განახლების 12/18/07: აგრეთვე პოლ Liebrand სტატია გარკვეული ტექნიკური შედეგებზე მოხსნის ან შეცვლის სტანდარტულ ჯგუფის სახელები (ვხედავ მის კომენტარის ქვემოთ ასევე).
მიმოხილვა:
SharePoint security is easy to configure and manage. თუმცა, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (ვაღიარებ, რომელსაც ეს პრობლემა თავს). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.
მნიშვნელოვანი შენიშვნა:
This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or მომაწოდეთ. I’ll make corrections post haste.
საფუძვლები:
მიზნებისათვის ამ მიმოხილვა, არსებობს ოთხი ფუნდამენტური ასპექტი უსაფრთხოების: წევრებს / ჯგუფები, securable ობიექტების, ნებართვა დონეზე და მემკვიდრეობის.
მომხმარებელთა და ჯგუფების ჩაშლის:
- ინდივიდუალური წევრებს: გამოყვანილია საწყისი აქტიური დირექტორია ან შექმნილი პირდაპირ SharePoint.
- ჯგუფები: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" კონკრეტული securable ობიექტი.
Securable ობიექტების ნგრევა მაინც:
- საიტები
- დოკუმენტი ბიბლიოთეკების
- ინდივიდუალური ნივთები სიები და დოკუმენტი ბიბლიოთეკების
- საქაღალდეები
- სხვადასხვა BDC პარამეტრები.
არსებობს სხვა securable ობიექტების, მაგრამ თქვენ სურათს.
ნებართვა დონეზე: Bundle of მარცვლოვანი / low level access rights that include such things as create/read/delete entries in lists.
მემკვიდრეობის: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.
მომხმარებელთა და ჯგუფების ეხება securable ობიექტების მეშვეობით ნებართვა დონეზე და მემკვიდრეობის.
ყველაზე მნიშვნელოვანი უსაფრთხოების წესები უნდა გვესმოდეს,, ოდესმე :
- ჯგუფები, უბრალოდ კოლექციებში წევრებს.
- ჯგუფები გლობალური ფარგლებში საიტი კოლექციაში (i.e. არ არსებობს ასეთი რამ, როგორც ჯგუფის განსაზღვრა საიტი დონეზე).
- ჯგუფის სახელი არ გაუძლოს, ჯგუფები არ, და თავს, have any particular level of security.
- Groups have security in the context of a specific securable object.
- თქვენ შეუძლია დანიშნოს სხვადასხვა ნებართვა დონეზე იგივე ჯგუფი ყოველ securable ობიექტი.
- ვებ პროგრამები პოლიტიკის ტრამპი ყველა ამ (ქვემოთ).
უშიშროების ადმინისტრატორები დაკარგული ზღვის ჯგუფური და შესახებ განცხადების ყოველთვის შეგიძლიათ დაეყრდნოთ ამ axioms მართვა და ესმის მათი უსაფრთხოების კონფიგურაცია.
საერთო უარყოფითი მხარეები:
- ჯგუფი სახელები მოჩვენებითი გულისხმობს ნებართვა: იმ ყუთში, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" ჯგუფი ვერ შეუწყობს ყველა, მაგრამ მხოლოდ წაიკითხა (მაგალითად). This would not be a good idea, აშკარად, მას შემდეგ, რაც იქნებოდა ძალიან დამაბნეველი.
- ჯგუფები არ არის განსაზღვრული ერთი საიტი დონეზე. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" ბმული. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
- ჯგუფები წევრობის არ იცვლება საიტი (i.e. ეს ყველგან იგივე ჯგუფის გამოიყენება): Consider the group "Owner" და ორი საიტები, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, მე შეიძლება წვდომის ხალხი და ჯგუფები კავშირების მეშვეობით HR საიტი, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. სინამდვილეში, I’m removing her from the global Owners group. Hilarity ensues.
- ვერ ასახელებს ჯგუფების საფუძველზე კონკრეტული როლი: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, მე უნდა შექმნა ორი ახალი ჯგუფები: "HR Owners" and "Logistics Owners" და მივანიჭოთ საღად მოაზროვნე ნებართვა დონეზე თითოეული და მინიმალური საჭირო იმ წევრებს, ყველაფერი გააკეთონ სამუშაო.
სხვადასხვა სასარგებლო წყაროები:
- ვებ პროგრამები პოლიტიკის GOTCHA ნახვა: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Clearinghouse for SharePoint უსაფრთხოების: http://www.sharepointsecurity.com/
- Links from Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
თუ თქვენ გახადა ამ შორეულ:
Please let me know your thoughts via the comments or email me. If you know other good references, გთხოვთ, იგივე!