archivi categoria: SharePoint Security

"Accesso negato” per default. aspx su un SharePoint 2010 Sito sub

Uno dei miei clienti è andato in diretta con loro SharePoint 2010 ambiente di oggi.  Abbiamo scoperto che un certo gruppo di utenti non poteva accedere loro home page predefinita.  SharePoint ha risposto con il solito "segno in con un altro utente" e di "Accesso negato" o "richiesta di accesso" risposta. 

Quando abbiamo usato la funzione "Check Access" nifty è confermato che gli utenti finali davvero ha avuto accesso.  Ancora, non riusciva a pagina.

Ho seguito un sacco di strade alle varie morti estremità fino a quando ho deciso di confrontare le web part nella pagina rotta contro una pagina di lavoro simili.  L'ho fatto mettendo la pagina in modalità di manutenzione con l'aggiunta di"?contenuto = 1 "alla pagina. Così, sembrava come "http://server/subsite/subsite/default.aspx?contenuto = 1 ". 

Questo mi ha mostrato due web parti denominati "Errore" con una descrizione come "Errore" nella pagina rotta.  Non ho pensato di prendere un berretto di schermo al momento.

Ho tolto loro, e che ha risolto il problema.

Ho visto una domanda come questa venire fino sul forum in passato e sono stato estremamente scettico su insistenza del manifesto che aveva sicurezza impostato correttamente.  Ho * conoscere * ho avuto protezione impostata fino a destra sorriso, sorridere  La prossima volta, Sarò più aperta e meno scettico.

</fine>

Iscriviti al mio blog.

Seguimi su Twitter a http://www.twitter.com/pagalvin

Utilizzare il flusso di lavoro per simulare la sicurezza del tipo contenuto

Un altro giorno, un altro forum MSDN ispirato post.

Qualcuno stava chiedendo se poteva garantire un tipo di contenuto tale che quando un utente fa clic sul pulsante "nuovo" in un elenco personalizzato, tipi di contenuto a cui quella persona è concesso l'accesso sarebbero solo apparire nell'elenco a discesa.  Come sappiamo, Questo non è supportato, fuori dalla scatola.

Questa questione si presenta ora e poi e questa volta, Ho avuto una nuova idea.  Supponiamo che abbiamo scenario come questo:

  • Abbiamo un sistema di ticketing di helpdesk.
  • Il sistema di ticketing helpdesk consente agli utenti di immettere informazioni biglietto regolare helpdesk, come area problematica, stato del problema, ecc.
  • Si desidera consentire agli utenti di "super" specificare un campo di "urgenza".
  • Altri utenti non hanno accesso a tale campo.  Il sistema assegnerà sempre priorità livello "medio" alle loro richieste.

Cosa potremmo fare è creare due liste separate di SharePoint e due diversi tipi di contenuto, uno per gli utenti di "super" e l'altro per tutti gli altri.

Flusso di lavoro su ogni lista copia i dati per l'elenco principale (l'elenco del biglietto effettivo helpdesk) e il processo procede da lì.

Questo approccio potrebbe funzionare una sorta di colonna livello di sicurezza nonché di flusso. 

Non ho ancora provato, ma si ritiene ragionevole e dà un'abbastanza semplice, se abbastanza mosso, opzione per implementare un tipo di tipo di contenuto e anche colonna livello di sicurezza.

</fine>

Iscriviti al mio blog.

Seguimi su Twitter a http://www.twitter.com/pagalvin

Approvazione del contenuto come protezione a livello di elemento automatico del poveraccio

C'è uno scenario comune di affari con i moduli di InfoPath.  Vogliamo che permettono alle persone di compilare i moduli di InfoPath e li presenta in una libreria.  Vogliamo mangiatoie (e nessun altro) avere accesso a quelle forme.

Questa questione si presenta ora e poi delle forme (e. g. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

Un modo rapido per risolvere questo problema è per consentire l'approvazione del contenuto sulla libreria di forma.  Impostazioni di versione della libreria di andare e impostarlo come mostrato fino:

image 

Fare clic su "Richiedono l'approvazione del contenuto" e che vi permetterà di scegliere un valore per il progetto di protezione degli elementi.

Esso è un po ' contro-intuitivo perché non pensiamo in termini di "approvazione del contenuto" quando tutto quello che voglio fare è impedire alla gente di vedere le forme degli altri utenti.  Tuttavia, funziona bene (nella mia esperienza).  Basta non approvare quelle forme e hanno sempre considerati "bozze". 

I diritti di approvazione di dare alle persone che dovrebbero essere in grado di vederli e si hanno chiuso il ciclo.

Questo non è esattamente grande novità, ma la questione venire con una certa regolarità, così ho pensato che valesse la pena di distacco.

</fine>

Iscriviti al mio blog.

Seguimi su Twitter a http://www.twitter.com/pagalvin

Che cos'è comunque limitato accesso?

AGGIORNAMENTO 11/03/08: Assicuratevi di leggere il commento eccellente e dettagliato da Dessie Lunsford a questo post.

Ho lavorato su un progetto di editing tech segreta per un libro di imminenti e fa riferimento a questo blog entry by Tyler Butler sul blog MSDN ECM. Questa è la prima volta che ho letto personalmente una chiara definizione del significato di accesso limitato. Ecco la carne della definizione:

In SharePoint, utenti anonimi’ diritti sono determinati dal livello di autorizzazione di accesso limitato. Accesso limitato è un livello di autorizzazione speciale che non può essere assegnato a un utente o gruppo direttamente. Il motivo che esiste è perché se avete una libreria o un sito secondario che ha rotto l'ereditarietà delle autorizzazioni, e si dà un accesso di utente o gruppo a solo quella libreria/secondario, per visualizzarne il contenuto, il gruppo di utenti deve avere qualche accesso al web root. In caso contrario l'utente/gruppo sarà in grado di sfogliare il libreria/secondario, anche se hanno diritti ci, perché ci sono cose nel web principale che sono necessari per rendere il sito o libreria. Pertanto, Quando si danno un gruppo le autorizzazioni solo per un sito secondario o la libreria che sta rompendo l'ereditarietà delle autorizzazioni, SharePoint automaticamente darà accesso limitato a tale gruppo o utente sul web root.

Questa domanda si avvicina ora e poi sul forum di MSDN e sono sempre stato curioso (ma non abbastanza curioso di calcolarlo fuori prima di oggi :)).

</fine>

Iscriviti al mio blog.

Seguimi su Twitter a http://www.twitter.com/pagalvin

Technorati Tags:

Suggerimento rapido: Configurare la protezione per gli amministratori consentono di accedere a qualsiasi sito di SharePoint

In un segno che Social Computing sta cominciando a decollare con SharePoint, Vedo un aumento del numero di domande di tipo sito personale. Una domanda comune va qualcosa come questo:

"Io sono un amministratore e ho bisogno di essere in grado di accedere a ogni sito personale. Come a farlo?"

Il trucco è che ogni sito personale è la propria raccolta siti. Protezione di SharePoint viene normalmente somministrato a livello di raccolta siti e questo molti viaggi un amministratore di SharePoint. Normalmente, Lei ha già accesso per configurare la sicurezza nella principale"" raccolte siti e non può rendersi conto che questo automaticamente non funziona per i siti personali.

Raccolte siti vivono collettivamente all'interno di un contenitore più grande, che è l'applicazione web. Azienda agricola admins può può configurare la protezione a livello di applicazione web e questo è come gli amministratori stessi possono concedere l'accesso a qualsiasi raccolta siti nell'applicazione web. Questo blog descrive una delle mie esperienze personali con criteri di applicazione web. Ho definito un criterio di applicazione web di incidente: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Criteri di applicazione Web possono essere pericolosi e suggerisco che essere usati con parsimonia. Se fossi un admin (e grazie al cielo non sono), Sarebbe creare un account annuncio separato denominato qualcosa come "amministratore SharePoint Web App" e dare un account il ruolo di sicurezza di applicazioni web di che ha bisogno. Non necessario a configurare questo genere di cose per la fattoria regolari admin o singolo sito collezione admins. Tenderà a nascondere potenziali problemi perché il ruolo di app web esegue l'override di qualsiasi impostazione di protezione di livello inferiore.

</fine>

Iscriviti al mio blog.

Seguimi su Twitter a http://www.twitter.com/pagalvin

Technorati Tags: ,

Viste e colonne di elenchi e raccolte di documenti non possono essere protette

AGGIORNAMENTO (02/29/08): Questo nuovo progetto codeplex sembra fornire un metodo per la protezione delle singole colonne: http://www.codeplex.com/SPListDisplaySetting. Se avete qualche esperienza di lavoro con esso, si prega di lasciare un commento.

Manifesti Forum spesso porre una domanda come questa: "Ho una visione responsabile ed e una visualizzazione personale di un elenco. Come a proteggere la vista manager in modo che personale non può usarlo?"

Essi spesso porre una domanda correlata: "Voglio garantire una colonna di metadati specifici che solo i gestori possono modificare tale colonna mentre gli altri possono non ancora vederlo."

Queste risposte si applicano a entrambi WSS 3.0 e MOSS:

  • SharePoint non fornisce il supporto out-of-the-box per la protezione delle visualizzazioni.
  • SharePoint non fornisce il supporto out-of-the-box per le colonne di sicurezza.

Ci sono diverse tecniche si possono seguire per soddisfare questi tipi di requisiti di sicurezza. Ecco cosa mi viene in mente:

  • Utilizzare la protezione a livello di elemento di out-of-the-box. Viste rispettano sempre la configurazione di sicurezza a livello di elemento. Ricevitori di eventi e/o flusso di lavoro può automatizzare la protezione assegnazione.
  • Utilizzare le visualizzazioni personali per "privilegiati" Visualizzazioni. Queste sono abbastanza facile da configurare. Tuttavia, Grazie alla loro "personale" natura, questi devono essere configurate per ogni utente. Utilizzare la configurazione standard di sicurezza per impedire chiunque altro di creare una visualizzazione personale.
  • Utilizzare una web part visualizzazione dati e implementare una sorta di soluzione di limitazione per motivi di sicurezza AJAXy.
  • Rotolare la propria funzionalità di visualizzazione elenco e incorporare la rimozione della protezione a livello di colonna.
  • Modificare le forme di entrata di dati e utilizzare JavaScript in congiunzione con il modello di sicurezza per implementare la rimozione della protezione a livello di colonna.
  • Utilizzare un modulo di InfoPath per inserimento dati. Implementare la rimozione della protezione di livello di colonna tramite chiamate al servizio web di SharePoint e condizionalmente nascondere i campi come necessario.
  • Rotolare una propria funzione di immissione dati ASP.NET che implementa la rimozione di protezione a livello di colonna.

Nessuna di queste opzioni sono davvero quel grande, ma c'è almeno un percorso da seguire se avete bisogno di, anche se è difficile.

NOTA: Se andate giù uno qualsiasi di questi percorsi, non dimenticare di "azioni-> Apri con Esplora risorse di Windows". Volete essere sicuri che prova con quella caratteristica per assicurarsi che non funziona come una "back door" e sconfiggere il vostro regime di sicurezza.

Se avete altre idee o esperienze con fissaggio colonne o visualizzazioni, per favore email me o lasciare un commento e aggiornerò questo distacco come appropriato.

</fine>

Iscriviti al mio blog.

Technorati Tags:

Soluzione: System.io.FileNotFoundException su “SPSite = nuovo SPSite(URL)”

AGGIORNAMENTO: Ho postato questa domanda a MSDN qui (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) e Michael Washam di Microsoft ha risposto con una risposta concisa.

Ho creato un servizio web di agire come un BDC-friendly facciata per un elenco di SharePoint. Quando ho usato questo dal mio ambiente di sviluppo, ha funzionato benissimo. Quando questa migrazione a un nuovo server, Questo errore:

System.io.FileNotFoundException: L'applicazione Web a http://localhost/sandbox non potrebbe essere trovato. Verificare che l'URL è stato digitato correttamente. Se l'URL dovrebbe servire contenuti esistenti, l'amministratore di sistema potrebbe essere necessario aggiungere un nuovo mapping di URL di richiesta per l'applicazione prevista. a Microsoft.SharePoint.SPSite...ctor(Azienda agricola SPFarm, URI requestUri, Boolean contextSite, SPUserToken userToken) a Microsoft.SharePoint.SPSite...ctor(String requestUrl) a Conchango.xyzzy.GetExistingDocument(Stringa minId, String maxId, String titleFilter) in C:\Documenti e SettingsPaulMy DocumentiVisual Studio 2005ProjectsxyzzyBDC_DocReviewBDC_DocReviewDocReviewFacade.asmx.cs:linea 69

Ecco la linea 69:

utilizzando (Sito SPSite = nuovo SPSite("http://localhost/sandbox"))

Ho provato diverse varianti nell'URL, anche utilizzando il nome del server reale, l'indirizzo IP, barre finali l'URL, ecc. Ho sempre avuto quell'errore.

Ho usato Google per ricercare e. Molte persone affrontano questo problema, o variazioni di esso, ma nessuno sembrava di averlo risolto.

MOSS furbata fornito una dettagliata errore che esso non si è verificato a me per controllare il 12 registri di alveare. Alla fine, circa 24 ore dopo il mio collega consigliato di che fare così, Ho verificato il 12 l'hive di registro e trovato questo:

Un'eccezione si è verificato durante il tentativo di acquisire l'azienda agricola locale:
System.Security.SecurityException: Non è consentito l'accesso del registro di sistema richieste.
presso System.ThrowHelper.ThrowSecurityException(ExceptionResource risorse) presso Microsoft.Win32.RegistryKey.OpenSubKey(Name: String, Boolean scrivibile) presso Microsoft.Win32.RegistryKey.OpenSubKey(Name: String) presso Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() presso Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() presso Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& azienda agricola, Boolean& isJoined)
La zona dell'assembly che non è stata:  Risorse del computer

Questo ha aperto nuove vie di ricerca, così è stato torna a Google. Che mi ha portato a questo post nel forum: http://forums.CodeCharge.com/posts.php?post_id = 67135. Che non ha davvero aiutato me, ma lo ha fatto iniziare a farmi pensare che c'era un problema di database e/o sicurezza. Mollato e Di Andrew Connell postare finalmente attivato il pensiero che io dovrei assicurarsi che account dell'identità del pool di applicazioni aveva accesso appropriato per il database. Pensavo che lo ha già fatto. Tuttavia, il mio collega è andato e ha dato l'app pool identità account completo accesso a SQL.

Come ha fatto quel cambiamento, tutto ha iniziato a lavorare.

Qual è il prossimo successo è meglio espressa in un Haiku poesia:

Problemi di alzino le mani.
Swing e di perdere. Riprova.
Successo! Ma come? Perché?

Non voleva lasciare le cose solo come quello, preferendo dare l'autorizzazione richiesta minima (e probabilmente con un occhio di scrivere un post di blog; Picchiava il pugno, muhahahahaha!).

Autorizzazioni successive lei tolto l'account di identità del pool di app fino … non c'era più alcuna esplicita autorizzazione per l'account di identità del pool di app a tutti. Il servizio web ha continuato a funzionare bene.

Siamo andati e riavviato il server. Tutto ha continuato a funzionare bene.

Così, per ricapitolare: ci ha dato l'accesso completo alla piscina identità app e poi tolto. Il servizio web ha iniziato a lavorare e mai smesso di lavorare. Bizzarro.

Se qualcuno sa perché che dovrebbe avere lavorato, si prega di lasciare un commento.

</fine>

Technorati Tags:

Minime di sicurezza richieste per i moduli di InfoPath

Avevo bisogno di soddisfare un requisito di sicurezza per un modulo di InfoPath oggi. In questa situazione aziendale, un numero relativamente piccolo di individui è autorizzato a creare un nuovo modulo di InfoPath e un pubblico più ampio sono autorizzati a modificarlo. (Questo è nuovo noleggio on-boarding modulo utilizzato da risorse umane che lancia un flusso di lavoro).

Per conseguire tale obiettivo, Ho creato creato due nuovi livelli di autorizzazione ("creare e aggiornare" e "aggiorna solo"), ha rotto l'ereditarietà per la libreria di forma e assegnate le autorizzazioni per un "creare, aggiornamento" utente e un "aggiornamento separato solo" utente. La meccanica tutti i lavorato, ma si è rivelato per essere un po' più coinvolgente di quanto mi aspettassi. (Se ti senti un po' traballante sulle autorizzazioni di SharePoint, da un'occhiata a questo post). La configurazione di protezione richiesti per il livello di autorizzazione non era ovvio set di autorizzazioni granulari. Per creare un livello di autorizzazione solo aggiornamento per un modulo di InfoPath, Ho fatto il seguente:

  1. Creare un nuovo livello di autorizzazione.
  2. Sgombrare il campo da tutte le opzioni.
  3. Selezionate solo le seguenti da "Autorizzazioni della lista":
    • Modificare gli elementi
    • Visualizza elementi
    • Vedi le pagine dell'applicazione

Selezionando queste opzioni permette all'utente di aggiornare una forma, ma non crearlo.

Il trucco è stato quello di attivare la "visualizzazione pagine applicazione". Non c'è alcun verbage sul livello di autorizzazione che indica che è richiesta per i moduli di InfoPath solo aggiornamento, ma gira fuori di esso è.

Creare e aggiornare era ancora più strano. Ho seguito la stessa procedura, 1 attraverso 3 di sopra. Ho dovuto aggiungere specificamente un'autorizzazione di sito"" opzione: "Utilizzare le funzionalità di integrazione del client". Ancora una volta, Descrizione del non far sembrare che dovrebbe essere richiesto per un modulo di InfoPath, ma c'è.

</fine>

Technorati Tags: ,

SharePoint non fornisce “Chi ha accesso” Rapporti

AGGIORNAMENTO 01/28/08: Questo progetto codeplex risolve questo problema: http://www.codeplex.com/AccessChecker. Non ho usato, ma sembra promettente, se questo è un problema che dovete indirizzo nel vostro ambiente.

AGGIORNAMENTO 11/13/08: Joel Oleson ha scritto un ottimo post sul più grande problema di gestione sicurezza qui: http://www.sharepointjoel.com/ Lists/Posts/Post.aspx?Lista = 0cd1a63d % 2D183c % 2D4fc2 %2 D 8320% 2Dba5369008acb&ID = 113. Si collega a un numero di altre risorse utili.

I clienti e gli utenti del forum chiedono spesso una domanda lungo queste linee: "Come generare un elenco di tutti gli utenti con accesso a un sito" o "come posso io automaticamente avvisare tutti gli utenti con accesso alla lista sulle modifiche apportate all'elenco?"

Non c'è nessun out soluzione per questo. Se ci pensate per un momento, non è difficile capire il perchè.

Protezione di SharePoint è molto flessibile. Ci sono almeno quattro principali categorie di utenti:

  • Utenti anonimi.
  • Gruppi e utenti di SharePoint.
  • Active Directory utenti.
  • L'autenticazione basata su form (FBA) utenti.

La flessibilità significa che da una prospettiva di sicurezza, qualsiasi sito di SharePoint specificato sarà drammaticamente diverso da un altro. Al fine di generare un report di access elenco, bisogna accertare come il sito viene protetto, query più repository di profilo di utente diverso e quindi di presentarlo in modo utile. Questo è un problema difficile da risolvere genericamente.

Come organizzazioni che fare con questo? Mi piacerebbe sentire da voi nei commenti o Posta elettronica.

</fine>

SharePoint Security Fundamentals Primer / Evitare i trabocchetti comuni

AGGIORNAMENTO 12/18/07: Vedere l'articolo di Paul Liebrand per alcune conseguenze tecniche di rimuovere o modificare i nomi di gruppo predefinito (vedere pure suo commento qui sotto).

Panoramica:

Protezione di SharePoint è facile da configurare e gestire. Tuttavia, ha dimostrato di essere difficile per alcuni amministratori prima volta davvero avvolgere le mani intorno ad esso. Non solo che, Ho visto alcuni amministratori di giungere ad una comprensione perfetta il lunedì solo per avere perso di venerdì perché non avevano alcuna configurazione nel frattempo. (Ammetto di avere questo problema io). Questo Blog speriamo che fornisce un utile primer di protezione di SharePoint e punti verso alcune procedure ottimali di configurazione.

Nota importante:

Questa descrizione si basa su out of the box di protezione di SharePoint. La mia esperienza personale è orientato intorno a MOSS, così ci possono essere alcune cose specifiche MOSS qui, ma credo che è preciso per WSS. Spero che chiunque vedendo eventuali errori o omissioni che verrà segnalare nei commenti o email me. Farò le correzioni fretta post.

Fondamenti:

Ai fini di questa panoramica, ci sono quattro aspetti fondamentali per la sicurezza: utenti/gruppi, oggetti a protezione diretta, ereditarietà e livelli di autorizzazione.

Utenti e gruppi break down to:

  • Singoli utenti: Tirato da active directory o creato direttamente in SharePoint.
  • Gruppi: Mappata direttamente da active directory o creati in SharePoint. I gruppi sono un insieme di utenti. I gruppi sono globali in una raccolta siti. Non sono mai "legati" per un oggetto a protezione diretta specifico.

Oggetti a protezione diretta rottura verso il basso per almeno:

  • Siti
  • Raccolte documenti
  • Singoli elementi in elenchi e raccolte documenti
  • Cartelle
  • Varie impostazioni BDC.

Ci altri oggetti a protezione diretta, ma si ottiene l'immagine.

Livelli di autorizzazione: Un fascio di granulare / diritti di accesso a basso livello che includono tali cose come creare, leggere o eliminare voci negli elenchi.

Ereditarietà: Per impostazione predefinita le entità ereditano le impostazioni di protezione dal loro oggetto contenente. Siti secondari ereditano l'autorizzazione dai propri genitori. Raccolte documenti ereditano dal loro sito. E così via.

Gli utenti e i gruppi si riferiscono agli oggetti a protezione diretta tramite livelli di autorizzazione e l'eredità.

Norme di sicurezza più importanti per capire, mai :

  1. I gruppi sono semplicemente raccolte degli utenti.
  2. I gruppi sono globali all'interno di una raccolta siti (vale a dire. non non c'è nessuna tale cosa come un gruppo definito a livello di sito).
  3. Nome del gruppo non sopportare, gruppi non, in e di se stessi, avere un livello specifico di sicurezza.
  4. Gruppi hanno sicurezza nel contesto di uno specifico oggetto a protezione diretta.
  5. È possibile assegnare livelli di autorizzazione diversi per lo stesso gruppo per ogni oggetto a protezione diretta.
  6. Criteri di applicazione Web vincente tutto questo (vedi sotto).

Gli amministratori della protezione ha perduti in un mare di annunci gruppo e utente possono sempre contare su questi assiomi per gestire e capire la loro configurazione di sicurezza.

Trabocchetti comuni:

  • I nomi dei gruppi falsamente implica l'autorizzazione: Out of the box, SharePoint definisce un insieme di gruppi i cui nomi implicano un livello intrinseco di sicurezza. Si consideri il gruppo di "Collaboratore". Uno sconosciuto con protezione di SharePoint può ben guardare quel nome e si supponga che ogni membro del gruppo può "contribuire" a qualsiasi sito/elenco/libreria nel portale. Questo può essere vero, ma non perché il nome del gruppo sembra essere "collaboratore". Questo è vero, fuori dalla scatola solo perché il gruppo è stato fornito un livello di autorizzazione che permette loro di aggiungere/modificare/eliminare contenuto nel sito radice. Tramite l'ereditarietà, i contribuenti"" gruppo può anche aggiungere/modificare/eliminare contenuto in ogni sub-sito. Uno può "spezzare" la catena di ereditarietà e cambia il livello di autorizzazione di un sito secondario tali che i membri del cosiddetto "contributore" gruppo non può contribuire a tutti, ma solo leggere (per esempio). Questo non sarebbe una buona idea, ovviamente, poiché sarebbe molto confusa.
  • Gruppi non definiti a livello di sito. È facile essere confusi dall'interfaccia utente. Microsoft fornisce un comodo collegamento a gestione utente/gruppo via "utenti e gruppi di ogni sito" link. È facile credere che quando io sono al sito "xyzzy" e creare un gruppo attraverso persone di xyzzy e gruppi di link che ho appena creato un gruppo che esiste solo a xyzzy. Che non è il caso. In realtà ho creato un gruppo per l'intera raccolta siti.
  • Appartenenza a gruppi non variano da sito (vale a dire. è lo stesso ovunque che il gruppo viene utilizzato): Si consideri il gruppo "proprietario" e due siti, "HR" e "Logistica". Sarebbe normale pensare che due individui separati sarebbero proprio quei siti — un proprietario di HR e un proprietario di logistica. L'interfaccia utente rende facile per un amministratore di sicurezza di maltrattare questo scenario. Se non ti conoscessi bene, Potrei accedere a persone e gruppi di link tramite il sito HR, selezionare i proprietari"" gruppo e aggiungere il mio proprietario di HR a tale gruppo. Un mese più tardi, Logistica arriva sulla linea. Accedere a persone e gruppi dal sito logistica, Aggiungi pull-up i proprietari"" gruppo. Vedo il proprietario HR c'e rimuovere il suo, pensando che lei sto rimuovendo dai proprietari con il sito di logistica. Infatti, Io la rimuovo dal gruppo globale proprietari. Segue ilarità.
  • Mancanza di nome ai gruppi basati sul ruolo specifico: Responsabili dell'approvazione"" il gruppo è un perfetto esempio. Che cosa può membri di approvare questo gruppo? Dove essi possano approvarlo? Voglio davvero dipartimento di logistica di persone di essere in grado di approvare i documenti HR? Certo che no. Sempre un nome ai gruppi in base al loro ruolo all'interno dell'organizzazione. Questo ridurrà il rischio che il gruppo viene assegnato un livello di autorizzazione non corretti per un determinato oggetto a protezione diretta. Gruppi di nome basati sul loro ruolo previsto. Nello scenario precedente HR/logistica, Io dovrei aver creato due nuovi gruppi: "HR proprietari" e i proprietari di logistica"" e assegnare livelli di autorizzazione sensata per ciascuno e l'importo minimo richiesto per gli utenti di fare il loro lavoro.

Altri riferimenti utili:

Se hai fatto questo lontano:

Per favore fatemi sapere cosa ne pensate attraverso i commenti o email me. Se conoscete altre buone referenze, si prega di fare lo stesso!

Technorati Tags: