikus dolog, hogy nem végeznek rendszeres rendszer.
    Jó munka.
    Üdvözlettel,
    Mark
    EndUserSharePoint.com

    November 27 9:04 AM
    (http://www.EndUserSharePoint.com)

    Válasz
  4. Paul Galvin
    Azt hiszem, ez valószínűleg egy jó ötlet, hogy távolítsa el az alapértelmezett csoportok, különösen a közreműködő és a tulajdonos. Overbroad, és könnyen zavart. Én szívesebben használják a "minden hitelesített felhasználó" helyett a "látogató" csoport is. Ha egy adott meg, a felhasználók csak olvasási hozzáférést kell, akkor azt ajánlom, hogy egy hirdetéscsoporton vagy a SharePoint-csoport létrehozása megfelelően leíró névvel, pl. "Logisztika látogatók".
    –Paul G
    Válasz
  5. Név nélküli
    Úgy hangzik, mint a első dolog Önnek kellene csinál csak dump a látogató, Hozzászóló és a tulajdonos csoportok és lecserélheti azokat a saját logikai csoportok. Lenne ennek értelme csinálni?
    Válasz

hagyj válaszüzenetet

Az e-mail címed nem kerül nyilvánosságra. Kötelező kitölteni *