카테고리 아카이브: SharePoint 보안

"액세스가 거부 되었습니다.” Sharepoint에 default.aspx를 2010 하위 사이트

내 고객 중 하나는 그들의 Sharepoint와 함께 살고 갔다 2010 오늘 환경입니다.  우리는 사용자가 특정 그룹의 기본 홈 페이지에 액세스할 수 없습니다 발견.  SharePoint 반응 "액세스 거부"와 평소 "기호에 다른 사용자로" 또는 "액세스 요청" 응답. 

우리가 간지 "액세스 확인" 기능을 이용 하는 경우는 최종 사용자가 정말 있었나요 액세스 확인 합니다.  아직, 그들은 페이지를 가져올 수 없습니다..

비슷한 작업 페이지에 대 한 끊어진된 페이지에서 웹 파트를 비교 하기로 다양 한 죽은 끝에도 많이 따라.  페이지를 추가 하 여 유지 관리 모드에서 퍼 팅에 의해 그를 했 어 "?내용 = 1 "페이지. 그래서, 그것은 "http 처럼 보였다://server/subsite/subsite/default.aspx?내용 = 1 ". 

이 두 줬 웹 파트 "오류" 라는 깨진된 페이지에 "오류"와 같은 설명이 있습니다.  당시 화면 모자를 생각 하지 않았다.

그들을 제거 하 고 문제를 해결 하는.

본 적이 서 같은 질문을 포럼에 과거와 그 보안을 제대로 설정 했다 포스터의 주장에 대해 매우 회의적 이었다.  난 * 알고 * 오른쪽 설정 보안을 했다 미소  다음 번, 더 개방적이 고 덜 회의 있을 거 야.

</끝>

내 블로그를 구독.

에 지 저 귐에 나를 따르라합니다 http://www.twitter.com/pagalvin

워크플로 사용 하 여 콘텐츠 형식을 보안 시뮬레이션

또 다른 하루, 다른 MSDN 포럼 게시물 영감.

누군가 여부 그들은 수 있는 보안 콘텐츠 형식 같은 사용자 지정 목록에 "새로운" 버튼을 클릭할 때 부탁 했다, 만 그 사람이 액세스를 부여 하는 콘텐츠 형식을 드롭다운 목록에 나타납니다.  우리가 알고, 이 상자 밖으로 지원 되지 않습니다..

이제 다음와이 시간이이 질문이 올라옵니다., 나는 새로운 아이디어를 했다.  우리는이 같은 시나리오를 가정해 봅시다:

  • 우리는 발권 시스템 헬프데스크.
  • 헬프 데스크 티켓 시스템 사용자가 일반 헬프 데스크 티켓 정보를 입력 하도록 허락, 문제 영역 등, 문제 상태, 등.
  • 우리는 "긴급" 필드를 지정 하려면 "슈퍼" 사용자 수 있게..
  • 다른 사용자가 해당 필드에 액세스할 필요가.  시스템 그들의 요청에 항상 "보통" 수준 우선 순위를 할당 합니다..

우리가 할 수 있는 두 개의 별도 SharePoint 목록 및 두 개의 서로 다른 콘텐츠 형식 만들기, "슈퍼" 사용자와 다른 사람 다른 하나.

각 목록에서 워크플로 데이터를 복사 합니다 마스터 목록 (실제 헬프 데스크 티켓 목록) 그리고 거기에서 진행 하는 과정.

이 방법은 통할 흐름 뿐만 아니라 열 수준 보안의 종류. 

나는 그것을 시도 하지 않은, 하지만 적당 한 느낌과 상당히 간단 제공, 꽤 거친 경우, 콘텐츠 형식 및 열 수준 보안도의 종류를 구현 하는 옵션.

</끝>

내 블로그를 구독.

에 지 저 귐에 나를 따르라합니다 http://www.twitter.com/pagalvin

가난한 사람의 자동 항목 레벨 보안으로 콘텐츠 승인

InfoPath 양식 일반적인 비즈니스 시나리오는.  우리는 InfoPath 양식을 작성 하 고 라이브러리에 제출할 수 있도록 합니다.  우리가 원하는 관리자 (그리고 또 다른 사람이) 이러한 폼에 액세스할 수.

이 질문 나오면 이제 다음 양식 (예를 들어. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

이 문제를 해결 하는 빠른 방법을 양식 라이브러리에서 콘텐츠 승인을 사용 하도록 설정 하는.  라이브러리의 버전 설정 이동 및 최대 표시 설정:

image 

"콘텐츠 승인이 필요" 클릭 하 고 그 초안 항목 보안에 대 한 값을 선택 하면 됩니다..

그것은 조금 직관적인 우리 "콘텐츠 승인"의 관점에서 생각 하지 않는다 때문에 다른 사용자의 폼 보기에서 사람을 방지 하기는 우리 모두가 해야 합니다.  그러나, 그것은 잘 작동 (내 경험에).  그냥 그 형태를 승인 하지 않습니다 그리고 그들은 항상 "초안" 이라고 여겨질 것 이다. 

그들을 볼 수 있어야 하는 사람들에 게 승인 권리 루프 폐쇄.

이것은 정확 하 게 큰 뉴스, 하지만 질문 몇 가지 규칙 함께 올지 않습니다., 그래서 그것은 게시 가치가 있을 것 이라고 생각.

</끝>

내 블로그를 구독.

에 지 저 귐에 나를 따르라합니다 http://www.twitter.com/pagalvin

제한 된 액세스 어쨌든 무엇입니까?

업데이트 11/03/08: 우수 하 고 상세한 의견을 읽어 해야 합니다. Dessie Lunsford 이 게시물에.

나-오고 책에 대 한 비밀 기술 편집 프로젝트에서 일하고 그리고 참조 MSDN ECM 블로그에 타일러 버틀러에 의해이 블로그 항목. 이것은 내가 개인적으로 제한 된 액세스의 의미의 명확한 정의 읽고 처음으로. 여기는 정의의 고기는:

SharePoint에서, 익명 사용자’ 권한이 제한 된 액세스 권한 수준에 따라. 제한 된 액세스는 특별 한 사용 권한 수준을 사용자에 게 할당할 수 없습니다 또는 직접 그룹. 그것은 존재 하는 이유는 경우 라이브러리 또는 하위 사이트를 사용 권한 상속을 깨진 했기 때문에, 사용자/그룹 액세스만 그 도서관/하위를 제공, 그 내용을 보기 위해, 사용자/그룹 루트 웹에 대 한 일부 액세스가 있어야 합니다.. 그렇지 않으면 사용자/그룹 라이브러리 또는 하위 사이트를 탐색할 수 있게 됩니다., 비록 그들이 거기에 권한이, 루트 웹에서 사이트 또는 라이브러리를 렌더링 하는 데 필요한 것 들이 있기 때문에. 따라서, 하위 사이트 또는 라이브러리 사용 권한 상속을 깨는 것입니다에 그룹 사용 권한을 줄 때, SharePoint 루트 웹에 해당 사용자나 그룹에 자동으로 제한 된 액세스를 제공 합니다..

이 질문에와 서 지금 그리고 MSDN 포럼 그리고 난 항상 궁금 했습니다. (하지만 하지 오늘 전에 알아낼 정도로 호기심 :)).

</끝>

내 블로그를 구독.

에 지 저 귐에 나를 따르라합니다 http://www.twitter.com/pagalvin

테크노 태그:

빠른 팁: Sharepoint에서 모든 내 사이트에 액세스할 수 있도록 관리자는 보안 구성

소셜 컴퓨팅은 sharepoint 벗고 시작 로그인, 내 사이트 유형 질문의 증가 수를 보고. 1 개의 일반적인 질문은 이런 식:

"나는 관리자와 모든 내 사이트에 액세스할 수 있이 필요가. 어떻게 그 일을 합니까?"

여기 트릭은 각 내 사이트는 자체 사이트 모음. SharePoint 보안은 일반적으로 사이트 모음 수준에서 관리 하 고이 많은를 SharePoint 관리자 여행. 일반적으로, 그녀는 이미 "main에서 보안 구성에 대 한 액세스를 했다" 사이트 모음 및이 자동으로 내 사이트에 대 한 작동 하지 않습니다 실현 하지 않을 수 있습니다.

집합적으로 더 큰 컨테이너 내부 라이브 사이트 모음, 웹 응용 프로그램입니다. 팜 관리자는 보안 웹 응용 프로그램 수준에서 구성할 수 있습니다 하 고 이것이 어떻게 관리자 권한을 부여할 수 있습니다 스스로 웹 응용 프로그램의 모든 사이트 모음에 대 한 액세스. 이 블로그 항목 설명 웹 응용 프로그램 정책에 대 한 내 개인적인 경험의 하나. 나는 사고에 정의한 웹 응용 프로그램 정책: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

웹 응용 프로그램 정책을 위험할 수 있다, 그들은 아껴 서 사용을 하는 것이 좋습니다.. 만약 내가 관리자 (다행 난 아니에요), "SharePoint 웹 응용 프로그램 관리자 같은 이름의 별도 광고 계정을 만들 것입니다." 게 하나의 계정을 웹 응용 프로그램 보안 역할 필요. 이런이 종류의 일반 농장 관리자 또는 개별 사이트 모음 관리자에 대 한 일을 구성 하지 것 이다. 그것은 웹 응용 프로그램 역할 어떤 낮은 수준의 보안 설정 보다 우선 하기 때문에 잠재적인 문제를 숨길 경향이 있을 것 이다.

</끝>

내 블로그를 구독.

에 지 저 귐에 나를 따르라합니다 http://www.twitter.com/pagalvin

테크노 태그: ,

뷰와 목록 및 문서 라이브러리에 열을 보안 수 없습니다.

업데이트 (02/29/08): 이 새로운 codeplex 프로젝트는 개별 열을 보호 하기 위한 방법을 제공 같다: http://www.codeplex.com/SPListDisplaySetting. 경험이 어떤 그것을 사용 하는 경우, 코멘트를 남겨 주세요.

이 같은 질문 자주 포럼 포스터: "나는 관리자 보기 및 목록의 직원 보기. 직원 하지 그것을 사용할 수 있도록 내가 어떻게 관리자 보기를 보호 하려면?"

그들은 또한 빈번 하 게 관련 질문: "다른 사람이 볼 수 없습니다 심지어 그것 동안 관리자만 해당 열을 편집할 수 있습니다 특정 메타 데이터 열을 확보 하 고 싶습니다."

이러한 답변 모두 WSS에 적용 3.0 그리고 모스:

  • SharePoint 조회를 보호 하기 위한 밖으로의 상자 지원을 제공 하지 않습니다..
  • SharePoint 보안 열 상자 밖으로 지원 제공 하지 않습니다..

이러한 종류의 보안 요구 사항 충족 하기 위해 몇 가지 기술을 하나 따를 수 있다. 여기 내가 생각할 수 있는 것은:

  • 아웃-오브-더-박스 항목 수준 보안을 사용 하 여. 조회 항상 명예 항목 레벨 보안 구성. 이벤트 수신기 및 워크플로 보안 할당을 자동화할 수 있습니다..
  • "특권에 대 한 개인 보기를 사용 하 여" 레이아웃. 이들은 쉽게 설정. 그러나, 때문에 그들의 "개인" 자연, 이러한 각 사용자에 대해 구성할 필요가. 표준 보안 구성을 사용 하 여 개인 보기 만들기에서 다른 사람을 방지합니다.
  • 데이터 뷰 웹 파트를 사용 하 고 AJAXy 보안 트리밍 솔루션의 어떤 종류를 구현.
  • 롤 목록 표시 기능 및 열 수준 보안 조정 통합.
  • 데이터 입력 폼을 수정 하 고 보안 모델과 함께에서 JavaScript를 사용 하 여 열 수준 보안 트리밍을 구현 하.
  • InfoPath 양식을 사용 하 여 데이터 입력. SharePoint 및 조건에 따라 필요한 만큼 숨기기 필드에 웹 서비스 호출을 통해 열 수준 보안 트리밍을 구현합니다.
  • 열 수준 보안 트리밍을 구현 하는 당신의 자신의 ASP.NET 데이터 항목 기능을 롤.

이러한 옵션의 아무도 정말 좋은, 하지만 적어도 당신이 해야 하는 경우에 따라 경로, 하드 경우에.

참고: 만약 당신이 이러한 경로 중 하나, "작업-에 대 한 잊지 마세요> Windows 탐색기로 열기 ". 당신이 원하는 확실 하 게 뒷문 "으로 작동 하지 않는 다는 것을 확인 하는 기능을 테스트 하는" 보안 체계를 패배.

다른 아이디어 나 열 또는 뷰 확보와 경험, 제발 이메일 날 또는 덧 글을 남길 하 고 적절 한이 게시물을 업데이 트 거 야.

</끝>

내 블로그를 구독.

테크노 태그:

솔루션: 에 System.IO.FileNotFoundException “SPSite 새로운 SPSite =(url)”

업데이트: 내가 여기 MSDN에이 질문을 게시 (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) 마이크로소프트의 Michael Washam 간결한 답변으로 응답.

역할 웹 서비스를 생성 한 BDC 친화적인 외관 SharePoint 목록에. 내가 나의 개발 환경에서 이것을 사용 하는 경우, 그것은 잘 작동 했다. 때 새 서버를이 마이그레이션, 이 오류를 발생:

System.IO.FileNotFoundException: 웹 응용 프로그램에서 http://localhost/sandbox 찾을 수 없습니다.. URL를 제대로 입력 했습니다 확인. URL는 기존 콘텐츠를 제공 해야 하는 경우, 시스템 관리자가 새 요청 URL 매핑을 원하는 응용 프로그램에 추가 해야 할 수도 있습니다.. Microsoft.SharePoint.SPSite.에생성자(SPFarm 농장, Uri requestUri, 부울 contextSite, SPUserToken userToken) Microsoft.SharePoint.SPSite.에생성자(문자열 requestUrl) Conchango.xyzzy.GetExistingDocument에서(문자열 minId, 문자열 maxId, 문자열 titleFilter) C에서:\문서 및 SettingsPaulMy DocumentsVisual Studio 2005ProjectsxyzzyBDC_DocReviewBDC_DocReviewDocReviewFacade.asmx.cs:라인 69

여기 라인은 69:

사용 하 여 (SPSite 사이트 새로운 SPSite =("http://localhost/sandbox"))

URL에 다른 유사 콘텐츠를 시도, 서버의 실제 이름을 사용 하 여 포함 하 여, 그것의 IP 주소, URL에 후행 슬래시, 등. 난 항상 그 오류를가지고.

나 사용 구글 그것을 연구 하. 이 문제를 직면 하는 많은 사람들이, 또는 그것의 유사, 하지만 아무도 그것을 해결 하는 듯.

Tricksy 모스 제공 등 자세한 오류를 확인 하려면 나에 게 발생 하지 않은 12 하이브 로그. 결국, 에 대 한 24 시간 후 내 동료 내가 그렇게 권장, 밖으로 체크는 12 로그 하이브 그리고 발견:

현지 농장을 취득 하는 동안 예외가 발생 했습니다.:
System.Security.SecurityException: 요청 된 레지스트리 액세스가 허용 되지 않습니다..
System.ThrowHelper.ThrowSecurityException에서(ExceptionResource 리소스) Microsoft.Win32.RegistryKey.OpenSubKey에서(문자열 이름, 쓰기 가능한 부울) Microsoft.Win32.RegistryKey.OpenSubKey에서(문자열 이름) Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString에서() Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local에서() Microsoft.SharePoint.Administration.SPFarm.FindLocal에서(SPFarm& 농장, 부울& isJoined)
실패 한 어셈블리의 영역이 했다:  MyComputer

이 연구의 새로운 길 열어, 그래서 다시 했다 구글. 그이를 알려준 포럼 게시물: http://forums.codecharge.com/posts.php?post_id 67135 =. 그 정말 내게 도움이 되지 않았다 하지만 데이터베이스 및/또는 보안 문제를 생각을 만드는 시작 했다. 에 soldiered 및 앤드류 Connell 나 응용 프로그램 풀 id 계정 데이터베이스에 대 한 적절 한 액세스를 했다 있는지 확인 합니다 생각 마지막으로 트리거 게시. 난 이미 했 어 생각. 그러나, 내 동료 갔다와 sql 응용 프로그램 풀 신원 계정 전체 액세스를 준.

최대한 빨리 그녀가 그 변경, 모든 일을 하기 시작 했다.

무슨 일이 다음 최고의 표현으로 하이쿠 시:

문제는 그들의 손을 들어합니다.
당신은 스윙과 미스. 다시 시도.
성공! 하지만 어떻게? 왜?

그녀 혼자 그런 것 들을 두고 싶지 않 았 어, 최소 필요한 권한을 주고 선호 (아마 눈 블로그 항목을 작성 하 고; 펀치에 그녀를 이길합니다, muhahahahaha!).

그녀는까지 응용 프로그램 풀 id 계정에서 연속 사용 권한 제거 … 거기는 더 이상 응용 프로그램 풀 id 계정에 대 한 모든 명시적 사용 권한에서 모든. 계속 잘 작동 하는 웹 서비스.

우리는 서 하 고 서버를 다시 부팅. 모든 좋은 일을 계속.

그래서, 정리해 보 하려면: 우리는 응용 프로그램 풀 신원 전체 액세스를 준 하 고 멀리 했다. 웹 서비스 작업을 시작 하 고 결코 작동을 멈췄습니다.. 기괴 한.

누구 든 지 왜 그 일을 해야 안다면, 코멘트를 남겨 주세요.

</끝>

테크노 태그:

InfoPath 양식에 대 한 필요한 최소 보안

오늘 InfoPath 양식에 대 한 보안 요구를 충족 하는 데 필요한. 이 비즈니스 상황에서, 개인의 비교적 적은 수 새 InfoPath 양식을 만들 수 있습니다. 하 고 훨씬 넓은 청중 그것을 편집할 수 있습니다.. (이것은 새로운 고용 탑재 형태 인적 자원에 의해 사용 되는 워크플로 실행 하).

그 목표에 맞게, 내가 만든된 두 개의 새 사용 권한 수준을 만든 ("만들기 및 업데이트" 그리고 "만 업데이트 한다."), 양식 라이브러리에 대 한 상속을 파산 하 고 권한을 할당 만들기 "를, 업데이트" 사용자와 별도 "업데이트를만" 사용자. 일 모든 역학, 하지만 그것은 예상 했던 것 보다 조금 더 관련 된 것으로 밝혀졌다. (SharePoint 사용 권한에 조금 흔들리는 경우, 이 블로그 게시물을 체크 아웃). 사용 권한 수준에 대 한 필수 보안 구성이 했다 명백한 세분화 된 사용 권한 집합. InfoPath 양식에 대 한 업데이트 전용 권한 수준을 만들려면, 했던:

  1. 새 사용 권한 수준 만들기.
  2. 멀리 모든 옵션의 선택을 취소합니다.
  3. 만 "목록 사용 권한"에서 다음을 선택:
    • 항목 편집
    • 항목 보기
    • 응용 프로그램 페이지 보기

폼을 업데이트 하려면 사용자 수 있습니다이 옵션을 선택 하면, 하지만 그것을 창조 하지.

"보기 응용 프로그램 페이지"를 사용 하는 트릭은. 업데이트 전용 InfoPath 양식에 대 한 필요한 사용 권한 수준을 나타내는에 어떤 verbage가 없다, 회전 하지만 그것은.

만들기 및 업데이트는 심지어 낯선. 동일한 단계를 따라, 1 통해 3 위. 난 특별히 "사이트 사용 권한을 추가 했다" 옵션: "클라이언트 통합 기능 사용". 다시, 거기 설명 해야한다 InfoPath 양식에 대 한 필요 같은 것을 만들지 않는다, 하지만 거기.

</끝>

테크노 태그: ,

Sharepoint를 제공 하지 않습니다. “액세스 권한이 있는 사용자” 보고서

업데이트 01/28/08: 이 문제를 해결 하는이 codeplex 프로젝트: http://www.codeplex.com/AccessChecker. 나는 그것을 사용 하지 않은, 그러나이 경우 사용자 환경에서 해결 해야 하는 문제 같네요.

업데이트 11/13/08: Joel Oleson 큰 보안 관리 문제를 여기에 아주 좋은 포스트를 썼다: http://www.sharepointjoel.com/Lists/Posts/Post.aspx?목록 0cd1a63d% 2d183c% 2D4fc2 %2 D 8320 -ba5369008acb =&ID = 113. 그것은 다양 한 다른 유용한 자료 링크.

자주 질문 하는이 라인을 따라 질문 포럼 사용자와 클라이언트: "어떻게 할 내가 생성 한 사이트에 액세스할 수 있는 모든 사용자의 목록을" 또는 "어떻게 내가 자동으로 알릴 수 있습니다 목록에 대 한 변경에 대 한 목록에 액세스할 수 있는 모든 사용자?"

이 박스 솔루션의 밖 으로가 있다. 만약 당신이 잠시 동안 그것에 대해 생각, 그것은 왜 이해 하기 어려운.

SharePoint 보안은 매우 유연. 사용자의 적어도 4 개 주요 종류가 있다:

  • 익명 사용자.
  • SharePoint 사용자 및 그룹.
  • Active Directory 사용자.
  • 폼 기반 인증 (FBA) 사용자.

보안 관점에서 의미 있는 유연성, 지정된 된 SharePoint 사이트에서 다른 극적으로 다를 것 이다. 액세스 목록 보고서를 생성., 한 사이트의 보안을 확인할 필요가, 여러 개의 서로 다른 사용자 프로필 저장소를 쿼리 및 유용한 패션 선물. 그건 일반적으로 해결 하기 어려운 문제.

어떻게이 취급 하는 단체? 의견에 당신에 게 서 듣고 싶지만 또는 메일 주소.

</끝>

테크노 태그: ,

SharePoint 보안 기초 입문 / 일반적인 함정을 피하기 위해

업데이트 12/18/07: 제거 또는 기본 그룹 이름 수정 몇 가지 기술적인 결과 대 한 폴 Liebrand의 문서를 참조 하십시오 (뿐만 아니라 그의 코멘트를 아래를 참조합니다).

개요:

SharePoint 보안 구성 및 관리 하기 쉽습니다.. 그러나, 그것은 정말 주위에 손을 포장 일부 처음 관리자에 대 한 어려운 것을 입증 했다. 뿐만 아니라, 내가 본 그들은 중간 시간에 어떤 구성을 수행 하지 않았기 때문에 금요일까지 그것을 잃 었에 월요일에 대 한 완벽 한 이해에와 서 일부 관리자. (이 문제가 자신을 인정합니다). 이 블로그 항목 잘하면 유용한 SharePoint 보안 입문서를 제공 하 고 보안 구성 유용한 향해 포인트.

중요 참고:

이 설명 상자의 SharePoint 보안 기반. 내 개인적인 경험으로는 동쪽으로 향하게 모스 주위 모스 특정 물건 여기 있을 수 있습니다., 하지만 난 그것은 WSS에 대 한 정확한. 그 사람이 어떤 오류 또는 누락을 보고 지적할 것 이다 그 의견에 희망 또는 이메일 날. 수정 서둘러 게시물을 만들 거 야.

기본 사항:

이 개요의 목적을 위해, 4 개의 기본적인 측면 보안: 사용자/그룹, 보안 개체, 사용 권한 수준 및 상속.

사용자 및 그룹 내려 휴식:

  • 개별 사용자: 디렉토리 또는 SharePoint에서 직접 만든 활성에서 뽑아.
  • 그룹: Active directory에서 직접 매핑된 또는에 만든 SharePoint. 그룹은 사용자의 컬렉션. 그룹은 사이트 모음에서 글로벌. 그들은 결코 "묶인" 특정 보안 개체에.

보안 개체 적어도 다운 휴식:

  • 사이트
  • 문서 라이브러리
  • 목록 및 문서 라이브러리의 개별 항목
  • 폴더
  • 다양 한 BDC 설정.

거기 다른 보안 개체, 그러나 당신은 그림.

사용 권한 수준: 세분화 된 번들 / 목록에 항목 만들기/읽기/삭제 같은 것 들을 포함 하는 낮은 수준의 액세스 권한.

상속: 기본적으로 엔터티 그들의 포함 하는 개체에서 보안 설정 상속. 하위 사이트는 부모 로부터 권한을 상속합니다. 자신의 사이트에서 상속 하는 문서 라이브러리. 등등에.

사용자 및 그룹 사용 권한 수준 상속을 통해 보안 개체와 관련.

가장 중요 한 보안 규칙 이해, 적 🙂 :

  1. 그룹은 단순히 사용자의 컬렉션.
  2. 그룹은 사이트 모음 내에서 글로벌 (즉. 사이트 수준에서 정의 된 그룹 같은 건 없다).
  3. 견딜 수 없는 그룹 이름, 그룹 안, 시내와 스스로의, 보안의 특정 수준을.
  4. 그룹에 특정 보안 개체의 맥락에 있는 보안.
  5. 모든 보안 개체에 대 한 같은 그룹에 서로 다른 사용 권한 수준을 할당할 수 있습니다..
  6. 웹 응용 프로그램 정책을 트럼프의이 모든 (아래 참조).

보안 관리자 그룹 및 사용자 목록의 바다에서 길을 잃 었 수 있습니다 항상 관리 하 고 그들의 보안 구성을 이해 하려면 이러한 공리계에 의존.

일반적인 함정:

  • 그룹 이름 잘못 권한을 암시합니다: 상자, SharePoint 그룹 이름이 암시는 고유의 보안 수준 집합을 정의 합니다.. 그룹 "참가자" 고려. 한 SharePoint 보안에 익숙하지 수 있습니다 잘 그 이름 확인 하 고 해당 그룹의 모든 구성원 기여할 수 있다는"가정" 포털에서 사이트/목록/라이브러리에. 그 사실 수 있습니다 하지만 되지 않기 때문에 그룹의 이름을 "참가자" 발생. 이 사실이 상자 그룹 추가/편집/삭제 콘텐츠 루트 사이트에 그들을 가능 하 게 하는 권한 수준이 제공 되었습니다 있기 때문에. 상속을 통해, "기여자" 그룹 추가/편집/삭제 모든 하위 사이트에서 콘텐츠 수 있습니다.. 하나 끊을 수 있다 "" 상속 체인 및 이러한 하위 사이트의 권한 수준 변경 소위 "참가자의 해당 회원" 그룹에 기여할 수 없습니다., 하지만 읽기 전용 (예를 들어). 이 좋은 아이디어를 되지 않을 것 이라고, 분명히, 그것은 매우 혼란 스러운 것 이기 때문.
  • 그룹 사이트 수준에서 정의 되지 않은. 그것은 사용자 인터페이스에 의해 혼동 하기 쉬운. Microsoft는 모든 사이트의 "사람들 및 그룹을 통해 사용자/그룹 관리에 편리한 링크를 제공합니다." 링크. 내가 사이트 "xyzzy 있을 때 생각 하기 쉽습니다." 그리고 난 xyzzy의 사람들을 통해 서 그룹 만들고 그룹 난 그냥 xyzzy에만 존재 하는 그룹 만든 연결. 이 아닌 경우. 실제로 만든 전체 사이트 모음에 대 한 그룹.
  • 그룹 회원 사이트에 의해 달라 지지 않는다 (즉. 그것은 같은 그룹을 사용 하는 어디에 나): "소유자 그룹을 고려" 그리고 두 사이트, "HR" "물류". 그것은 두 명의 별도 개인 사이트를 자신의 것 이라고 생각 하는 정상적인 것 — HR 소유자와 물류 소유자. 사용자 인터페이스를 쉽게 mishandle이 시나리오를 보안 관리자에 대 한. 내가 더 잘 알고 하지 않은 경우, 인사 관리 사이트를 통해 사용자 및 그룹 링크를 액세스할 수 있습니다., "소유자 선택" 그룹화 하 고 해당 그룹 내 HR 소유자를 추가. 한 달 후, 물류 라인에 온다. 나 물류 사이트에서 사용자 및 그룹 액세스, "소유자 올려 추가" 그룹. 거기 시간 소유자를 참조 하 고 그녀를 제거합니다, 생각 하는 나 물류 사이트 소유자에서 그녀을 제거 해요. 사실, 글로벌 소유자 그룹에서 그녀을 제거합니다. 환희가 ensues.
  • 특정 역할에 따라 이름 그룹 실패: "승인자" 그룹은 완벽 한 예제. 이 그룹 승인의 회원 수 있습니다? 어디 그들은 그것을 승인할 수 있습니다? 정말 사람들이 물류 부서 HR 문서를 승인할 수 있어야 할까요? 당연 하지. 조직 내에서 역할에 따라 항상 이름 그룹. 이 그룹이 특정 보안 개체에 대 한 부적절 한 사용 권한 수준을 할당 하 고 그 위험을 줄일 것입니다.. 그들의 의도 된 역할에 따라 이름 그룹. 이전 시간/물류 시나리오, 나 두 새로운 그룹을 창조 한다: "HR 소유자" "물류 소유자" 각각에 대 한 재치 있는 사용 권한 수준 및 해당 사용자가 자신의 일을 할 수에 필요한 최소 금액을 할당 하 고.

다른 유용한 참조:

만약 당신이 그것을 만들 었 어이:

의견을 통해 귀하의 의견 또는 이메일로 내게 알려 주십시오. 만약 당신이 다른 좋은 참조, 동일한 작업을 수행 하시기 바랍니다!

테크노 태그: