Flokkaskjalasafn: SharePoint Öryggi

"Aðgangur óheimill” að default.aspx á SharePoint 2010 Sub Site

Einn af minn viðskiptavinur fór lifa með SharePoint þeirra 2010 umhverfi í dag.  Við uppgötvaði að ákveðin hópur notenda getur ekki opnað sjálfgefið heimasíðu þeirra.  SharePoint brugðist við "Aðgangi hafnað" og venjulegum "Skráðu þig inn sem annar notandi" eða "beiðni aðgangur" svar. 

Þegar við notuðum nifty "Athuga aðgang að" virka það staðfest að notendur raunverulega did hafa aðgang.  En, þeir gætu ekki fá á síðunni.

Ég fylgdi mikið af vegi á ýmsum dauðum endum fyrr en ég ákvað að bera á vefnum hlutum á brotinn síðu gegn svipuðum vinna síðu.  Ég gerði það með því að setja síðuna í ham viðhald með því að bæta "?Innihald = 1 "á síðu. Svo, það leit út eins og "http://miðlara / subsite / subsite / default.aspx?Innihald = 1 ". 

Þetta sýndi mér tvær vefur hluta sem heitir "Villa" við lýsingu eins og "Villa" á brotinn síðu.  Ég vissi ekki að hugsa að taka skjár lokið á þeim tíma.

Ég rak þá og að leysa vandamál.

Ég hef séð spurning eins og þetta koma upp á vettvangi í fortíðinni og ég var mjög efins um kröfu á heimasíðu sendanda að hann hafði öryggi sett upp á réttan hátt.  Ég * veit * ég hafði öryggi sett upp rétt bros  Næst þegar, Ég að vera opnari og minna efins.

</enda>

Gerast áskrifandi að bloggið mitt.

Fylgdu mér á Twitter á http://www.twitter.com/pagalvin

Notaðu workflow að líkja efni gerð Öryggi

Annar dagur, annar MSDN-ráðstefnur innblástur eftir.

Einhver var að spyrja hvort þeir gætu tryggja efni gerð þannig að þegar notandi smellir á "New" hnappinn á sérsniðnum lista, aðeins efnisgerðir sem að maður er veitt aðgang myndi birtast í fellilistanum.  Eins og við vitum, þetta er ekki studd út af the kassi.

Þessi spurning kemur upp núna og þá og að þessu sinni, Ég hafði nýja hugmynd.  Skulum gera ráð fyrir að við höfum atburðarás eins og þetta:

  • Við höfum aðstoð aðgöngumiði kerfi.
  • The þjónustuverið aðgöngumiði kerfi leyfa notendum að slá inn reglulega aðstoð miða upplýsingar, svo sem svæði vandamál, vandamál staða, o.fl..
  • Við viljum leyfa "Super" notendum að tilgreina að "brýnt" akur.
  • Aðrir notendur hafa ekki aðgang að þeim vettvangi.  Kerfið mun alltaf tengja "miðlungs" forgang að beiðni þeirra.

Það sem við gætum gert er að búa til tvær sérstakar skrár SharePoint og tvær mismunandi tegundir efnis, einn fyrir "Super" notendur og hitt fyrir allir aðrir.

Workflow á hverjum lista eintök gögn á aðallista (raunverulegt þjónustuverið miða lista) og ferlið gengur þaðan.

Þessi nálgun gæti virkað flæða eins konar dálk stigi öryggi eins og heilbrigður. 

Ég hef ekki reynt það, en mér finnst sanngjarnt og gefur nokkuð einfalt, ef nokkuð gróft, valkostur til að framkvæma eins konar tegund efni og jafnvel dálki öryggisstigi.

</enda>

Gerast áskrifandi að bloggið mitt.

Fylgdu mér á Twitter á http://www.twitter.com/pagalvin

Content Samþykki eins Automatic Item fátæka mannsins öryggisstigi

Það er sameiginlegt fyrirtæki atburðarás með formum Infopath.  Við viljum leyfa fólki að fylla út InfoPath eyðublöð og senda þær til á bókasafni.  Við viljum mangers (og enginn annar) að hafa aðgang að þeim formum.

Þessi spurning kemur upp núna og þá á eyðublöðum (e.g. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

A fljótur vegur til að leysa þetta er að gera samþykkis á mynd bókasafn.  Go útgáfa stillingar safnsins og setja það upp eins og sýnt er:

image 

Smelltu á "þarfnast samþykkis" og það mun leyfa þér að velja gildi fyrir Draft Item Öryggi.

Það er svolítið gegn innsæi vegna þess að við held ekki í skilmálar af "samþykkis" þegar allt sem við viljum gera er að hindra fólk frá að sjá mynd annarra notenda.  Hins, það virkar vel (í minni reynslu).  Bara ekki samþykkja ekki þá mynd og þeir 'alltaf vera talin "Drög". 

Gefa samþykki réttindi til fólk sem ætti að vera fær um að sjá þá og þú hefur lokað lykkju.

Þetta er ekki nákvæmlega stór fréttir, en spurningin er að koma upp með sumir nemi, þannig að ég hélt að það væri þess virði að pósta.

</enda>

Gerast áskrifandi að bloggið mitt.

Fylgdu mér á Twitter á http://www.twitter.com/pagalvin

Hvað er Limited Access Engu að síður?

UPDATE 11/03/08: Vertu viss um að lesa góða og nákvæma athugasemd frá Dessie Lunsford við þessa færslu.

Ég hef verið að vinna á leyndarmál tækni útgáfa verkefni fyrir upp-tilkoma bók og það tilvísanir þetta blogg með því að Tyler Butler á MSDN ECM blogginu. This is the first time I personally read a clear definition of the meaning of Limited Access. Here’s the meat of the definition:

Í SharePoint, óskráðir notendur’ réttindi eru ákveðin af takmarkaðan aðgang leyfi stigi. Limited Access er sérstakt leyfi stigi sem ekki er hægt að úthlutað til notanda eða hóp beint. Ástæðan það er til staðar er vegna þess að ef þú hafa bókasafn eða subsite sem hefur brotið heimildir arf, og þú gefur notandi / hópur aðgang að aðeins að bókasafn / subsite, til þess að skoða innihald hennar, notandi / hópur verður að hafa aðgang að rót vefnum. Annars notandi / hópur mun vera ófær um að skoða bókasafn / subsite, jafnvel þótt þeir hafi réttindi þar, því það eru hlutir í rót vefur sem þarf að gera á síðuna eða bókasafn. Því, þegar þú gefa heimild hópsins aðeins að subsite eða bókasafn sem er brot heimildir arf, SharePoint mun sjálfkrafa gefa takmarkaðan aðgang að þeim hópi eða notandi á rót vefnum.

Þessi spurning kemur upp núna og þá á MSDN ráðstefnur og ég hef alltaf verið forvitinn (en ekki nógu forvitinn til að reikna það út áður en í dag :)).

</enda>

Gerast áskrifandi að bloggið mitt.

Fylgdu mér á Twitter á http://www.twitter.com/pagalvin

Technorati Tags:

Quick Ábending: Stilla Öryggi til að leyfa Admins til aðgangur allir síðuna mína í SharePoint

Í merki sem Social Computing er farin að taka burt með SharePoint, I see an increased number of My Site type questions. One common question goes something like this:

"I am an administrator and I need to be able to access every My Site. How do I do that?"

The trick here is that each My Site is its own site collection. SharePoint security is normally administered at the site collection level and this trips up many a SharePoint administrator. Normally, she already has access to configure security in the "main" síða söfn og getur ekki grein fyrir því að þetta er ekki sjálfkrafa að vinna fyrir minn staður.

Síða söfn lifandi sameiginlega innan stærri ílát, which is the web application. Farm admins can can configure security at the web app level and this is how admins can grant themselves access to any site collection in the web application. This blog entry describes one of my personal experiences with web application policies. I defined a web application policy by accident: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web application policies can be dangerous and I suggest that they be used sparingly. If I were an admin (og þakka gæsku ég er ekki), I would create a separate AD account named something like "SharePoint Web App Administrator" and give that one account the web application security role it needs. I would not configure this kind of thing for the regular farm admin or individual site collection admins. It will tend to hide potential problems because the web app role overrides any lower level security settings.

</enda>

Gerast áskrifandi að bloggið mitt.

Fylgdu mér á Twitter á http://www.twitter.com/pagalvin

Technorati Tags: ,

Skoðanir og dálka á listum og skjal bókasöfn ekki verða tryggða

UPDATE (02/29/08): Þessi nýja Codeplex verkefni virðist té aðferð til að tryggja einstökum dálkum: http://www.codeplex.com/SPListDisplaySetting. If you have any experience working with it, vinsamlegast eftir athugasemd.

Forum veggspjöldum spyrja oft spurningu eins og þessa: "I have a manager view and and a staff view of a list. How do I secure the manager view so that staff can not use it?"

Þeir einnig oft spyrja tengdum spurningu: "I want to secure a specific metadata column so that only managers may edit that column while others may not even see it."

These answers apply to both WSS 3.0 og Moss:

  • SharePoint veitir ekki út-af-the-kassi stuðningur til að tryggja útsýni.
  • SharePoint veitir ekki út-af-the-kassi stuðningur fyrir dálka öryggi.

There are several techniques one can follow to meet these kinds of security requirements. Here’s what I can think of:

  • Use out-of-the-box item level security. Views always honor item level security configuration. Event receivers and/or workflow can automate security assignment.
  • Use personal views for "privileged" views. These are easy enough to set up. Hins, due to their "personal" eðli, these need to be configured for each user. Use standard security configuration to prevent anyone else from creating a personal view.
  • Notaðu gögn útsýni vefur hluti og framkvæma einhvers konar AJAXy öryggi snyrtingu lausn.
  • Rúlla eigin lista sýna virkni og fella öryggi snyrtingu á dálki stigi.
  • Breyta færslunni gögn eyðublöð og nota JavaScript í tengslum við öryggi líkan að innleiða dálki-stigi öryggi snyrtingu.
  • Use an InfoPath form for data entry. Implement column-level security trimming via web service calls to SharePoint and conditionally hide fields as needed.
  • Rúlla eigin ASP.NET þinn gögn innganga virka sem útfærir dálki stigi öryggi snyrtingu.

Ekkert af þeim valkostum eru í raun að mikill, en það er að minnsta kosti leið til að fylgja ef þú þarft að, jafnvel ef það er erfitt.

ATHUGIÐ: Ef þú ferð niður eitthvað af þessum leiðum, don’t forget about "Actions -> Open with Windows Explorer". You want to be sure that you test with that feature to make sure that it doesn’t work as a "back door" og ósigur öryggi kerfi þitt.

Ef þú ert með aðrar hugmyndir fyrir eða reynslu með sem tryggja dálka eða skoðanir, vinsamlegast email mig eða leyfi a athugasemd og ég mun uppfæra þetta efni sem við.

</enda>

Gerast áskrifandi að bloggið mitt.

Technorati Tags:

Lausn: System.IO.FileNotFoundException á “SPSite = new SPSite(url)”

UPDATE: ÉG staða þessa spurningu til MSDN hér (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) and Michael Washam of Microsoft responded with a concise answer.

Ég bjó til vefur þjónusta til að starfa sem BDC-vingjarnlegur framhlið to a SharePoint list. When I used this from my development environment, það í uppnámi fínn. Þegar ég flytja þetta til nýja miðlara, Ég fundur this villa:

System.IO.FileNotFoundException: The Web umsókn á http://localhost/sandbox Ekki var hægt að finna. Staðfestu að þú hefur slegið inn vefslóð rétt. Ef slóðina skal þjóna núverandi innihald, kerfisstjóri getur þurft að bæta við nýjum beiðni URL kortlagning á fyrirhugaða notkun. á Microsoft.SharePoint.SPSite .. ctor(SPFarm bæ, Uri requestUri, Boolean contextSite, SPUserToken userToken) á Microsoft.SharePoint.SPSite .. ctor(String requestUrl) á Conchango.xyzzy.GetExistingDocument(String minId, String maxId, String titill síu) í C:\Documents and Settings Paul My Documents Visual Studio 2005 Verkefni xyzzy BDC_DocReview BDC_DocReview DocReviewFacade.asmx.cs:lína 69

Hér er lína 69:

með (SPSite síða = new SPSite("http://localhost/sandbox"))

Ég reyndi mismunandi afbrigði á vefslóðinni, þ.mt overusing raunverulegt nafn miðlarans, IP tölu þess, slóð rista á vefslóðina, o.fl.. I always got that error.

Ég notaði The Google to research it. Lots of people face this issue, eða afbrigði af henni, en enginn virtist tvö hafa það leyst.

Tricksy MOSS veitt svo nákvæma villa að það var ekki komið að mér tvo athuga 12 hive logs. Lokum, um 24 klukkustundum eftir samstarfsmaður minn mælt ég gera það, Ég skoðaði út 12 Hive þig og fann þetta:

Undantekning kom upp þegar reynt tvö Fá staðbundin bæ:
System.Security.SecurityException: Umbeðin skrásetning aðgangur er ekki leyft.
á System.ThrowHelper.ThrowSecurityException(ExceptionResource úrræði) á
(String nafn, Boolean skrifanleg) á
(String nafn) á
() á
() á
(SPFarm& bæ, Boolean& isJoined)
The Zone á þingi sem ekki var:  MyComputer

Þetta opnaði nýjar leiðir rannsóknir, svo það var aftur til Google. Það leiddi mig til þessa vettvangur staða: HTTP://forums.codecharge.com / posts.php?post_id = 67.135. That didn’t really help me but it did start making me think there was a database and/or security issue. I soldiered on and Andrew er Connell post finally triggered the thought that I should make sure that the application pool’s identity account had appropriate access to the database. I thought it already did. Hins, samstarfsmaður minn fór og gaf laug app kennimark reikning fullan aðgang að SQL.

Um leið og hún gerði þessi breyting, everything started working.

Hvað gerðist næst er best lýst sem Haiku ljóð:

Vandamál hækka hendur þeirra.
You swing and miss. Try again.
Velgengni! But how? Hvers vegna?

Hún vildi ekki láta hlutina einn svona, preferring að gefa nauðsynlegar eru leyfi (og sennilega með auga til að skrifa bloggfærslu; Ég barði hana til að kýla, muhahahahaha!).

Hún fjarlægt röð leyfi frá laug app sjálfsmynd reikning þar … there was no longer any explicit permission for the app pool identity account at all. The web service continued to work just fine.

We went and rebooted the servers. Everything continued to work fine.

Svo, að ágrip: we gave the app pool identity full access and then took it away. The web service started working and never stopped working. Bizarre.

Ef einhver veit hvers vegna það ætti að hafa unnið, vinsamlegast eftir athugasemd.

</enda>

Technorati Tags:

Lágmark Öryggi þarf til Eyðublöð Infopath

I needed to meet a security requirement for an InfoPath form today. In this business situation, a relatively small number of individuals are allowed to create a new InfoPath form and a much wider audience are allowed to edit it. (Þetta er ný-ráða á borð mynd notuð af Human Resources sem kynnir workflow).

Til að mæta þessu markmiði, Ég bjó búið tvær nýjar aðgangsstig ("create and update" and "update only"), broke inheritance for the form library and assigned permissions to a "create, uppfæra" user and a separate "update only" notandi. The mechanics all worked, but it turned out to be a little more involving than I expected. (Ef þú feel a lítill skjálfta á SharePoint leyfi, skrá sig út this blogg). The required security configuration for the permission level was not the obvious set of granular permissions. To create an update-only permission level for an InfoPath form, Ég gerði eftirfarandi:

  1. Búa til nýjan leyfi stig.
  2. Hreinsa burt alla möguleika.
  3. Selected only the following from "List permissions":
    • Breyta Atriði
    • Skoða hluti
    • Skoða Umsókn Greinar

Velja þessa valkosti leyfa notanda að uppfæra mynd, en ekki skapa það.

The trick was to enable the "View Application Pages". There isn’t any verbage on the permission level that indicates that’s required for update-only InfoPath forms, en reynist það er.

Create-and-Update was even stranger. I followed the same steps, 1 gegnum 3 ofan. I had to specifically add a "Site Permission" valkostur: "Use client integration features". Aftur, lýsing þar er ekki að gera það virðast eins og það ætti að vera þörf fyrir Infopath formi, en þar er.

</enda>

Technorati Tags: ,

SharePoint veitir ekki “Sem hefur aðgang” Skýrslur

UPDATE 01/28/08: Þetta Codeplex verkefni fjallar um þetta mál: http://www.codeplex.com/AccessChecker. I have not used it, en það lofar góðu ef þetta er mál sem þú þarft til að takast á í umhverfi þínu.

UPDATE 11/13/08: Joel Olesen skrifaði upp mjög góð staða á stærri öryggi stjórnun ræðir hér: HTTP://www.sharepointjoel.com / Listar / innlegg / Post.aspx?List=0cd1a63d-183c-4fc2-8320-ba5369008acb&ID = 113. It links to a number of other useful resources.

Forum notendur og viðskiptavinir spyrja oft spurning eftir þessum línum: "How do I generate a list of all users with access to a site" or "How can I automatically alert all users with access to list about changes made to the list?"

There is no out of the box solution for this. If you think about it for a moment, það er ekki erfitt að skilja hvers vegna.

SharePoint security is very flexible. There are at least four major categories of users:

  • Óskráðir notendur.
  • SharePoint Notendur og hópar.
  • Virkir notendur Listinn.
  • Eyðublöð byggt auðkenningar (FBA) notendur.

Sveigjanleiki þýðir að úr öryggi sjónarhorni, any given SharePoint site will be dramatically different from another. In order to generate an access list report, maður þarf að ganga úr skugga um hvernig staður er öruggur, query multiple different user profile repositories and then present it in a useful fashion. That’s a hard problem to solve generically.

Hvernig eru stofnanir takast á við þetta? I’d love to hear from you in comments or netfang.

</enda>

Technorati Tags: ,

SharePoint Öryggi Undirstöðuatriði grunnur / Forðastu Common gildra

UPDATE 12/18/07: Sjá grein Paul Liebrand fyrir nokkrum tæknilegum afleiðingum að fjarlægja eða breyta þeim sjálfgefið nöfn (sjá athugasemd hans hér að neðan og).

Yfirlit:

SharePoint security is easy to configure and manage. Hins, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (I admit to having this problem myself). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Important Note:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or email mig. I’ll make corrections post haste.

Fundamentals:

For the purposes of this overview, there are four fundamental aspects to security: users/groups, securable objects, permission levels and inheritance.

Users and Groups break down to:

  • Individual users: Pulled from active directory or created directly in SharePoint.
  • Groups: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" to a specific securable object.

Securable objects break down to at least:

  • Sites
  • Document libraries
  • Individual items in lists and document libraries
  • Folders
  • Various BDC settings.

There other securable objects, but you get the picture.

Permission levels: A bundle of granular / low level access rights that include such things as create/read/delete entries in lists.

Inheritance: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Users and groups relate to securable objects via permission levels and inheritance.

The Most Important Security Rules To Understand, Alltaf 🙂 :

  1. Groups are simply collections of users.
  2. Groups are global within a site collection (i.e. there is no such thing as a group defined at a site level).
  3. Group name not withstanding, groups do not, in and of themselves, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. You may assign different permission levels to the same group for every securable object.
  6. Web application policies trump all of this (see below).

Security administrators lost in a sea of group and user listings can always rely on these axioms to manage and understand their security configuration.

Common Pitfalls:

  • Group names falsely imply permission: Út af the kassi, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" group cannot contribute at all, but only read (til dæmis). This would not be a good idea, augljóslega, since it would be very confusing.
  • Groups are not defined at a site level. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" hlekkur. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Groups membership does not vary by site (i.e. it is the same everywhere the group is used): Consider the group "Owner" and two sites, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, I might access the People and Groups links via the HR site, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. Í raun, I’m removing her from the global Owners group. Hilarity ensues.
  • Failing to name groups based on specific role: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, I should have created two new groups: "HR Owners" and "Logistics Owners" and assign sensible permission levels for each and the minimum amount required for those users to do their job.

Other Useful References:

If you’ve made it this far:

Please let me know your thoughts via the comments or email me. If you know other good references, please do the same!

Technorati Tags: