UPDATE 12/18/07: Lihat artikel Paul Liebrand untuk konsekuensi beberapa teknis menghapus atau memodifikasi nama grup default (Lihat komentar di bawah ini juga).
Sekilas pandang:
Keamanan SharePoint mudah untuk mengkonfigurasi dan mengelola. Namun, Hal ini telah terbukti menjadi sulit bagi beberapa administrator pertama kali untuk benar-benar membungkus tangan mereka di sekitar itu. Tidak hanya itu, Saya telah melihat beberapa administrator yang datang ke pemahaman yang sempurna pada hari Senin hanya untuk telah hilang oleh Jumat karena mereka tidak perlu melakukan konfigurasi apapun dalam waktu intervensi. (Aku mengakui untuk memiliki masalah ini sendiri). Blog entry ini mudah-mudahan menyediakan SharePoint keamanan primer yang berguna dan menunjuk ke arah beberapa konfigurasi pengamanan.
Catatan penting:
Keterangan ini berdasarkan dari kotak keamanan SharePoint. Pengalaman pribadi saya berorientasi di sekitar MOSS sehingga mungkin terdapat MOSS beberapa spesifik hal di sini, tapi saya percaya secara akurat untuk WSS. Saya berharap bahwa siapa pun yang melihat semua kesalahan atau tidak akan menunjukkan bahwa dalam komentar atau email saya. Aku akan membuat koreksi posting tergesa-gesa.
Dasar-dasar:
Untuk tujuan dari tinjauan ini, ada empat aspek-aspek fundamental keamanan: pengguna/kelompok, Securable objects, tingkat izin dan warisan.
Pengguna dan grup istirahat ke:
- Masing-masing pengguna: Ditarik dari aktif direktori atau dibuat secara langsung dalam SharePoint.
- Kelompok: Dipetakan langsung dari active directory atau dibuat di SharePoint. Kelompok adalah kumpulan pengguna. Kelompok global dalam situs koleksi. Mereka tidak pernah "terikat" untuk objek securable tertentu.
Securable objects istirahat ke setidaknya:
- Situs
- Dokumen perpustakaan
- Setiap item dalam daftar dan dokumen perpustakaan
- Folder
- Berbagai pengaturan BDC.
Ada lain securable objects, tapi Anda mendapatkan gambar.
Izin tingkat: Seikat rinci / hak rendah tingkat akses yang mencakup hal-hal seperti membuat/membaca/menghapus entri dalam daftar.
Warisan: Secara default entitas mewarisi pengaturan keamanan dari objek yang mengandung mereka. Sub situs mewarisi izin dari orang tua mereka. Dokumen perpustakaan mewarisi dari situs mereka. Seterusnya dan sebagainya.
Pengguna dan grup yang berhubungan dengan securable objects melalui tingkat izin dan warisan.
Aturan-aturan keamanan yang paling penting untuk memahami, Ever 🙂 :
- Kelompok yang cukup koleksi pengguna.
- Kelompok global dalam situs koleksi (yaitu. tidak ada hal seperti itu sebagai sebuah kelompok yang didefinisikan pada tingkat situs).
- Nama grup tidak, kelompok tidak, di lokasi dan dari diri mereka sendiri, memiliki tingkat keamanan tertentu.
- Kelompok memiliki keamanan dalam konteks securable objek tertentu.
- Anda dapat menetapkan tingkat berbeda izin untuk kelompok yang sama untuk setiap objek securable.
- Web aplikasi kebijakan truf semua ini (Lihat di bawah).
Keamanan Administrator hilang di lautan daftar grup dan pengguna dapat selalu mengandalkan aksioma ini untuk mengelola dan memahami konfigurasinya keamanan.
Common Pitfalls:
- Nama grup palsu menyiratkan izin: Keluar dari kotak, SharePoint mendefinisikan sebuah set kelompok yang namanya berarti tingkat melekat keamanan. Mempertimbangkan kelompok "Kontributor". Salah satu yang tidak terbiasa dengan keamanan SharePoint mungkin baik melihat nama itu dan menganggap bahwa setiap anggota grup tersebut dapat "berkontribusi" untuk setiap situs/daftar/perpustakaan di portal. Itu mungkin benar, tetapi bukan karena nama kelompok ini kebetulan "kontributor". Hal ini hanya berlaku dari kotak karena kelompok telah menyediakan tingkat izin yang memungkinkan mereka untuk menambah/menyunting/menghapus konten di situs akar. Melalui warisan, "kontributor" kelompok juga dapat menambah/menyunting/menghapus konten di setiap sub situs. Satu dapat "break" rantai warisan dan perubahan tingkat izin sub-site seperti bahwa anggota apa yang disebut "kontributor" Grup tidak dapat memberikan kontribusi sama sekali, tapi hanya membaca (misalnya). Ini tidak akan ide yang baik, jelas, karena itu akan sangat membingungkan.
- Kelompok tidak didefinisikan pada tingkat situs. Mudah menjadi bingung oleh antarmuka pengguna. Microsoft menyediakan link nyaman ke pengguna Grup manajemen melalui setiap situs "orang-orang dan kelompok" link. Sangat mudah untuk percaya bahwa ketika aku di situs "tidak ada" cara membuat grup melalui orang-orang tidak ada 's dan kelompok link yang aku baru saja menciptakan sebuah kelompok yang hanya ada di tidak ada. Hal itu tidak terjadi. Saya benar-benar telah membuat grup untuk seluruh situs koleksi.
- Keanggotaan grup tidak bervariasi oleh situs (yaitu. ini adalah sama di mana-mana kelompok digunakan): Mempertimbangkan group "pemilik" dan dua situs, "HR" dan "Logistik". Itu akan menjadi normal untuk berpikir bahwa dua individu yang terpisah akan sendiri situs tersebut — pemilik HR dan pemilik logistik. User interface membuatnya mudah bagi administrator keamanan untuk mishandle skenario ini. Jika saya tidak tahu lebih baik, Saya mungkin mengakses orang dan kelompok link melalui situs HR, Pilih pemilik"" kelompok dan menambahkan pemilik HR saya ke grup yang. Sebulan kemudian, Logistik datang pada baris. Saya mengakses orang dan kelompok dari situs Logistics, menambahkan pull up "pemilik" kelompok. Saya melihat pemilik HR di sana dan menghapus nya, berpikir bahwa saya mengeluarkan dia dari pemilik situs logistik. Sebenarnya, Saya mengeluarkan dia dari kelompok pemilik global. Kegembiraan yang terjadi kemudian.
- Gagal untuk kelompok-kelompok nama yang didasarkan pada peran tertentu: "Approvers" kelompok adalah contoh sempurna. Apa yang bisa anggota menyetujui grup ini? Dimana mereka dapat menyetujui? Apakah saya benar-benar ingin Departemen Logistik orang mampu untuk menyetujui dokumen HR? Tentu saja tidak. Selalu nama kelompok berdasarkan peran mereka dalam organisasi. Ini akan mengurangi risiko bahwa kelompok diberikan tingkat izin tidak pantas untuk suatu securable obyek tertentu. Nama kelompok berdasarkan peran mereka dimaksudkan. Dalam skenario HR logistik sebelumnya, Saya harus membuat dua kelompok-kelompok baru: "HR pemilik" dan "logistik pemilik" dan menetapkan tingkat izin masuk akal untuk masing-masing dan jumlah minimum yang diperlukan untuk para pengguna untuk melakukan pekerjaan mereka.
Referensi lain yang berguna:
- Web aplikasi kebijakan gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Clearinghouse untuk keamanan SharePoint: http://www.sharepointsecurity.com/
- Link dari Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Jika Anda telah membuat ini jauh:
Tolong beritahu saya tahu pikiran Anda melalui komentar atau email saya. Jika Anda tahu lain referensi yang baik, Silakan melakukan hal yang sama!