კატეგორია არქივი: SharePoint Security

"წვდომა აკრძალულია” უნდა Default.aspx შესახებ SharePoint 2010 Sub საიტის

ერთი ჩემი კლიენტებს წავიდა პირდაპირ ეთერში მათი SharePoint 2010 გარემოს შეხვდა.  ჩვენ აღმოვაჩინეთ, რომ გარკვეული ჯგუფის წევრებს ვერ წვდომის მათი სტანდარტულ მთავარ გვერდზე.  SharePoint უპასუხა "წვდომა აკრძალულია" და ჩვეულებრივი "ნიშანი, როგორც სხვა მომხმარებლის" ან "მოითხოვონ" პასუხი. 

როდესაც ჩვენ გამოყენებული nifty "შემოწმება დაშვება" ფუნქცია დაადასტურა, რომ ბოლოს წევრებს მართლაც აქვთ ისარგებლონ.  თუმცა, მათ ბოლომდე ვერ გვერდზე.

I მოყვება ბევრი გზები სხვადასხვა მკვდარი მთავრდება მანამ, სანამ გადავწყვიტე შედარება ვებგვერდი ნაწილების დაზიანებული გვერდზე წინააღმდეგ ანალოგიური სამუშაო გვერდი.  მე რომ აყენებს გვერდი შენარჩუნების რეჟიმი დამატებით "?შინაარსი = 1 ", რათა გვერდი. ასე რომ,, ჩანდა "http://სერვერზე / subsite / subsite / default.aspx?შინაარსი = 1 ". 

ეს მიჩვენა ორი ვებგვერდი ნაწილების სახელწოდებით "შეცდომა" ერთად აღწერა, როგორიცაა "შეცდომა" დაზიანებული გვერდზე.  მე არ ვფიქრობ, მიიღოს ეკრანზე cap დროს.

მე ამოღებულ მათ და რომ გადაჭრა პრობლემა.

მე ვნახე კითხვა მსგავსი ამუშავება on ფორუმებში წარსულში და მე ძალიან სკეპტიკურად ვებ დაჟინებული, რომ მან უსაფრთხოების შეიქმნა სწორად.  მე ვიცი, მე მქონდა უსაფრთხოების შეიქმნა უფლება Smile  შემდეგი დროს, მე ვიქნები უფრო ღია და ნაკლებად სკეპტიკურად.

</ბოლო>

გამოწერა ჩემი დღიური.

გამომყვეს Twitter-ზე http://www.twitter.com/pagalvin

გამოყენება სამუშაოს სიმულაცია ინფორმაციის გაცნობის Security

მეორე დღე, კიდევ ერთი MSDN-forums შთაგონებული პოსტი.

ვიღაც ითხოვდა თუ არა მათ შეეძლოთ უზრუნველყონ ინფორმაციის ტიპი, რომ როდესაც მომხმარებელი დააჭერს "ახალი" ღილაკს საბაჟო სია, მხოლოდ შინაარსის ტიპის, რომლის, რომ ადამიანი შეშვება იქნებოდა გამოჩნდება ჩამოშლადი სია.  როგორც ვიცით,, ეს არ არის მხარდაჭერილი იმ ყუთი.

This question comes up now and then and this time, I had a new idea.  Let’s assume that we have scenario like this:

  • We have a helpdesk ticketing system.
  • The helpdesk ticketing system allows users to enter regular helpdesk ticket info, such as problem area, problem status, და ა.შ..
  • We want to allow “super” users to specify an “urgency” field.
  • Other users don’t have access to that field.  The system will always assign “medium” level priority to their requests.

What we could do is create two separate SharePoint lists and two different content types, one for “super” users and the other for everyone else.

Workflow on each list copies the data to the master list (the actual helpdesk ticket list) and the process proceeds from there.

This approach might work flow a kind of column level security as well. 

I haven’t tried it, but it feels reasonable and gives a fairly simple, if pretty rough, option to implement a kind of content type and even column level security.

</ბოლო>

გამოწერა ჩემი დღიური.

გამომყვეს Twitter-ზე http://www.twitter.com/pagalvin

ინფორმაციის დამტკიცება, როგორც ღარიბი ადამიანის ავტომატური საქონელი დონე Security

არსებობს საერთო ბიზნეს სცენარი InfoPath ფორმები.  ჩვენ გვინდა, რომ ხალხს შევსება InfoPath ფორმები და წარუდგენენ ბიბლიოთეკა.  ჩვენ გვინდა mangers (და არავინ) ჰქონდეს იმ ფორმებს.

ეს შეკითხვა მოდის ახლა და მერე ფორმები (e.g. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

A quick way to solve this is to enable content approval on the form library.  Go the library’s version settings and set it up as shown:

image 

Click on “Require content approval” and that will allow you to pick a value for Draft Item Security.

It’s a little counter-intuitive because we don’t think in terms of “content approval” when all we want to do is prevent people from seeing other users’ forms.  თუმცა, it works well (ჩემი გამოცდილება).  Just don’t approve those forms and they’ll always be considered “drafts”. 

Give approval rights to the people who should be able to see them and you’ve closed the loop.

This isn’t exactly big news, but the question does come up with some regularity, so I thought it would be worth posting.

</ბოლო>

გამოწერა ჩემი დღიური.

გამომყვეს Twitter-ზე http://www.twitter.com/pagalvin

რა არის შეზღუდული ყოველ შემთხვევაში?

განახლების 11/03/08: დარწმუნდით, რომ წავიკითხე შესანიშნავი და დეტალური კომენტარი Dessie Lunsford ამ თანამდებობაზე.

მე მუშაობა საიდუმლო ტექნიკური editing პროექტი მომავალი წიგნი და ეს ცნობას ამ დღიურში შესვლის by Tyler ბატლერ on MSDN ECM წაკითხვა. This is the first time I personally read a clear definition of the meaning of Limited Access. Here’s the meat of the definition:

In SharePoint, ანონიმური მომხმარებლები’ უფლებამოსილება განისაზღვრება შეზღუდული ნებართვა დონეზე. შეზღუდული არის სპეციალური ნებართვა დონეზე, რომ არ შეიძლება დაეკისროს მომხმარებლის ან ჯგუფის პირდაპირ. ამიტომ არსებობს ეს იმიტომ, რომ, თუ თქვენ გაქვთ ბიბლიოთეკის ან subsite რომ დაარღვია ნებართვების მემკვიდრეობის, და თქვენ შესახებ / ჯგუფის დაშვების მხოლოდ, რომ ბიბლიოთეკაში / subsite, რათა ნახოთ მისი შინაარსი, შესახებ / ჯგუფი უნდა ჰქონდეს გარკვეული დაშვება root ვებგვერდი. წინააღმდეგ შემთხვევაში შესახებ / ჯგუფს ვერ დაათვალიეროთ ბიბლიოთეკაში / subsite, მიუხედავად იმისა, რომ უფლებები აქვთ იქ, რადგან არსებობს რამ ძირეული ვებგვერდი, რომ საჭიროა გაუწიოს საიტი ან ბიბლიოთეკაში. ამიტომ, როდესაც თქვენ ჯგუფი ნებართვების მხოლოდ subsite ან ბიბლიოთეკა, რომელიც არღვევს ნებართვების მემკვიდრეობის, SharePoint ავტომატურად მისცეს შეზღუდული რომ ამ ჯგუფის ან მომხმარებლის შესახებ root ვებგვერდი.

ეს შეკითხვა მოდის ახლა და მერე MSDN ფორუმი და მე ყოველთვის აინტერესებს (მაგრამ არა აინტერესებს საკმარისი ტექსტური ის ადრე დატოვა :)).

</ბოლო>

გამოწერა ჩემი დღიური.

გამომყვეს Twitter-ზე http://www.twitter.com/pagalvin

პროგრამები Tags:

სწრაფი რჩევა: კონფიგურაცია უშიშროების დაუშვას Admins წვდომისათვის ნებისმიერი ჩემი საიტის SharePoint

In ნიშანი იმისა, რომ სოციალური Computing იწყება მიიღოს off ერთად SharePoint, I see an increased number of My Site type questions. One common question goes something like this:

"I am an administrator and I need to be able to access every My Site. How do I do that?"

The trick here is that each My Site is its own site collection. SharePoint security is normally administered at the site collection level and this trips up many a SharePoint administrator. როგორც წესი,, she already has access to configure security in the "main" საიტი კოლექციების და შეიძლება არ ესმოდეს, რომ ეს არ ავტომატურად მუშაობა ჩემი საიტები.

საიტის კოლექციების ერთობლივად ცხოვრობს შიგნით უფრო დიდი კონტეინერი, which is the web application. Farm admins can can configure security at the web app level and this is how admins can grant themselves access to any site collection in the web application. This blog entry describes one of my personal experiences with web application policies. I defined a web application policy by accident: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web application policies can be dangerous and I suggest that they be used sparingly. If I were an admin (და მადლობა ღმერთს მე არ ვარ), I would create a separate AD account named something like "SharePoint Web App Administrator" and give that one account the web application security role it needs. I would not configure this kind of thing for the regular farm admin or individual site collection admins. It will tend to hide potential problems because the web app role overrides any lower level security settings.

</ბოლო>

გამოწერა ჩემი დღიური.

გამომყვეს Twitter-ზე http://www.twitter.com/pagalvin

ნახვა და Columns on სიები და დოკუმენტი ბიბლიოთეკა არ შეიძლება დაცული

განახლების (02/29/08): ეს ახალი codeplex პროექტის ჩანს, რომ უზრუნველყოს მეთოდი უზრუნველყოფის ინდივიდუალური სვეტები: http://www.codeplex.com/SPListDisplaySetting. If you have any experience working with it, გთხოვთ დატოვოთ კომენტარი.

ფორუმი პლაკატები ხშირად ვთხოვთ კითხვა მსგავსი: "I have a manager view and and a staff view of a list. How do I secure the manager view so that staff can not use it?"

ისინი ასევე ხშირად ვთხოვთ დაკავშირებული კითხვა: "I want to secure a specific metadata column so that only managers may edit that column while others may not even see it."

These answers apply to both WSS 3.0 და MOSS:

  • SharePoint არ იძლევა out-of-the-box მხარდაჭერა უზრუნველყოფის ჩვენებები.
  • SharePoint არ იძლევა out-of-the-box მხარდაჭერა უსაფრთხოების სვეტები.

There are several techniques one can follow to meet these kinds of security requirements. Here’s what I can think of:

  • Use out-of-the-box item level security. Views always honor item level security configuration. Event receivers and/or workflow can automate security assignment.
  • Use personal views for "privileged" ჩვენებები. These are easy enough to set up. თუმცა, due to their "personal" ბუნების, these need to be configured for each user. Use standard security configuration to prevent anyone else from creating a personal view.
  • გამოყენება მონაცემების ხედი ვებგვერდი ნაწილი და განახორციელოს გარკვეული AJAXy უსაფრთხოების ჩასწორება გადაწყვეტა.
  • Roll საკუთარი ჩვენების ფუნქციონირება და ითვალისწინებდეს უსაფრთხოების ჩასწორება ზე სვეტი დონეზე.
  • შეცვლა მონაცემთა შეყვანის ფორმები და გამოყენება JavaScript ერთად უსაფრთხოების მოდელის განხორციელება სვეტი დონის უსაფრთხოების ჩასწორება.
  • Use an InfoPath form for data entry. Implement column-level security trimming via web service calls to SharePoint and conditionally hide fields as needed.
  • Roll თქვენი ASP.NET მონაცემთა შეყვანის ფუნქცია, ახორციელებს სვეტი დონის უსაფრთხოების ჩასწორება.

არა იმ პარამეტრების მართლაც რომ დიდი, მაგრამ არსებობს სულ ცოტა გზა დაიცვას, თუ თქვენ უნდა, მაშინაც კი, თუ ეს რთული.

შენიშვნა: თუ თქვენ დაცემას რომელიმე ამ ბილიკები, don’t forget about "Actions -> Open with Windows Explorer". You want to be sure that you test with that feature to make sure that it doesn’t work as a "back door" და დაამარცხებს თქვენი უსაფრთხოების სქემა.

თუ თქვენ გაქვთ სხვა იდეები ან გამოცდილებას უზრუნველყოფის სვეტები და შეხედულების, გთხოვთ მომაწოდეთ ან დატოვონ კომენტარი და მე განაახლოს ეს განთავსებას, როგორც შესაბამისი.

</ბოლო>

გამოწერა ჩემი დღიური.

პროგრამები Tags:

Solution: System.IO.FileNotFoundException შესახებ “SPSite = new SPSite(url)”

განახლების: მე განთავსებული ამ საკითხთან დაკავშირებით MSDN აქ (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) and Michael Washam of Microsoft responded with a concise answer.

მე შევქმენი ვებ სერვისი იმოქმედოს, როგორც BDC მეგობრული ფასადი to a SharePoint list. When I used this from my development environment, იგი მუშაობდა ჯარიმა. როცა წავიდნენ ამ ახალ სერვერზე, მე შეექმნა ამ შეცდომის:

System.IO.FileNotFoundException: ვებ განაცხადი http://localhost/sandbox ვერ. შემოწმება, რომ თქვენ აკრეფილი URL სწორად. თუ URL უნდა იყოს ემსახურება არსებული შინაარსი, სისტემის ადმინისტრატორის უნდა დაამატოთ ახალი მოთხოვნის URL რუკების წინასწარ განზრახული განაცხადის. ზე Microsoft.SharePoint.SPSite .. ctor(SPFarm მეურნეობა, Uri requestUri, ლოგიკური contextSite, SPUserToken userToken) ზე Microsoft.SharePoint.SPSite .. ctor(სიმებიანი requestUrl) ზე Conchango.xyzzy.GetExistingDocument(სიმებიანი minId, სიმებიანი maxId, სიმებიანი ტიტული ფილტრი) in C:\დოკუმენტები და პარამეტრები პოლ ჩემი დოკუმენტები Visual Studio 2005 პროექტები xyzzy BDC_DocReview BDC_DocReview DocReviewFacade.asmx.cs:ხაზი 69

აქ არის ხაზზე 69:

გამოყენებით (SPSite საიტი = new SPSite("http://localhost/sandbox"))

მე შევეცადე სხვადასხვა ვარიაციები URL, მათ შორის გამოყენებით სერვერზე ნამდვილი სახელი, მისი IP მისამართი, არასასურველი დახრილ ხაზებს on URL, და ა.შ.. I always got that error.

მე Google to research it. Lots of people face this issue, ან ვარიაციები ეს, მაგრამ არავინ ჩანდა, რომ ეს გადაწყდება.

Tricksy MOSS თუ ასეთი დეტალური შეცდომა, რომ ეს არ მოხდეს ჩემთვის, რათა შეამოწმოს 12 hive logs. Eventually, შესახებ 24 საათის შემდეგ ჩემს კოლეგას რეკომენდაცია I გაკეთება, მე გადამოწმებული 12 hive ჟურნალი და აღმოჩნდა ამ:

გამონაკლისი მოხდა, ხოლო ცდილობს შეიძინოს ადგილობრივი მეურნეობა:
System.Security.SecurityException: მოთხოვნილი რეესტრის ხელმისაწვდომობის ნებადართული არ არის.
ზე System.ThrowHelper.ThrowSecurityException(ExceptionResource რესურსი) ზე
(სიმებიანი სახელი, ლოგიკური ჩაწერადი) ზე
(სიმებიანი სახელი) ზე
() ზე
() ზე
(SPFarm& ფერმის, ლოგიკური& isJoined)
ზონა ასამბლეას, რომ ვერ მოხერხდა იყო:  MyComputer

ეს გაიხსნა ახალი გამზირის კვლევის, ასე რომ იყო უკან Google. რომ გამიყვანა ამ ფორუმზე პოსტი: http://forums.codecharge.com / posts.php?post_id = 67135. That didn’t really help me but it did start making me think there was a database and/or security issue. I soldiered on and ანდრია CONNELL ნახვა post finally triggered the thought that I should make sure that the application pool’s identity account had appropriate access to the database. I thought it already did. თუმცა, ჩემი კოლეგა წავიდა და მისცა ოთახი აუზი პირადობის ანგარიშის სრული წვდომა SQL.

როგორც კი მან გააკეთა, რომ ცვლილება, everything started working.

რა მოხდა ყველაზე გამოხატული Haiku პოემა:

პრობლემები ამაღლება ხელში.
You swing and miss. Try again.
წარმატება! But how? რატომ?

მან არ სურს დატოვოს რამ მარტო, როგორიცაა, რომ, უნდოდათ, რათა მინიმალური ნებართვა (და ალბათ თვალი წერილობით წაკითხვა შესვლის; მე სცემეს მისი punch, muhahahahaha!).

მან ამოღებულ თანმიმდევრული ნებართვა ოთახი აუზი პირადობის ანგარიშზე, სანამ … there was no longer any explicit permission for the app pool identity account at all. The web service continued to work just fine.

We went and rebooted the servers. Everything continued to work fine.

ასე რომ,, to Recap: we gave the app pool identity full access and then took it away. The web service started working and never stopped working. Bizarre.

თუ ვინმე იცის, თუ რატომ არ უნდა მუშაობდნენ, გთხოვთ დატოვოთ კომენტარი.

</ბოლო>

პროგრამები Tags:

მინიმალური უშიშროების საჭირო InfoPath ფორმები

I needed to meet a security requirement for an InfoPath form today. In this business situation, a relatively small number of individuals are allowed to create a new InfoPath form and a much wider audience are allowed to edit it. (ეს არის ახალი აყვანის on-ინტერნატის ფორმა მიერ გამოყენებული ადამიანური რესურსების, რომ იწყებს workflow).

To meet that objective, I created created two new permission levels ("create and update" and "update only"), broke inheritance for the form library and assigned permissions to a "create, განახლება" user and a separate "update only" შესახებ. The mechanics all worked, but it turned out to be a little more involving than I expected. (If you feel a little shaky on SharePoint permissions, check out this blog post). The required security configuration for the permission level was not the obvious set of granular permissions. To create an update-only permission level for an InfoPath form, I did the following:

  1. Create a new permission level.
  2. Clear away all options.
  3. Selected only the following from "List permissions":
    • Edit Items
    • View Items
    • View Application Pages

Selecting these options allows a user to update a form, but not create it.

The trick was to enable the "View Application Pages". There isn’t any verbage on the permission level that indicates that’s required for update-only InfoPath forms, but turns out it is.

Create-and-Update was even stranger. I followed the same steps, 1 through 3 ზემოთ. I had to specifically add a "Site Permission" option: "Use client integration features". ისევ, the description there does not make it seem like it ought to be required for an InfoPath form, but there it is.

</ბოლო>

პროგრამები Tags: ,

SharePoint არ იძლევა “ვის ძებნა” ანგარიშები

განახლების 01/28/08: ეს codeplex პროექტის მიმართავს ამ საკითხზე: http://www.codeplex.com/AccessChecker. I have not used it, მაგრამ გამოიყურება პერსპექტიული თუ ეს საკითხი თქვენ უნდა მიმართოს თქვენს გარემოს.

განახლების 11/13/08: ჯოელ Oleson წერდა up ძალიან კარგი პოსტი, რომელიც დიდი უსაფრთხოების მართვის საკითხი აქ: http://www.sharepointjoel.com / სიების / წერილები / Post.aspx?2D4fc2 2D183c% 2D8320%%% სიაში = 0cd1a63d 2Dba5369008acb&ID = 113. It links to a number of other useful resources.

ფორუმის წევრებს და კლიენტებს ხშირად კითხვა ერთად ამ ხაზები: "როგორ გენერირება სიას მომხმარებლების ხელმისაწვდომობის საიტი" ან "როგორ ავტომატურად პირთა ყველა მომხმარებლების შესვლა სიაში შესახებ ცვლილებების ჩამონათვალი?"

There is no out of the box solution for this. If you think about it for a moment, ეს არ არის ძნელი მესმის, რატომ.

SharePoint security is very flexible. There are at least four major categories of users:

  • დამალული წევრი.
  • SharePoint წევრები და ჯგუფები.
  • Active Directory წევრებს.
  • ადგენს დაფუძნებული ავთენტიფიკაცია (FBA) მომხმარებელი.

მოქნილობა იმას ნიშნავს, რომ უსაფრთხოების პერსპექტივა, any given SharePoint site will be dramatically different from another. In order to generate an access list report, ერთი უნდა დადგინდეს, თუ როგორ საიტი არის დაცული, query multiple different user profile repositories and then present it in a useful fashion. That’s a hard problem to solve generically.

როგორ ხდება ორგანიზაციების საქმე ამ? I’d love to hear from you in comments or ელ.

</ბოლო>

პროგრამები Tags: ,

SharePoint უსაფრთხოების საფუძვლები პირველი / თავიდან აცილების მიზნით ერთიანი უარყოფითი მხარეები

განახლების 12/18/07: აგრეთვე პოლ Liebrand სტატია გარკვეული ტექნიკური შედეგებზე მოხსნის ან შეცვლის სტანდარტულ ჯგუფის სახელები (ვხედავ მის კომენტარის ქვემოთ ასევე).

მიმოხილვა:

SharePoint security is easy to configure and manage. თუმცა, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (ვაღიარებ, რომელსაც ეს პრობლემა თავს). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

მნიშვნელოვანი შენიშვნა:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or მომაწოდეთ. I’ll make corrections post haste.

საფუძვლები:

მიზნებისათვის ამ მიმოხილვა, არსებობს ოთხი ფუნდამენტური ასპექტი უსაფრთხოების: წევრებს / ჯგუფები, securable ობიექტების, ნებართვა დონეზე და მემკვიდრეობის.

მომხმარებელთა და ჯგუფების ჩაშლის:

  • ინდივიდუალური წევრებს: გამოყვანილია საწყისი აქტიური დირექტორია ან შექმნილი პირდაპირ SharePoint.
  • ჯგუფები: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" კონკრეტული securable ობიექტი.

Securable ობიექტების ნგრევა მაინც:

  • საიტები
  • დოკუმენტი ბიბლიოთეკების
  • ინდივიდუალური ნივთები სიები და დოკუმენტი ბიბლიოთეკების
  • საქაღალდეები
  • სხვადასხვა BDC პარამეტრები.

არსებობს სხვა securable ობიექტების, მაგრამ თქვენ სურათს.

ნებართვა დონეზე: Bundle of მარცვლოვანი / low level access rights that include such things as create/read/delete entries in lists.

მემკვიდრეობის: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

მომხმარებელთა და ჯგუფების ეხება securable ობიექტების მეშვეობით ნებართვა დონეზე და მემკვიდრეობის.

ყველაზე მნიშვნელოვანი უსაფრთხოების წესები უნდა გვესმოდეს,, ოდესმე :

  1. ჯგუფები, უბრალოდ კოლექციებში წევრებს.
  2. ჯგუფები გლობალური ფარგლებში საიტი კოლექციაში (i.e. არ არსებობს ასეთი რამ, როგორც ჯგუფის განსაზღვრა საიტი დონეზე).
  3. ჯგუფის სახელი არ გაუძლოს, ჯგუფები არ, და თავს, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. თქვენ შეუძლია დანიშნოს სხვადასხვა ნებართვა დონეზე იგივე ჯგუფი ყოველ securable ობიექტი.
  6. ვებ პროგრამები პოლიტიკის ტრამპი ყველა ამ (ქვემოთ).

უშიშროების ადმინისტრატორები დაკარგული ზღვის ჯგუფური და შესახებ განცხადების ყოველთვის შეგიძლიათ დაეყრდნოთ ამ axioms მართვა და ესმის მათი უსაფრთხოების კონფიგურაცია.

საერთო უარყოფითი მხარეები:

  • ჯგუფი სახელები მოჩვენებითი გულისხმობს ნებართვა: იმ ყუთში, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" ჯგუფი ვერ შეუწყობს ყველა, მაგრამ მხოლოდ წაიკითხა (მაგალითად). This would not be a good idea, აშკარად, მას შემდეგ, რაც იქნებოდა ძალიან დამაბნეველი.
  • ჯგუფები არ არის განსაზღვრული ერთი საიტი დონეზე. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" ბმული. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • ჯგუფები წევრობის არ იცვლება საიტი (i.e. ეს ყველგან იგივე ჯგუფის გამოიყენება): Consider the group "Owner" და ორი საიტები, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, მე შეიძლება წვდომის ხალხი და ჯგუფები კავშირების მეშვეობით HR საიტი, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. სინამდვილეში, I’m removing her from the global Owners group. Hilarity ensues.
  • ვერ ასახელებს ჯგუფების საფუძველზე კონკრეტული როლი: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, მე უნდა შექმნა ორი ახალი ჯგუფები: "HR Owners" and "Logistics Owners" და მივანიჭოთ საღად მოაზროვნე ნებართვა დონეზე თითოეული და მინიმალური საჭირო იმ წევრებს, ყველაფერი გააკეთონ სამუშაო.

სხვადასხვა სასარგებლო წყაროები:

თუ თქვენ გახადა ამ შორეულ:

Please let me know your thoughts via the comments or email me. If you know other good references, გთხოვთ, იგივე!

პროგრამები Tags: