Կարգավիճակի արխիվներ: Sharepoint անվտանգություն

«Մուտքն արգելված է” Ինչպես Default.aspx վրա Sharepoint 2010 Sub Site

Մեկը իմ հաճախորդների գնաց ուղիղ նրանց Sharepoint 2010 միջավայրը այսօր:  Մենք իմացանք, որ որոշակի խումբ, օգտվողների չկարողացան օգտվել իրենց նախնական հիմնաէջը:  Sharepoint պատասխանեց հետ Մուտքն արգելված է եւ սովորական է Գրանցվել որպես այլ Օգտվողի "ԿԱՄ" խնդրանքով հասանելիություն "response. 

Երբ մենք օգտագործել սրամիտ դիտողություն "Ստուգել մուտք է գործում, դա հաստատել են, որ վերջնական օգտագործողների իրոք ունեն.  Դեռ, չէին կարող հասնել էջ.

Ես հետեւեց շատ ճանապարհները տարբեր զոհված ավարտվեց, մինչեւ ես որոշեցի համեմատել վեբ մասերի վրա կոտրված էջի դեմ նմանատիպ աշխատանքային էջում:  Ես որ դնելով էջը սպասարկման ռեժիմում ավելացնելով "?բովանդակության = 1 "- ից Էջ`. Այնքան, Այն նայեց նման «հաղորդագրությունները http://սերվեր / subsite / subsite / default.aspx?բովանդակության = 1 ". 

Սա ցույց է տվել, ինձ երկու մասից վեբ անունը կրող "Սխալ" - ի նկարագրությունը, ինչպիսին "Սխալ" վրա կոտրված էջում:  Ես չեմ կարծում, որ մի էկրանի կափարիչ պահին.

Ես հեռացվել են, եւ դա լուծել է խնդիրը.

Ես տեսել եմ մի հարց է սա գալիս է այն ֆորումների է անցյալում, եւ ես չափազանց թերահավատ է Խաղային պնդմամբ, որ նա անվտանգության սահմանած կարգին:  Ես գիտեմ, * * էի ստեղծել անվտանգության իրավունքը ժպիտ  Հաջորդ անգամ, Ես կլինեմ ավելի բաց եւ ավելի քիչ թերահավատորեն.

</վերջ>

Անդամագրվել իմ բլոգում.

Գտեք Twitter-ում http://www.twitter.com/pagalvin

Օգտվեք աշխատանքի արդյունքում է կեղծել Content type անվտանգության

Եվս մեկ օր, այլ MSDN-ֆորումներ ոգեշնչված գրառումը.

Ինչ - որ մեկը հարցնում էր, թե արդյոք նրանք կարող էին ապահովել բովանդակության տեսակը այնպիսին է, որ երբ մի օգտվողին clicks վերաբերյալ «նոր» կոճակի վրա մաքսային ցուցակում, միայն բովանդակությունը տեսակները, որոնք այդ անձը պետք է տեսակցել որ հայտնվում են բացվող ցանկից:  Ինչպես հայտնի է, դա չի ապահովվում է վանդակում.

Այս հարցը գալիս է հիմա, ապա եւ այս անգամ, Ես ունեի մի նոր գաղափար.  Եկեք ենթադրենք, որ մենք ունենք նման սցենարը:

  • Մենք ունենք Տեղեկատվական վաճառք համակարգ.
  • The Տեղեկատվական վաճառք համակարգը թույլ է տալիս օգտվողներին մտնել հերթական Տեղեկատվական տոմսերի մասին, ինչպիսիք խնդրի ոլորտում, Խնդիրն կարգավիճակը, եւ այլն:.
  • Մենք ուզում ենք թույլ է սուպեր է օգտվողները ձեւակերպել որպես հրատապ "դաշտը.
  • Այլ օգտվողները չունեն մուտք դեպի այդ դաշտում.  Համակարգը միշտ հանձնարարել է միջին մակարդակի է առաջնահերթություն իրենց դիմումներին.

Ինչ կարող ենք անել ստեղծել երկու առանձին Sharepoint ցուցակները, եւ երկու տարբեր պարունակության տեսակը, Մեկ համար "սուպերէժան մասնաճյուղի օգտագործողների եւ մյուս բոլորի ուրիշ.

Աշխատանքի արդյունքում յուրաքանչյուր ցուցակում օրինակներ են տվյալներ է վարպետի ցուցակում (փաստացի Տեղեկատվական տոմսի ցուցակ) եւ գործընթացը բխում կա.

Այս մոտեցումը կարող է աշխատել հոսքը որոշակի դաշտով մակարդակի ապահովման, ինչպես նաեւ. 

Ես չեմ փորձել այն, բայց զգում ողջամիտ եւ թույլ է տալիս բավականին պարզ, եթե բավականին կոպիտ, տարբերակն իրականացնելու որոշակի տիպի բովանդակության եւ նույնիսկ շարասյունը մակարդակ անվտանգություն.

</վերջ>

Անդամագրվել իմ բլոգում.

Գտեք Twitter-ում http://www.twitter.com/pagalvin

Content հաստատումը, քանի որ խեղճ մարդու ավտոմատ Նյութի վերաբերյալ մակարդակի անվտանգության

Կա մի ընդհանուր բիզնես սցենարն է InfoPath ձեւերը.  Մենք ուզում ենք թույլ տալ, որ մարդիկ լրացնել InfoPath ձեւերը եւ դրանք ներկայացնում է գրադարանին:  Մենք ուզում ենք mangers (եւ ոչ ոք) է օգտվել այն ձեւերի.

Այս հարցը առաջանում այժմ եւ ապա ձեւերի (e.g. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

A quick ճանապարհով լուծելու համար դա հնարավորություն ընձեռել բովանդակության հավանություն է կազմում գրադարանում:  Գնալ գրադարանի տարբերակ պարամետրերը եւ բացել այն ինչպես ցուցադրված է:

image 

Սեղմեք «պահանջում բովանդակության հաստատման վրա եւ որ թույլ կտա եք վերցնել մի արժեք նախագծի Նյութի վերաբերյալ անվտանգության.

Դա մի քիչ հակահարված ինտուիտիվ, որովհետեւ մենք չենք կարծում, որ առումով "բովանդակության հաստատմանը:« Երբ մենք ուզում ենք անել կանխելու մարդկանց տեսնել այլ օգտվողների ձեւերը.  Սակայն, այն աշխատում նաեւ (իմ փորձից).  Պարզապես չենք հաստատում այդ ձեւերը եւ դրանք պետք է միշտ էլ կարելի է համարել «նախագծերը»: 

Տվեք հաստատմանը իրավունքներ այն մարդկանց, ովքեր պետք է կարողանանք տեսնել նրանց, եւ դու փակել հանգույց.

Սա ոչ թե հենց մեծ նորություններ, բայց հարց է գալ որոշ կանոնավորության, ես մտածեցի, որ արժե այս խմբին.

</վերջ>

Անդամագրվել իմ բլոգում.

Գտեք Twitter-ում http://www.twitter.com/pagalvin

Ինչ է սահմանափակ մուտքի դեպքում?

ԹԱՐՄԱՑՆԵԼ 11/03/08: Համոզվեք, որ կարդալ գերազանց եւ մանրամասն մեկնաբանություն ստանալ Dessie Lunsford- Այս գրառումը.

Ես արդեն աշխատում է գաղտնի տեխնոլոգիաների խմբագրման ծրագրի համար up-գալիս գրքի եւ դրա հղումներ Այս բլոգը մուտք է Tyler Butler է MSDN ECM blog. This is the first time I personally read a clear definition of the meaning of Limited Access. Here’s the meat of the definition:

Ի SharePoint, անանուն’ իրավունքները որոշվում են Սահմանափակ մուտքի թույլտվության մակարդակը. Սահմանափակ մուտքի հատուկ թույլտվության մակարդակը, որը չի կարող նշանակվել այն մասին, թե խմբի անմիջականորեն. Պատճառն այն գոյություն ունի, քանի որ, եթե դուք ունեք մի գրադարան կամ subsite որը կոտրվել բաժնում ժառանգութիւն, եւ դուք տալ Օգտվող / խումբ օգտվել միայն այն Գրադարան / subsite, որպեսզի տեսնեք դրա բովանդակությունը, օգտագործողը / խումբը պետք է ունենա որոշակի օգտվել արմատային համացանցում. Հակառակ դեպքում օգտագործողը / խումբը չի կարող թերթել Գրադարան / subsite, թեեւ նրանք ունեն իրավունքներ են, քանի որ կան բաներ, որ արմատային ոստայնում, որոնք անհրաժեշտ են ցուցաբերել կայքը կամ գրադարան. Ուստի, երբ դուք տալիս խմբի թույլտվություն միայն այն subsite կամ գրադարան է, որը խախտելով բաժնում ժառանգութիւն, SharePoint ինքնաբերաբար կտա սահմանափակ մատչելիությունն է, որ խմբի կամ օգտագործողի մասին արմատային ոստայնում.

Սա Հարց է առաջանում, եւ ապա MSDN ֆորումների եւ ես միշտ տարօրինակ (բայց ոչ բավարար curious է պարզել այն մինչեւ այսօր :)).

</վերջ>

Անդամագրվել իմ բլոգում.

Գտեք Twitter-ում http://www.twitter.com/pagalvin

Արորդիների Tags:

Quick Հուշում: Կարգավորել անվտանգության Թույլ Ադմինիստրատորները մուտք գործել ցանկացած Իմ կայքում SharePoint

Ի նշան է, որ Սոցիալ - Computing սկսում է դուրս SharePoint, I see an increased number of My Site type questions. One common question goes something like this:

"I am an administrator and I need to be able to access every My Site. How do I do that?"

The trick here is that each My Site is its own site collection. SharePoint security is normally administered at the site collection level and this trips up many a SharePoint administrator. Որպես կանոն, she already has access to configure security in the "main" site հավաքածուները եւ չեն կարող հասկանալ, որ սա ինքնին չի աշխատում իմ Sites.

Կայքի հավաքածուներ միասին ապրում ներսում մեծ կոնտեյներ, which is the web application. Farm admins can can configure security at the web app level and this is how admins can grant themselves access to any site collection in the web application. This blog entry describes one of my personal experiences with web application policies. I defined a web application policy by accident: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web application policies can be dangerous and I suggest that they be used sparingly. If I were an admin (եւ շնորհակալություն հայտնել բարության չեմ), I would create a separate AD account named something like "SharePoint Web App Administrator" and give that one account the web application security role it needs. I would not configure this kind of thing for the regular farm admin or individual site collection admins. It will tend to hide potential problems because the web app role overrides any lower level security settings.

</վերջ>

Անդամագրվել իմ բլոգում.

Գտեք Twitter-ում http://www.twitter.com/pagalvin

Արորդիների Tags: ,

Views ու սյուները վերաբերյալ ցուցակներում փաստաթղթերի գրադարանների չի կարելի ապահովել

ԹԱՐՄԱՑՆԵԼ (02/29/08): Այս նոր նախագիծը codeplex թվում է ապահովելու մեթոդ ապահովելու անհատական ​​սյունյակները: http://www.codeplex.com/SPListDisplaySetting. If you have any experience working with it, խնդրեմ թողնել մեկնաբանություն.

Ֆորումի հաղորդագրություններ փակցնողները հաճախ հարց նման: "I have a manager view and and a staff view of a list. How do I secure the manager view so that staff can not use it?"

Նրանք նաեւ հաճախակի ուղղել առնչվող հարցեր: "I want to secure a specific metadata column so that only managers may edit that column while others may not even see it."

These answers apply to both WSS 3.0 եւ MOSS:

  • Sharepoint չի ապահովում out-of-the-տուփի աջակցություն ապահովելու տեսակետները.
  • Sharepoint չի ապահովում out-of-the-տուփի աջակցություն անվտանգության սյուների.

There are several techniques one can follow to meet these kinds of security requirements. Here’s what I can think of:

  • Use out-of-the-box item level security. Views always honor item level security configuration. Event receivers and/or workflow can automate security assignment.
  • Use personal views for "privileged" Դիտումներ. These are easy enough to set up. Սակայն, due to their "personal" բնություն, these need to be configured for each user. Use standard security configuration to prevent anyone else from creating a personal view.
  • Օգտագործեք տվյալների դիտեք վեբ մասը եւ իրականացնել որոշակի AJAXy անվտանգության դրվագ լուծմանը.
  • Գլորում Ձեր ցուցակ ցուցադրման ֆունկցիոնալությունը եւ ներառում անվտանգության դրվագ է սյունակի մակարդակով.
  • Փոփոխել տվյալների մուտքի ձեւերը եւ օգտագործման JavaScript տեխնոլոգիա հետ համատեղ անվտանգության մոդելի իրականացնել շարասյունը մակարդակով անվտանգության դրվագ.
  • Use an InfoPath form for data entry. Implement column-level security trimming via web service calls to SharePoint and conditionally hide fields as needed.
  • Գլորում Ձեր ASP.NET տվյալների մուտքի գործառույթ է իրականացնում սյունակի մակարդակի անվտանգության դրվագ.

Ոչ մեկը, այդ տարբերակներից են այդքան մեծ, բայց գոնե մի ճանապարհ է հետեւել, եթե անհրաժեշտ է, նույնիսկ, եթե դժվար.

Նկատի ունեցեք,: Եթե ​​Դուք որեւէ իջնում ​​այդ ուղիները, don’t forget about "Actions -> Open with Windows Explorer". You want to be sure that you test with that feature to make sure that it doesn’t work as a "back door" եւ հաղթել Ձեր անվտանգության համակարգը.

Եթե ​​ունեք այլ գաղափարներ կամ փորձ, ինչպես ապահովող սյունակներում կամ Դիտումներ, խնդրեմ փոստին ինձ կամ թողնել մեկնաբանություններ եւ ես նորացնել հայտարարությունը ինչպես նաեւ համապատասխան.

</վերջ>

Անդամագրվել իմ բլոգում.

Արորդիների Tags:

Լուծում: System.IO.FileNotFoundException մասին “SPSite = Նոր SPSite(url)”

ԹԱՐՄԱՑՆԵԼ: Ես փակցված այս հարցը պետք է MSDN այստեղ (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) and Michael Washam of Microsoft responded with a concise answer.

Ես ստեղծել վեբ ծառայություն է հանդես գալ որպես BDC բարեկամական ճակատ to a SharePoint list. When I used this from my development environment, այն է տուգանքով,. Երբ ես տեղափոխվել: Այս նոր սերվեր, Ես հանդիպել այս խմբին:

System.IO.FileNotFoundException: The վեբ ժամը http://localhost/sandbox չգտնուեցաւ. Ստուգել, ​​որ դուք մուտքագրել URL ճիշտ. Եթե ​​URL պետք է ծառայել գոյություն ունեցող բովանդակությունը:, ցանցի System Administrator հետ պետք է ավելացնել նոր request URL քարտեզագրում նախատեսված դիմումին. - ին, ժամը Microsoft.SharePoint.SPSite .. ctor(SPFarm ֆերմա, Uri requestUri, Բուլյան contextSite, SPUserToken userToken) - ին, ժամը Microsoft.SharePoint.SPSite .. ctor(String requestUrl) - ին, ժամը Conchango.xyzzy.GetExistingDocument(String minId, String maxId, String Վերնագրիր Ֆիլտր) Այս C:\Փաստաթղթեր եւ Պարամետրեր Paul Իմ Փաստաթղթեր Visual Studio 2005 Ծրագրեր xyzzy BDC_DocReview BDC_DocReview DocReviewFacade.asmx.cs:գիծ 69

Ահա գիծ 69:

օգտագործելով (SPSite site = new SPSite("http://localhost/sandbox"))

Ես փորձեցի տարբեր տատանումները վրա URL, այդ թվում օգտագործելով սերվերի իրական անունը, նրա IP հասցե, trailing slashes վրա URL, եւ այլն:. I always got that error.

Ես օգտագործում Google-ի to research it. Lots of people face this issue, կամ տատանումները է, բայց ոչ ոք կարծես թե լուծել.

Ժիր MOSS տրամադրել այնպիսի մանրամասն սխալ է, որ դա չի առաջանում ինձ ստուգելու համար 12 hive logs. Ի վերջո,, մոտ 24 ժամ անց իմ գործընկեր խորհուրդ եմ դա անել, Ես ստուգել դուրս 12 փեթակ Մատյան եւ գտել այս:

Բացառություն պատահեց փորձում է ձեռք բերել տեղական ագարակը:
System.Security.SecurityException: Հայցվող ռեեստր մուտք չի թույլատրվում.
- ին, ժամը System.ThrowHelper.ThrowSecurityException(ExceptionResource ռեսուրս) ի
(String անունը, Բուլյան writable) ի
(String անունը) ի
() ի
() ի
(SPFarm& ֆերմա, Բուլյան& isJoined)
Գոտում ժողովին, որը չի եղել:  MyComputer

Սա բացում է նոր պողոտաների հետազոտական, Այնպես որ, դա դեպի Google-ի. Դա հանգեցրեց ինձ այս ֆորում հաղորդագրությունը: http :/://forums.codecharge.com / posts.php?post_id = 67135. That didn’t really help me but it did start making me think there was a database and/or security issue. I soldiered on and Andrew Connell է post finally triggered the thought that I should make sure that the application pool’s identity account had appropriate access to the database. I thought it already did. Սակայն, իմ գործընկեր գնաց տվեց ծրագրի լողավազան ինքնությունը հաշվի լիարժեք մատչելիությունը SQL.

Երբ նա այդ փոփոխությունը, everything started working.

Ինչ է պատահել հաջորդ լավագույնս արտահայտվում է որպես haiku բանաստեղծություն:

Problems բարձրացնել իրենց ձեռքերը.
You swing and miss. Try again.
Հաջողություն! But how? Ինչու?

Նա չէր ցանկանում հեռանալ բաներ մենակ նման, գերադասում է նվազագույն պահանջվող թույլտվությունը (եւ, ամենայն հավանականությամբ, ինչպես նաեւ աչքի գրել բլոգային գրառումը; Ես ծեծում նրան է դակիչ, muhahahahaha!).

Նա հեռացվել է հաջորդական թույլտվություն է ծրագիրը ավազանի ինքնության հաշվին մինչեւ … there was no longer any explicit permission for the app pool identity account at all. The web service continued to work just fine.

We went and rebooted the servers. Everything continued to work fine.

Այնքան, Հիշեցնենք: we gave the app pool identity full access and then took it away. The web service started working and never stopped working. Bizarre.

Եթե ​​որեւէ մեկը գիտի, թե ինչու է, որ պետք է աշխատել, խնդրեմ թողնել մեկնաբանություն.

</վերջ>

Արորդիների Tags:

Նվազագույն անվտանգության համար InfoPath ձեւերի

I needed to meet a security requirement for an InfoPath form today. In this business situation, a relatively small number of individuals are allowed to create a new InfoPath form and a much wider audience are allowed to edit it. (Սա նոր վարձելու վրա գիշերօթիկ ձեւը օգտագործվում է մարդկային ռեսուրսների, որը մեկնարկում է workflow).

Բավարարել այդ նպատակին, Ես ստեղծեցի ստեղծել է երկու նոր թույլտվության մակարդակները ("create and update" and "update only"), broke inheritance for the form library and assigned permissions to a "create, նորացնել" user and a separate "update only" մասին. The mechanics all worked, but it turned out to be a little more involving than I expected. (Եթե ​​կարծում եք, մի քիչ խախուտ են SharePoint թույլտվությունների, ստուգել այս օրագրում Հաղորդագրություն). The required security configuration for the permission level was not the obvious set of granular permissions. To create an update-only permission level for an InfoPath form, Ես հետեւյալը:

  1. Ստեղծել նոր թույլտվություն մակարդակ.
  2. Մաքրել հեռու բոլոր տարբերակները.
  3. Selected only the following from "List permissions":
    • Խմբագրել ապրանքներ
    • Դիտել ապրանքներ
    • Դիտել Application Էջեր

Ընտրելով այս ընտրանքներ թույլ է տալիս օգտագործողին թարմացնել մի ձեւ, բայց ոչ ստեղծել այն.

The trick was to enable the "View Application Pages". There isn’t any verbage on the permission level that indicates that’s required for update-only InfoPath forms, բայց պարզվում է, որ դա.

Create-and-Update was even stranger. I followed the same steps, 1 միջոցով 3 վեր. I had to specifically add a "Site Permission" տարբերակ: "Use client integration features". Կրկին, նկարագրությունը այնտեղ չի, որ կարծես թե այն պետք է պահանջվի համար InfoPath ձեւ, բայց դա.

</վերջ>

SharePoint չի տրամադրում “Ով կարող է օգտվել” Ռեպորտաժ

ԹԱՐՄԱՑՆԵԼ 01/28/08: Սա codeplex նախագիծը անդրադառնում է այս խնդրին: http://www.codeplex.com/AccessChecker. I have not used it, բայց նայում խոստումնալից, եթե սա այն հարցն է, դուք պետք է դիմել Ձեր միջավայրում.

ԹԱՐՄԱՑՆԵԼ 11/13/08: Joel Oleson գրել մինչեւ շատ լավ պաշտոն է մեծ անվտանգության կառավարման հարցում: Այստեղ: http :/://www.sharepointjoel.com / ցուցակներ / Posts / Post.aspx?List=0cd1a63d-183c-4fc2-8320-ba5369008acb&ID = 113. It links to a number of other useful resources.

Ֆորում օգտվողները եւ հաճախորդների հաճախ հարց երկայնքով այդ գծերի: "How do I generate a list of all users with access to a site" or "How can I automatically alert all users with access to list about changes made to the list?"

There is no out of the box solution for this. If you think about it for a moment, դա դժվար է հասկանալ, թե ինչու.

SharePoint security is very flexible. There are at least four major categories of users:

  • Անանուն.
  • SharePoint Users եւ խմբերի.
  • Active Directory օգտվողները.
  • Ձեւավորում է վավերացման վրա (FBA) ալբոմներ.

The ճկունությունը նշանակում է, որ անվտանգության տեսանկյունից, any given SharePoint site will be dramatically different from another. In order to generate an access list report, մեկը պետք է պարզել, թե ինչպես է կայքը ապահովագրված, query multiple different user profile repositories and then present it in a useful fashion. That’s a hard problem to solve generically.

Ինչպես են կազմակերպությունները զբաղվում են սա? I’d love to hear from you in comments or փոստ.

</վերջ>

Sharepoint անվտանգության հիմնադրույթները պիստոն / Խուսափեք ընդհանուր որոգայթներ

ԹԱՐՄԱՑՆԵԼ 12/18/07: Տես Պոլ Liebrand հոդվածը որոշ տեխնիկական հետեւանքների վերացման կամ ձեւափոխման հիմնական խումբ անունները (տեսնել իր մեկնաբանությունը ստորեւ ինչպես նաեւ).

Overview:

SharePoint security is easy to configure and manage. Սակայն, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Ես ընդունում է, որ այս խնդիրը ինձ). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Կարեւոր Note:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or փոստին ինձ. I’ll make corrections post haste.

Նոր:

Նպատակների համար, այս ակնարկ, կան չորս հիմնական կողմեր ​​անվտանգության: ալբոմներ Խմբի մասին, securable առարկաներ, Թույլտվության մակարդակները եւ ժառանգման.

Users եւ Խմբեր կոտրել ներքեւ:

  • Անհատական ​​օգտվողները: Ձգված է Active Directory, կամ ստեղծել անմիջապես Sharepoint.
  • Խմբեր: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" դեպի տվյալ օբյեկտի securable.

Securable առարկաներ կոտրել են առնվազն:

  • Sites
  • Փաստաթղթերի որոնում
  • Անհատական ​​ապրանքներ ցուցակների եւ փաստաթղթային գրադարանների
  • Թղթապանակներ
  • Տարաբնույթ BDC պարամետրեր.

Կան նաեւ այլ առարկաներ securable, բայց դուք ստանում նկարը.

Թույլտվության մակարդակները: A փաթեթ է հատիկավոր / low level access rights that include such things as create/read/delete entries in lists.

Ժառանգականություն: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Users եւ խմբերի վերաբերում securable օբյեկտների միջոցով թույլտվության մակարդակների եւ ժառանգման.

Կարեւորագույն անվտանգության կանոնները հասկանալու, Ever 🙂 :

  1. Խմբեր պարզապես հավաքածուներ օգտվողներին.
  2. Խմբերն են գլոբալ ընթացքում կայքի հավաքածուի մեջ (i.e. չկա նման բան, ինչպես նաեւ մի խումբ սահմանված է կայքի մակարդակում).
  3. Խմբի անունը չի կարող դիմակայել, խմբեր չեն, - ին եւ իրենց, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. Դուք կարող եք վերագրելու տարբեր մակարդակներ թույլտվության նույն խմբի յուրաքանչյուր օբյեկտի securable.
  6. Վեբ քաղաքականությունը հաղթաթուղթ այս ամենը (տես ստորեւ).

Անվտանգության ադմինիստրատորները կորցրել է ծովում խմբի Օգտվողի ցանկերի միշտ կարող եք ապավինել այդ axioms կառավարել եւ հասկանալ դրանց անվտանգության կոնֆիգուրացիան.

Ընդհանուր որոգայթներ:

  • Խմբի անունները կեղծ ենթադրում թույլտվություն: Դուրս վանդակում, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" Խումբը, որին կարող է նպաստել ընդհանրապես, բայց միայն կարդալու (օրինակ). This would not be a good idea, ակնհայտ, քանի որ դա կլինի շատ շփոթեցնող.
  • Խմբեր չեն սահմանվում է կայքի մակարդակում. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" ՈՒղեցույց. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Խմբեր անդամակցությունը չի տարբերվել կայքում (i.e. դա նույնն է ամենուր խումբն օգտագործվում է): Consider the group "Owner" եւ երկու կայքեր, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Ես կարող մուտք գործել այդ մարդկանց եւ խմբերի հղումներ միջոցով ՀՀ ՄԻ խնդիր կայքում, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. Ի դեպ, I’m removing her from the global Owners group. Hilarity ensues.
  • Այդպես անուն խմբերի վրա հատուկ դերի: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Ես պետք է ստեղծել երկու նոր խմբեր: "HR Owners" and "Logistics Owners" եւ հանձնարարել զգայուն թույլտվության մակարդակների համար միմյանց եւ նվազագույն գումար անհրաժեշտ է այն օգտագործողների համար, որպեսզի իրենց աշխատանքը.

Այլ օգտակար հղումներ:

Եթե ​​դու դարձրեց դա հեռու:

Please let me know your thoughts via the comments or email me. If you know other good references, խնդրեմ նույնն անել!

Արորդիների Tags: