업데이트 11/03/08: 우수 하 고 상세한 의견을 읽어 해야 합니다. Dessie Lunsford 이 게시물에.

나-오고 책에 대 한 비밀 기술 편집 프로젝트에서 일하고 그리고 참조 MSDN ECM 블로그에 타일러 버틀러에 의해이 블로그 항목. 이것은 내가 개인적으로 제한 된 액세스의 의미의 명확한 정의 읽고 처음으로. 여기는 정의의 고기는:

SharePoint에서, 익명 사용자’ 권한이 제한 된 액세스 권한 수준에 따라. 제한 된 액세스는 특별 한 사용 권한 수준을 사용자에 게 할당할 수 없습니다 또는 직접 그룹. 그것은 존재 하는 이유는 경우 라이브러리 또는 하위 사이트를 사용 권한 상속을 깨진 했기 때문에, 사용자/그룹 액세스만 그 도서관/하위를 제공, 그 내용을 보기 위해, 사용자/그룹 루트 웹에 대 한 일부 액세스가 있어야 합니다.. 그렇지 않으면 사용자/그룹 라이브러리 또는 하위 사이트를 탐색할 수 있게 됩니다., 비록 그들이 거기에 권한이, 루트 웹에서 사이트 또는 라이브러리를 렌더링 하는 데 필요한 것 들이 있기 때문에. 따라서, 하위 사이트 또는 라이브러리 사용 권한 상속을 깨는 것입니다에 그룹 사용 권한을 줄 때, SharePoint 루트 웹에 해당 사용자나 그룹에 자동으로 제한 된 액세스를 제공 합니다..

이 질문에와 서 지금 그리고 MSDN 포럼 그리고 난 항상 궁금 했습니다. (하지만 하지 오늘 전에 알아낼 정도로 호기심 :)).

</끝>

내 블로그를 구독.

에 지 저 귐에 나를 따르라합니다 http://www.twitter.com/pagalvin

소셜 컴퓨팅은 sharepoint 벗고 시작 로그인, 내 사이트 유형 질문의 증가 수를 보고. 1 개의 일반적인 질문은 이런 식:

"나는 관리자와 모든 내 사이트에 액세스할 수 있이 필요가. 어떻게 그 일을 합니까?"

여기 트릭은 각 내 사이트는 자체 사이트 모음. SharePoint 보안은 일반적으로 사이트 모음 수준에서 관리 하 고이 많은를 SharePoint 관리자 여행. 일반적으로, 그녀는 이미 "main에서 보안 구성에 대 한 액세스를 했다" 사이트 모음 및이 자동으로 내 사이트에 대 한 작동 하지 않습니다 실현 하지 않을 수 있습니다.

집합적으로 더 큰 컨테이너 내부 라이브 사이트 모음, 웹 응용 프로그램입니다. 팜 관리자는 보안 웹 응용 프로그램 수준에서 구성할 수 있습니다 하 고 이것이 어떻게 관리자 권한을 부여할 수 있습니다 스스로 웹 응용 프로그램의 모든 사이트 모음에 대 한 액세스. 이 블로그 항목 설명 웹 응용 프로그램 정책에 대 한 내 개인적인 경험의 하나. 나는 사고에 정의한 웹 응용 프로그램 정책: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

웹 응용 프로그램 정책을 위험할 수 있다, 그들은 아껴 서 사용을 하는 것이 좋습니다.. 만약 내가 관리자 (다행 난 아니에요), "SharePoint 웹 응용 프로그램 관리자 같은 이름의 별도 광고 계정을 만들 것입니다." 게 하나의 계정을 웹 응용 프로그램 보안 역할 필요. 이런이 종류의 일반 농장 관리자 또는 개별 사이트 모음 관리자에 대 한 일을 구성 하지 것 이다. 그것은 웹 응용 프로그램 역할 어떤 낮은 수준의 보안 설정 보다 우선 하기 때문에 잠재적인 문제를 숨길 경향이 있을 것 이다.

</끝>

내 블로그를 구독.

에 지 저 귐에 나를 따르라합니다 http://www.twitter.com/pagalvin

업데이트 (02/29/08): 이 새로운 codeplex 프로젝트는 개별 열을 보호 하기 위한 방법을 제공 같다: http://www.codeplex.com/SPListDisplaySetting. 경험이 어떤 그것을 사용 하는 경우, 코멘트를 남겨 주세요.

이 같은 질문 자주 포럼 포스터: "나는 관리자 보기 및 목록의 직원 보기. 직원 하지 그것을 사용할 수 있도록 내가 어떻게 관리자 보기를 보호 하려면?"

그들은 또한 빈번 하 게 관련 질문: "다른 사람이 볼 수 없습니다 심지어 그것 동안 관리자만 해당 열을 편집할 수 있습니다 특정 메타 데이터 열을 확보 하 고 싶습니다."

이러한 답변 모두 WSS에 적용 3.0 그리고 모스:

• SharePoint 조회를 보호 하기 위한 밖으로의 상자 지원을 제공 하지 않습니다..
• SharePoint 보안 열 상자 밖으로 지원 제공 하지 않습니다..

이러한 종류의 보안 요구 사항 충족 하기 위해 몇 가지 기술을 하나 따를 수 있다. 여기 내가 생각할 수 있는 것은:

• 아웃-오브-더-박스 항목 수준 보안을 사용 하 여. 조회 항상 명예 항목 레벨 보안 구성. 이벤트 수신기 및 워크플로 보안 할당을 자동화할 수 있습니다..
• "특권에 대 한 개인 보기를 사용 하 여" 레이아웃. 이들은 쉽게 설정. 그러나, 때문에 그들의 "개인" 자연, 이러한 각 사용자에 대해 구성할 필요가. 표준 보안 구성을 사용 하 여 개인 보기 만들기에서 다른 사람을 방지합니다.
• 데이터 뷰 웹 파트를 사용 하 고 AJAXy 보안 트리밍 솔루션의 어떤 종류를 구현.
• 롤 목록 표시 기능 및 열 수준 보안 조정 통합.
• 데이터 입력 폼을 수정 하 고 보안 모델과 함께에서 JavaScript를 사용 하 여 열 수준 보안 트리밍을 구현 하.
• InfoPath 양식을 사용 하 여 데이터 입력. SharePoint 및 조건에 따라 필요한 만큼 숨기기 필드에 웹 서비스 호출을 통해 열 수준 보안 트리밍을 구현합니다.
• 열 수준 보안 트리밍을 구현 하는 당신의 자신의 ASP.NET 데이터 항목 기능을 롤.

이러한 옵션의 아무도 정말 좋은, 하지만 적어도 당신이 해야 하는 경우에 따라 경로, 하드 경우에.

참고: 만약 당신이 이러한 경로 중 하나, "작업-에 대 한 잊지 마세요> Windows 탐색기로 열기 ". 당신이 원하는 확실 하 게 뒷문 "으로 작동 하지 않는 다는 것을 확인 하는 기능을 테스트 하는" 보안 체계를 패배.

다른 아이디어 나 열 또는 뷰 확보와 경험, 제발 이메일 날 또는 덧 글을 남길 하 고 적절 한이 게시물을 업데이 트 거 야.

</끝>

내 블로그를 구독.

업데이트: 내가 여기 MSDN에이 질문을 게시 (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) 마이크로소프트의 Michael Washam 간결한 답변으로 응답.

역할 웹 서비스를 생성 한 BDC 친화적인 외관 SharePoint 목록에. 내가 나의 개발 환경에서 이것을 사용 하는 경우, 그것은 잘 작동 했다. 때 새 서버를이 마이그레이션, 이 오류를 발생:

여기 라인은 69:

사용 하 여 (SPSite 사이트 새로운 SPSite =("http://localhost/sandbox"))

URL에 다른 유사 콘텐츠를 시도, 서버의 실제 이름을 사용 하 여 포함 하 여, 그것의 IP 주소, URL에 후행 슬래시, 등. 난 항상 그 오류를가지고.

나 사용 구글 그것을 연구 하. 이 문제를 직면 하는 많은 사람들이, 또는 그것의 유사, 하지만 아무도 그것을 해결 하는 듯.

Tricksy 모스 제공 등 자세한 오류를 확인 하려면 나에 게 발생 하지 않은 12 하이브 로그. 결국, 에 대 한 24 시간 후 내 동료 내가 그렇게 권장, 밖으로 체크는 12 로그 하이브 그리고 발견:

현지 농장을 취득 하는 동안 예외가 발생 했습니다.:
System.Security.SecurityException: 요청 된 레지스트리 액세스가 허용 되지 않습니다..
System.ThrowHelper.ThrowSecurityException에서(ExceptionResource 리소스) Microsoft.Win32.RegistryKey.OpenSubKey에서(문자열 이름, 쓰기 가능한 부울) Microsoft.Win32.RegistryKey.OpenSubKey에서(문자열 이름) Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString에서() Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local에서() Microsoft.SharePoint.Administration.SPFarm.FindLocal에서(SPFarm& 농장, 부울& isJoined)
실패 한 어셈블리의 영역이 했다:  MyComputer

이 연구의 새로운 길 열어, 그래서 다시 했다 구글. 그이를 알려준 포럼 게시물: http://forums.codecharge.com/posts.php?post_id 67135 =. 그 정말 내게 도움이 되지 않았다 하지만 데이터베이스 및/또는 보안 문제를 생각을 만드는 시작 했다. 에 soldiered 및 앤드류 Connell 나 응용 프로그램 풀 id 계정 데이터베이스에 대 한 적절 한 액세스를 했다 있는지 확인 합니다 생각 마지막으로 트리거 게시. 난 이미 했 어 생각. 그러나, 내 동료 갔다와 sql 응용 프로그램 풀 신원 계정 전체 액세스를 준.

최대한 빨리 그녀가 그 변경, 모든 일을 하기 시작 했다.

무슨 일이 다음 최고의 표현으로 하이쿠 시:

문제는 그들의 손을 들어합니다.
당신은 스윙과 미스. 다시 시도.
성공! 하지만 어떻게? 왜?

그녀 혼자 그런 것 들을 두고 싶지 않 았 어, 최소 필요한 권한을 주고 선호 (아마 눈 블로그 항목을 작성 하 고; 펀치에 그녀를 이길합니다, muhahahahaha!).

그녀는까지 응용 프로그램 풀 id 계정에서 연속 사용 권한 제거 … 거기는 더 이상 응용 프로그램 풀 id 계정에 대 한 모든 명시적 사용 권한에서 모든. 계속 잘 작동 하는 웹 서비스.

우리는 서 하 고 서버를 다시 부팅. 모든 좋은 일을 계속.

그래서, 정리해 보 하려면: 우리는 응용 프로그램 풀 신원 전체 액세스를 준 하 고 멀리 했다. 웹 서비스 작업을 시작 하 고 결코 작동을 멈췄습니다.. 기괴 한.

누구 든 지 왜 그 일을 해야 안다면, 코멘트를 남겨 주세요.

</끝>

오늘 InfoPath 양식에 대 한 보안 요구를 충족 하는 데 필요한. 이 비즈니스 상황에서, 개인의 비교적 적은 수 새 InfoPath 양식을 만들 수 있습니다. 하 고 훨씬 넓은 청중 그것을 편집할 수 있습니다.. (이것은 새로운 고용 탑재 형태 인적 자원에 의해 사용 되는 워크플로 실행 하).

그 목표에 맞게, 내가 만든된 두 개의 새 사용 권한 수준을 만든 ("만들기 및 업데이트" 그리고 "만 업데이트 한다."), 양식 라이브러리에 대 한 상속을 파산 하 고 권한을 할당 만들기 "를, 업데이트" 사용자와 별도 "업데이트를만" 사용자. 일 모든 역학, 하지만 그것은 예상 했던 것 보다 조금 더 관련 된 것으로 밝혀졌다. (SharePoint 사용 권한에 조금 흔들리는 경우, 이 블로그 게시물을 체크 아웃). 사용 권한 수준에 대 한 필수 보안 구성이 했다 명백한 세분화 된 사용 권한 집합. InfoPath 양식에 대 한 업데이트 전용 권한 수준을 만들려면, 했던:

1. 새 사용 권한 수준 만들기.
2. 멀리 모든 옵션의 선택을 취소합니다.
3. 만 "목록 사용 권한"에서 다음을 선택:

• 항목 편집
• 항목 보기
• 응용 프로그램 페이지 보기

폼을 업데이트 하려면 사용자 수 있습니다이 옵션을 선택 하면, 하지만 그것을 창조 하지.

"보기 응용 프로그램 페이지"를 사용 하는 트릭은. 업데이트 전용 InfoPath 양식에 대 한 필요한 사용 권한 수준을 나타내는에 어떤 verbage가 없다, 회전 하지만 그것은.

만들기 및 업데이트는 심지어 낯선. 동일한 단계를 따라, 1 통해 3 위. 난 특별히 "사이트 사용 권한을 추가 했다" 옵션: "클라이언트 통합 기능 사용". 다시, 거기 설명 해야한다 InfoPath 양식에 대 한 필요 같은 것을 만들지 않는다, 하지만 거기.

</끝>

업데이트 01/28/08: 이 문제를 해결 하는이 codeplex 프로젝트: http://www.codeplex.com/AccessChecker. 나는 그것을 사용 하지 않은, 그러나이 경우 사용자 환경에서 해결 해야 하는 문제 같네요.

업데이트 11/13/08: Joel Oleson 큰 보안 관리 문제를 여기에 아주 좋은 포스트를 썼다: http://www.sharepointjoel.com/Lists/Posts/Post.aspx?목록 0cd1a63d% 2d183c% 2D4fc2 %2 D 8320 -ba5369008acb =&ID = 113. 그것은 다양 한 다른 유용한 자료 링크.

자주 질문 하는이 라인을 따라 질문 포럼 사용자와 클라이언트: "어떻게 할 내가 생성 한 사이트에 액세스할 수 있는 모든 사용자의 목록을" 또는 "어떻게 내가 자동으로 알릴 수 있습니다 목록에 대 한 변경에 대 한 목록에 액세스할 수 있는 모든 사용자?"

이 박스 솔루션의 밖 으로가 있다. 만약 당신이 잠시 동안 그것에 대해 생각, 그것은 왜 이해 하기 어려운.

SharePoint 보안은 매우 유연. 사용자의 적어도 4 개 주요 종류가 있다:

• 익명 사용자.
• SharePoint 사용자 및 그룹.
• Active Directory 사용자.
• 폼 기반 인증 (FBA) 사용자.

보안 관점에서 의미 있는 유연성, 지정된 된 SharePoint 사이트에서 다른 극적으로 다를 것 이다. 액세스 목록 보고서를 생성., 한 사이트의 보안을 확인할 필요가, 여러 개의 서로 다른 사용자 프로필 저장소를 쿼리 및 유용한 패션 선물. 그건 일반적으로 해결 하기 어려운 문제.

어떻게이 취급 하는 단체? 의견에 당신에 게 서 듣고 싶지만 또는 메일 주소.

</끝>

업데이트 12/18/07: 제거 또는 기본 그룹 이름 수정 몇 가지 기술적인 결과 대 한 폴 Liebrand의 문서를 참조 하십시오 (뿐만 아니라 그의 코멘트를 아래를 참조합니다).

개요:

SharePoint 보안 구성 및 관리 하기 쉽습니다.. 그러나, 그것은 정말 주위에 손을 포장 일부 처음 관리자에 대 한 어려운 것을 입증 했다. 뿐만 아니라, 내가 본 그들은 중간 시간에 어떤 구성을 수행 하지 않았기 때문에 금요일까지 그것을 잃 었에 월요일에 대 한 완벽 한 이해에와 서 일부 관리자. (이 문제가 자신을 인정합니다). 이 블로그 항목 잘하면 유용한 SharePoint 보안 입문서를 제공 하 고 보안 구성 유용한 향해 포인트.

중요 참고:

이 설명 상자의 SharePoint 보안 기반. 내 개인적인 경험으로는 동쪽으로 향하게 모스 주위 모스 특정 물건 여기 있을 수 있습니다., 하지만 난 그것은 WSS에 대 한 정확한. 그 사람이 어떤 오류 또는 누락을 보고 지적할 것 이다 그 의견에 희망 또는 이메일 날. 수정 서둘러 게시물을 만들 거 야.

기본 사항:

이 개요의 목적을 위해, 4 개의 기본적인 측면 보안: 사용자/그룹, 보안 개체, 사용 권한 수준 및 상속.

사용자 및 그룹 내려 휴식:

• 개별 사용자: 디렉토리 또는 SharePoint에서 직접 만든 활성에서 뽑아.
• 그룹: Active directory에서 직접 매핑된 또는에 만든 SharePoint. 그룹은 사용자의 컬렉션. 그룹은 사이트 모음에서 글로벌. 그들은 결코 "묶인" 특정 보안 개체에.

보안 개체 적어도 다운 휴식:

• 사이트
• 문서 라이브러리
• 목록 및 문서 라이브러리의 개별 항목
• 폴더
• 다양 한 BDC 설정.

거기 다른 보안 개체, 그러나 당신은 그림.

사용 권한 수준: 세분화 된 번들 / 목록에 항목 만들기/읽기/삭제 같은 것 들을 포함 하는 낮은 수준의 액세스 권한.

상속: 기본적으로 엔터티 그들의 포함 하는 개체에서 보안 설정 상속. 하위 사이트는 부모 로부터 권한을 상속합니다. 자신의 사이트에서 상속 하는 문서 라이브러리. 등등에.

사용자 및 그룹 사용 권한 수준 상속을 통해 보안 개체와 관련.

가장 중요 한 보안 규칙 이해, 적 🙂 :

1. 그룹은 단순히 사용자의 컬렉션.
2. 그룹은 사이트 모음 내에서 글로벌 (즉. 사이트 수준에서 정의 된 그룹 같은 건 없다).
3. 견딜 수 없는 그룹 이름, 그룹 안, 시내와 스스로의, 보안의 특정 수준을.
4. 그룹에 특정 보안 개체의 맥락에 있는 보안.
5. 모든 보안 개체에 대 한 같은 그룹에 서로 다른 사용 권한 수준을 할당할 수 있습니다..
6. 웹 응용 프로그램 정책을 트럼프의이 모든 (아래 참조).

보안 관리자 그룹 및 사용자 목록의 바다에서 길을 잃 었 수 있습니다 항상 관리 하 고 그들의 보안 구성을 이해 하려면 이러한 공리계에 의존.

일반적인 함정:

• 그룹 이름 잘못 권한을 암시합니다: 상자, SharePoint 그룹 이름이 암시는 고유의 보안 수준 집합을 정의 합니다.. 그룹 "참가자" 고려. 한 SharePoint 보안에 익숙하지 수 있습니다 잘 그 이름 확인 하 고 해당 그룹의 모든 구성원 기여할 수 있다는"가정" 포털에서 사이트/목록/라이브러리에. 그 사실 수 있습니다 하지만 되지 않기 때문에 그룹의 이름을 "참가자" 발생. 이 사실이 상자 그룹 추가/편집/삭제 콘텐츠 루트 사이트에 그들을 가능 하 게 하는 권한 수준이 제공 되었습니다 있기 때문에. 상속을 통해, "기여자" 그룹 추가/편집/삭제 모든 하위 사이트에서 콘텐츠 수 있습니다.. 하나 끊을 수 있다 "" 상속 체인 및 이러한 하위 사이트의 권한 수준 변경 소위 "참가자의 해당 회원" 그룹에 기여할 수 없습니다., 하지만 읽기 전용 (예를 들어). 이 좋은 아이디어를 되지 않을 것 이라고, 분명히, 그것은 매우 혼란 스러운 것 이기 때문.
• 그룹 사이트 수준에서 정의 되지 않은. 그것은 사용자 인터페이스에 의해 혼동 하기 쉬운. Microsoft는 모든 사이트의 "사람들 및 그룹을 통해 사용자/그룹 관리에 편리한 링크를 제공합니다." 링크. 내가 사이트 "xyzzy 있을 때 생각 하기 쉽습니다." 그리고 난 xyzzy의 사람들을 통해 서 그룹 만들고 그룹 난 그냥 xyzzy에만 존재 하는 그룹 만든 연결. 이 아닌 경우. 실제로 만든 전체 사이트 모음에 대 한 그룹.
• 그룹 회원 사이트에 의해 달라 지지 않는다 (즉. 그것은 같은 그룹을 사용 하는 어디에 나): "소유자 그룹을 고려" 그리고 두 사이트, "HR" "물류". 그것은 두 명의 별도 개인 사이트를 자신의 것 이라고 생각 하는 정상적인 것 — HR 소유자와 물류 소유자. 사용자 인터페이스를 쉽게 mishandle이 시나리오를 보안 관리자에 대 한. 내가 더 잘 알고 하지 않은 경우, 인사 관리 사이트를 통해 사용자 및 그룹 링크를 액세스할 수 있습니다., "소유자 선택" 그룹화 하 고 해당 그룹 내 HR 소유자를 추가. 한 달 후, 물류 라인에 온다. 나 물류 사이트에서 사용자 및 그룹 액세스, "소유자 올려 추가" 그룹. 거기 시간 소유자를 참조 하 고 그녀를 제거합니다, 생각 하는 나 물류 사이트 소유자에서 그녀을 제거 해요. 사실, 글로벌 소유자 그룹에서 그녀을 제거합니다. 환희가 ensues.
• 특정 역할에 따라 이름 그룹 실패: "승인자" 그룹은 완벽 한 예제. 이 그룹 승인의 회원 수 있습니다? 어디 그들은 그것을 승인할 수 있습니다? 정말 사람들이 물류 부서 HR 문서를 승인할 수 있어야 할까요? 당연 하지. 조직 내에서 역할에 따라 항상 이름 그룹. 이 그룹이 특정 보안 개체에 대 한 부적절 한 사용 권한 수준을 할당 하 고 그 위험을 줄일 것입니다.. 그들의 의도 된 역할에 따라 이름 그룹. 이전 시간/물류 시나리오, 나 두 새로운 그룹을 창조 한다: "HR 소유자" "물류 소유자" 각각에 대 한 재치 있는 사용 권한 수준 및 해당 사용자가 자신의 일을 할 수에 필요한 최소 금액을 할당 하 고.

다른 유용한 참조:

• 웹 응용 프로그램 정책 과제: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• SharePoint 보안에 대 한 교환: http://www.sharepointsecurity.com/
• Joel Oleson에서 링크: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

만약 당신이 그것을 만들 었 어이:

의견을 통해 귀하의 의견 또는 이메일로 내게 알려 주십시오. 만약 당신이 다른 좋은 참조, 동일한 작업을 수행 하시기 바랍니다!