AGGIORNAMENTO 11/03/08: Assicuratevi di leggere il commento eccellente e dettagliato da Dessie Lunsford a questo post.

Ho lavorato su un progetto di editing tech segreta per un libro di imminenti e fa riferimento a questo blog entry by Tyler Butler sul blog MSDN ECM. Questa è la prima volta che ho letto personalmente una chiara definizione del significato di accesso limitato. Ecco la carne della definizione:

In SharePoint, utenti anonimi’ diritti sono determinati dal livello di autorizzazione di accesso limitato. Accesso limitato è un livello di autorizzazione speciale che non può essere assegnato a un utente o gruppo direttamente. Il motivo che esiste è perché se avete una libreria o un sito secondario che ha rotto l'ereditarietà delle autorizzazioni, e si dà un accesso di utente o gruppo a solo quella libreria/secondario, per visualizzarne il contenuto, il gruppo di utenti deve avere qualche accesso al web root. In caso contrario l'utente/gruppo sarà in grado di sfogliare il libreria/secondario, anche se hanno diritti ci, perché ci sono cose nel web principale che sono necessari per rendere il sito o libreria. Pertanto, Quando si danno un gruppo le autorizzazioni solo per un sito secondario o la libreria che sta rompendo l'ereditarietà delle autorizzazioni, SharePoint automaticamente darà accesso limitato a tale gruppo o utente sul web root.

Questa domanda si avvicina ora e poi sul forum di MSDN e sono sempre stato curioso (ma non abbastanza curioso di calcolarlo fuori prima di oggi :)).

</fine>

Iscriviti al mio blog.

Seguimi su Twitter a http://www.twitter.com/pagalvin

In un segno che Social Computing sta cominciando a decollare con SharePoint, Vedo un aumento del numero di domande di tipo sito personale. Una domanda comune va qualcosa come questo:

"Io sono un amministratore e ho bisogno di essere in grado di accedere a ogni sito personale. Come a farlo?"

Il trucco è che ogni sito personale è la propria raccolta siti. Protezione di SharePoint viene normalmente somministrato a livello di raccolta siti e questo molti viaggi un amministratore di SharePoint. Normalmente, Lei ha già accesso per configurare la sicurezza nella principale"" raccolte siti e non può rendersi conto che questo automaticamente non funziona per i siti personali.

Raccolte siti vivono collettivamente all'interno di un contenitore più grande, che è l'applicazione web. Azienda agricola admins può può configurare la protezione a livello di applicazione web e questo è come gli amministratori stessi possono concedere l'accesso a qualsiasi raccolta siti nell'applicazione web. Questo blog descrive una delle mie esperienze personali con criteri di applicazione web. Ho definito un criterio di applicazione web di incidente: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Criteri di applicazione Web possono essere pericolosi e suggerisco che essere usati con parsimonia. Se fossi un admin (e grazie al cielo non sono), Sarebbe creare un account annuncio separato denominato qualcosa come "amministratore SharePoint Web App" e dare un account il ruolo di sicurezza di applicazioni web di che ha bisogno. Non necessario a configurare questo genere di cose per la fattoria regolari admin o singolo sito collezione admins. Tenderà a nascondere potenziali problemi perché il ruolo di app web esegue l'override di qualsiasi impostazione di protezione di livello inferiore.

</fine>

Iscriviti al mio blog.

Seguimi su Twitter a http://www.twitter.com/pagalvin

AGGIORNAMENTO (02/29/08): Questo nuovo progetto codeplex sembra fornire un metodo per la protezione delle singole colonne: http://www.codeplex.com/SPListDisplaySetting. Se avete qualche esperienza di lavoro con esso, si prega di lasciare un commento.

Manifesti Forum spesso porre una domanda come questa: "Ho una visione responsabile ed e una visualizzazione personale di un elenco. Come a proteggere la vista manager in modo che personale non può usarlo?"

Essi spesso porre una domanda correlata: "Voglio garantire una colonna di metadati specifici che solo i gestori possono modificare tale colonna mentre gli altri possono non ancora vederlo."

Queste risposte si applicano a entrambi WSS 3.0 e MOSS:

• SharePoint non fornisce il supporto out-of-the-box per la protezione delle visualizzazioni.
• SharePoint non fornisce il supporto out-of-the-box per le colonne di sicurezza.

Ci sono diverse tecniche si possono seguire per soddisfare questi tipi di requisiti di sicurezza. Ecco cosa mi viene in mente:

• Utilizzare la protezione a livello di elemento di out-of-the-box. Viste rispettano sempre la configurazione di sicurezza a livello di elemento. Ricevitori di eventi e/o flusso di lavoro può automatizzare la protezione assegnazione.
• Utilizzare le visualizzazioni personali per "privilegiati" Visualizzazioni. Queste sono abbastanza facile da configurare. Tuttavia, Grazie alla loro "personale" natura, questi devono essere configurate per ogni utente. Utilizzare la configurazione standard di sicurezza per impedire chiunque altro di creare una visualizzazione personale.
• Utilizzare una web part visualizzazione dati e implementare una sorta di soluzione di limitazione per motivi di sicurezza AJAXy.
• Rotolare la propria funzionalità di visualizzazione elenco e incorporare la rimozione della protezione a livello di colonna.
• Modificare le forme di entrata di dati e utilizzare JavaScript in congiunzione con il modello di sicurezza per implementare la rimozione della protezione a livello di colonna.
• Utilizzare un modulo di InfoPath per inserimento dati. Implementare la rimozione della protezione di livello di colonna tramite chiamate al servizio web di SharePoint e condizionalmente nascondere i campi come necessario.
• Rotolare una propria funzione di immissione dati ASP.NET che implementa la rimozione di protezione a livello di colonna.

Nessuna di queste opzioni sono davvero quel grande, ma c'è almeno un percorso da seguire se avete bisogno di, anche se è difficile.

NOTA: Se andate giù uno qualsiasi di questi percorsi, non dimenticare di "azioni-> Apri con Esplora risorse di Windows". Volete essere sicuri che prova con quella caratteristica per assicurarsi che non funziona come una "back door" e sconfiggere il vostro regime di sicurezza.

Se avete altre idee o esperienze con fissaggio colonne o visualizzazioni, per favore email me o lasciare un commento e aggiornerò questo distacco come appropriato.

</fine>

Iscriviti al mio blog.

AGGIORNAMENTO: Ho postato questa domanda a MSDN qui (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) e Michael Washam di Microsoft ha risposto con una risposta concisa.

Ho creato un servizio web di agire come un BDC-friendly facciata per un elenco di SharePoint. Quando ho usato questo dal mio ambiente di sviluppo, ha funzionato benissimo. Quando questa migrazione a un nuovo server, Questo errore:

Ecco la linea 69:

utilizzando (Sito SPSite = nuovo SPSite("http://localhost/sandbox"))

Ho provato diverse varianti nell'URL, anche utilizzando il nome del server reale, l'indirizzo IP, barre finali l'URL, ecc. Ho sempre avuto quell'errore.

Ho usato Google per ricercare e. Molte persone affrontano questo problema, o variazioni di esso, ma nessuno sembrava di averlo risolto.

MOSS furbata fornito una dettagliata errore che esso non si è verificato a me per controllare il 12 registri di alveare. Alla fine, circa 24 ore dopo il mio collega consigliato di che fare così, Ho verificato il 12 l'hive di registro e trovato questo:

Un'eccezione si è verificato durante il tentativo di acquisire l'azienda agricola locale:
System.Security.SecurityException: Non è consentito l'accesso del registro di sistema richieste.
presso System.ThrowHelper.ThrowSecurityException(ExceptionResource risorse) presso Microsoft.Win32.RegistryKey.OpenSubKey(Name: String, Boolean scrivibile) presso Microsoft.Win32.RegistryKey.OpenSubKey(Name: String) presso Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() presso Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() presso Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& azienda agricola, Boolean& isJoined)
La zona dell'assembly che non è stata:  Risorse del computer

Questo ha aperto nuove vie di ricerca, così è stato torna a Google. Che mi ha portato a questo post nel forum: http://forums.CodeCharge.com/posts.php?post_id = 67135. Che non ha davvero aiutato me, ma lo ha fatto iniziare a farmi pensare che c'era un problema di database e/o sicurezza. Mollato e Di Andrew Connell postare finalmente attivato il pensiero che io dovrei assicurarsi che account dell'identità del pool di applicazioni aveva accesso appropriato per il database. Pensavo che lo ha già fatto. Tuttavia, il mio collega è andato e ha dato l'app pool identità account completo accesso a SQL.

Come ha fatto quel cambiamento, tutto ha iniziato a lavorare.

Qual è il prossimo successo è meglio espressa in un Haiku poesia:

Problemi di alzino le mani.
Swing e di perdere. Riprova.
Successo! Ma come? Perché?

Non voleva lasciare le cose solo come quello, preferendo dare l'autorizzazione richiesta minima (e probabilmente con un occhio di scrivere un post di blog; Picchiava il pugno, muhahahahaha!).

Autorizzazioni successive lei tolto l'account di identità del pool di app fino … non c'era più alcuna esplicita autorizzazione per l'account di identità del pool di app a tutti. Il servizio web ha continuato a funzionare bene.

Siamo andati e riavviato il server. Tutto ha continuato a funzionare bene.

Così, per ricapitolare: ci ha dato l'accesso completo alla piscina identità app e poi tolto. Il servizio web ha iniziato a lavorare e mai smesso di lavorare. Bizzarro.

Se qualcuno sa perché che dovrebbe avere lavorato, si prega di lasciare un commento.

</fine>

Avevo bisogno di soddisfare un requisito di sicurezza per un modulo di InfoPath oggi. In questa situazione aziendale, un numero relativamente piccolo di individui è autorizzato a creare un nuovo modulo di InfoPath e un pubblico più ampio sono autorizzati a modificarlo. (Questo è nuovo noleggio on-boarding modulo utilizzato da risorse umane che lancia un flusso di lavoro).

Per conseguire tale obiettivo, Ho creato creato due nuovi livelli di autorizzazione ("creare e aggiornare" e "aggiorna solo"), ha rotto l'ereditarietà per la libreria di forma e assegnate le autorizzazioni per un "creare, aggiornamento" utente e un "aggiornamento separato solo" utente. La meccanica tutti i lavorato, ma si è rivelato per essere un po' più coinvolgente di quanto mi aspettassi. (Se ti senti un po' traballante sulle autorizzazioni di SharePoint, da un'occhiata a questo post). La configurazione di protezione richiesti per il livello di autorizzazione non era ovvio set di autorizzazioni granulari. Per creare un livello di autorizzazione solo aggiornamento per un modulo di InfoPath, Ho fatto il seguente:

1. Creare un nuovo livello di autorizzazione.
2. Sgombrare il campo da tutte le opzioni.
3. Selezionate solo le seguenti da "Autorizzazioni della lista":

• Modificare gli elementi
• Visualizza elementi
• Vedi le pagine dell'applicazione

Selezionando queste opzioni permette all'utente di aggiornare una forma, ma non crearlo.

Il trucco è stato quello di attivare la "visualizzazione pagine applicazione". Non c'è alcun verbage sul livello di autorizzazione che indica che è richiesta per i moduli di InfoPath solo aggiornamento, ma gira fuori di esso è.

Creare e aggiornare era ancora più strano. Ho seguito la stessa procedura, 1 attraverso 3 di sopra. Ho dovuto aggiungere specificamente un'autorizzazione di sito"" opzione: "Utilizzare le funzionalità di integrazione del client". Ancora una volta, Descrizione del non far sembrare che dovrebbe essere richiesto per un modulo di InfoPath, ma c'è.

</fine>

AGGIORNAMENTO 01/28/08: Questo progetto codeplex risolve questo problema: http://www.codeplex.com/AccessChecker. Non ho usato, ma sembra promettente, se questo è un problema che dovete indirizzo nel vostro ambiente.

AGGIORNAMENTO 11/13/08: Joel Oleson ha scritto un ottimo post sul più grande problema di gestione sicurezza qui: http://www.sharepointjoel.com/ Lists/Posts/Post.aspx?Lista = 0cd1a63d % 2D183c % 2D4fc2 %2 D 8320% 2Dba5369008acb&ID = 113. Si collega a un numero di altre risorse utili.

I clienti e gli utenti del forum chiedono spesso una domanda lungo queste linee: "Come generare un elenco di tutti gli utenti con accesso a un sito" o "come posso io automaticamente avvisare tutti gli utenti con accesso alla lista sulle modifiche apportate all'elenco?"

Non c'è nessun out soluzione per questo. Se ci pensate per un momento, non è difficile capire il perchè.

Protezione di SharePoint è molto flessibile. Ci sono almeno quattro principali categorie di utenti:

• Utenti anonimi.
• Gruppi e utenti di SharePoint.
• Active Directory utenti.
• L'autenticazione basata su form (FBA) utenti.

La flessibilità significa che da una prospettiva di sicurezza, qualsiasi sito di SharePoint specificato sarà drammaticamente diverso da un altro. Al fine di generare un report di access elenco, bisogna accertare come il sito viene protetto, query più repository di profilo di utente diverso e quindi di presentarlo in modo utile. Questo è un problema difficile da risolvere genericamente.

Come organizzazioni che fare con questo? Mi piacerebbe sentire da voi nei commenti o Posta elettronica.

</fine>

AGGIORNAMENTO 12/18/07: Vedere l'articolo di Paul Liebrand per alcune conseguenze tecniche di rimuovere o modificare i nomi di gruppo predefinito (vedere pure suo commento qui sotto).

Panoramica:

Protezione di SharePoint è facile da configurare e gestire. Tuttavia, ha dimostrato di essere difficile per alcuni amministratori prima volta davvero avvolgere le mani intorno ad esso. Non solo che, Ho visto alcuni amministratori di giungere ad una comprensione perfetta il lunedì solo per avere perso di venerdì perché non avevano alcuna configurazione nel frattempo. (Ammetto di avere questo problema io). Questo Blog speriamo che fornisce un utile primer di protezione di SharePoint e punti verso alcune procedure ottimali di configurazione.

Nota importante:

Questa descrizione si basa su out of the box di protezione di SharePoint. La mia esperienza personale è orientato intorno a MOSS, così ci possono essere alcune cose specifiche MOSS qui, ma credo che è preciso per WSS. Spero che chiunque vedendo eventuali errori o omissioni che verrà segnalare nei commenti o email me. Farò le correzioni fretta post.

Fondamenti:

Ai fini di questa panoramica, ci sono quattro aspetti fondamentali per la sicurezza: utenti/gruppi, oggetti a protezione diretta, ereditarietà e livelli di autorizzazione.

Utenti e gruppi break down to:

• Singoli utenti: Tirato da active directory o creato direttamente in SharePoint.
• Gruppi: Mappata direttamente da active directory o creati in SharePoint. I gruppi sono un insieme di utenti. I gruppi sono globali in una raccolta siti. Non sono mai "legati" per un oggetto a protezione diretta specifico.

Oggetti a protezione diretta rottura verso il basso per almeno:

• Siti
• Raccolte documenti
• Singoli elementi in elenchi e raccolte documenti
• Cartelle
• Varie impostazioni BDC.

Ci altri oggetti a protezione diretta, ma si ottiene l'immagine.

Livelli di autorizzazione: Un fascio di granulare / diritti di accesso a basso livello che includono tali cose come creare, leggere o eliminare voci negli elenchi.

Ereditarietà: Per impostazione predefinita le entità ereditano le impostazioni di protezione dal loro oggetto contenente. Siti secondari ereditano l'autorizzazione dai propri genitori. Raccolte documenti ereditano dal loro sito. E così via.

Gli utenti e i gruppi si riferiscono agli oggetti a protezione diretta tramite livelli di autorizzazione e l'eredità.

Norme di sicurezza più importanti per capire, mai :

1. I gruppi sono semplicemente raccolte degli utenti.
2. I gruppi sono globali all'interno di una raccolta siti (vale a dire. non non c'è nessuna tale cosa come un gruppo definito a livello di sito).
3. Nome del gruppo non sopportare, gruppi non, in e di se stessi, avere un livello specifico di sicurezza.
4. Gruppi hanno sicurezza nel contesto di uno specifico oggetto a protezione diretta.
5. È possibile assegnare livelli di autorizzazione diversi per lo stesso gruppo per ogni oggetto a protezione diretta.
6. Criteri di applicazione Web vincente tutto questo (vedi sotto).

Gli amministratori della protezione ha perduti in un mare di annunci gruppo e utente possono sempre contare su questi assiomi per gestire e capire la loro configurazione di sicurezza.

Trabocchetti comuni:

• I nomi dei gruppi falsamente implica l'autorizzazione: Out of the box, SharePoint definisce un insieme di gruppi i cui nomi implicano un livello intrinseco di sicurezza. Si consideri il gruppo di "Collaboratore". Uno sconosciuto con protezione di SharePoint può ben guardare quel nome e si supponga che ogni membro del gruppo può "contribuire" a qualsiasi sito/elenco/libreria nel portale. Questo può essere vero, ma non perché il nome del gruppo sembra essere "collaboratore". Questo è vero, fuori dalla scatola solo perché il gruppo è stato fornito un livello di autorizzazione che permette loro di aggiungere/modificare/eliminare contenuto nel sito radice. Tramite l'ereditarietà, i contribuenti"" gruppo può anche aggiungere/modificare/eliminare contenuto in ogni sub-sito. Uno può "spezzare" la catena di ereditarietà e cambia il livello di autorizzazione di un sito secondario tali che i membri del cosiddetto "contributore" gruppo non può contribuire a tutti, ma solo leggere (per esempio). Questo non sarebbe una buona idea, ovviamente, poiché sarebbe molto confusa.
• Gruppi non definiti a livello di sito. È facile essere confusi dall'interfaccia utente. Microsoft fornisce un comodo collegamento a gestione utente/gruppo via "utenti e gruppi di ogni sito" link. È facile credere che quando io sono al sito "xyzzy" e creare un gruppo attraverso persone di xyzzy e gruppi di link che ho appena creato un gruppo che esiste solo a xyzzy. Che non è il caso. In realtà ho creato un gruppo per l'intera raccolta siti.
• Appartenenza a gruppi non variano da sito (vale a dire. è lo stesso ovunque che il gruppo viene utilizzato): Si consideri il gruppo "proprietario" e due siti, "HR" e "Logistica". Sarebbe normale pensare che due individui separati sarebbero proprio quei siti — un proprietario di HR e un proprietario di logistica. L'interfaccia utente rende facile per un amministratore di sicurezza di maltrattare questo scenario. Se non ti conoscessi bene, Potrei accedere a persone e gruppi di link tramite il sito HR, selezionare i proprietari"" gruppo e aggiungere il mio proprietario di HR a tale gruppo. Un mese più tardi, Logistica arriva sulla linea. Accedere a persone e gruppi dal sito logistica, Aggiungi pull-up i proprietari"" gruppo. Vedo il proprietario HR c'e rimuovere il suo, pensando che lei sto rimuovendo dai proprietari con il sito di logistica. Infatti, Io la rimuovo dal gruppo globale proprietari. Segue ilarità.
• Mancanza di nome ai gruppi basati sul ruolo specifico: Responsabili dell'approvazione"" il gruppo è un perfetto esempio. Che cosa può membri di approvare questo gruppo? Dove essi possano approvarlo? Voglio davvero dipartimento di logistica di persone di essere in grado di approvare i documenti HR? Certo che no. Sempre un nome ai gruppi in base al loro ruolo all'interno dell'organizzazione. Questo ridurrà il rischio che il gruppo viene assegnato un livello di autorizzazione non corretti per un determinato oggetto a protezione diretta. Gruppi di nome basati sul loro ruolo previsto. Nello scenario precedente HR/logistica, Io dovrei aver creato due nuovi gruppi: "HR proprietari" e i proprietari di logistica"" e assegnare livelli di autorizzazione sensata per ciascuno e l'importo minimo richiesto per gli utenti di fare il loro lavoro.

Altri riferimenti utili:

• Web applicazione politica gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Stanza di compensazione per la protezione di SharePoint: http://www.sharepointsecurity.com/
• Collegamenti da Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Se hai fatto questo lontano:

Per favore fatemi sapere cosa ne pensate attraverso i commenti o email me. Se conoscete altre buone referenze, si prega di fare lo stesso!