업데이트 12/18/07: 제거 또는 기본 그룹 이름 수정 몇 가지 기술적인 결과 대 한 폴 Liebrand의 문서를 참조 하십시오 (뿐만 아니라 그의 코멘트를 아래를 참조합니다).
개요:
SharePoint 보안 구성 및 관리 하기 쉽습니다.. 그러나, 그것은 정말 주위에 손을 포장 일부 처음 관리자에 대 한 어려운 것을 입증 했다. 뿐만 아니라, 내가 본 그들은 중간 시간에 어떤 구성을 수행 하지 않았기 때문에 금요일까지 그것을 잃 었에 월요일에 대 한 완벽 한 이해에와 서 일부 관리자. (이 문제가 자신을 인정합니다). 이 블로그 항목 잘하면 유용한 SharePoint 보안 입문서를 제공 하 고 보안 구성 유용한 향해 포인트.
중요 참고:
이 설명 상자의 SharePoint 보안 기반. 내 개인적인 경험으로는 동쪽으로 향하게 모스 주위 모스 특정 물건 여기 있을 수 있습니다., 하지만 난 그것은 WSS에 대 한 정확한. 그 사람이 어떤 오류 또는 누락을 보고 지적할 것 이다 그 의견에 희망 또는 이메일 날. 수정 서둘러 게시물을 만들 거 야.
기본 사항:
이 개요의 목적을 위해, 4 개의 기본적인 측면 보안: 사용자/그룹, 보안 개체, 사용 권한 수준 및 상속.
사용자 및 그룹 내려 휴식:
- 개별 사용자: 디렉토리 또는 SharePoint에서 직접 만든 활성에서 뽑아.
- 그룹: Active directory에서 직접 매핑된 또는에 만든 SharePoint. 그룹은 사용자의 컬렉션. 그룹은 사이트 모음에서 글로벌. 그들은 결코 "묶인" 특정 보안 개체에.
보안 개체 적어도 다운 휴식:
- 사이트
- 문서 라이브러리
- 목록 및 문서 라이브러리의 개별 항목
- 폴더
- 다양 한 BDC 설정.
거기 다른 보안 개체, 그러나 당신은 그림.
사용 권한 수준: 세분화 된 번들 / 목록에 항목 만들기/읽기/삭제 같은 것 들을 포함 하는 낮은 수준의 액세스 권한.
상속: 기본적으로 엔터티 그들의 포함 하는 개체에서 보안 설정 상속. 하위 사이트는 부모 로부터 권한을 상속합니다. 자신의 사이트에서 상속 하는 문서 라이브러리. 등등에.
사용자 및 그룹 사용 권한 수준 상속을 통해 보안 개체와 관련.
가장 중요 한 보안 규칙 이해, 적 🙂 :
- 그룹은 단순히 사용자의 컬렉션.
- 그룹은 사이트 모음 내에서 글로벌 (즉. 사이트 수준에서 정의 된 그룹 같은 건 없다).
- 견딜 수 없는 그룹 이름, 그룹 안, 시내와 스스로의, 보안의 특정 수준을.
- 그룹에 특정 보안 개체의 맥락에 있는 보안.
- 모든 보안 개체에 대 한 같은 그룹에 서로 다른 사용 권한 수준을 할당할 수 있습니다..
- 웹 응용 프로그램 정책을 트럼프의이 모든 (아래 참조).
보안 관리자 그룹 및 사용자 목록의 바다에서 길을 잃 었 수 있습니다 항상 관리 하 고 그들의 보안 구성을 이해 하려면 이러한 공리계에 의존.
일반적인 함정:
- 그룹 이름 잘못 권한을 암시합니다: 상자, SharePoint 그룹 이름이 암시는 고유의 보안 수준 집합을 정의 합니다.. 그룹 "참가자" 고려. 한 SharePoint 보안에 익숙하지 수 있습니다 잘 그 이름 확인 하 고 해당 그룹의 모든 구성원 기여할 수 있다는"가정" 포털에서 사이트/목록/라이브러리에. 그 사실 수 있습니다 하지만 되지 않기 때문에 그룹의 이름을 "참가자" 발생. 이 사실이 상자 그룹 추가/편집/삭제 콘텐츠 루트 사이트에 그들을 가능 하 게 하는 권한 수준이 제공 되었습니다 있기 때문에. 상속을 통해, "기여자" 그룹 추가/편집/삭제 모든 하위 사이트에서 콘텐츠 수 있습니다.. 하나 끊을 수 있다 "" 상속 체인 및 이러한 하위 사이트의 권한 수준 변경 소위 "참가자의 해당 회원" 그룹에 기여할 수 없습니다., 하지만 읽기 전용 (예를 들어). 이 좋은 아이디어를 되지 않을 것 이라고, 분명히, 그것은 매우 혼란 스러운 것 이기 때문.
- 그룹 사이트 수준에서 정의 되지 않은. 그것은 사용자 인터페이스에 의해 혼동 하기 쉬운. Microsoft는 모든 사이트의 "사람들 및 그룹을 통해 사용자/그룹 관리에 편리한 링크를 제공합니다." 링크. 내가 사이트 "xyzzy 있을 때 생각 하기 쉽습니다." 그리고 난 xyzzy의 사람들을 통해 서 그룹 만들고 그룹 난 그냥 xyzzy에만 존재 하는 그룹 만든 연결. 이 아닌 경우. 실제로 만든 전체 사이트 모음에 대 한 그룹.
- 그룹 회원 사이트에 의해 달라 지지 않는다 (즉. 그것은 같은 그룹을 사용 하는 어디에 나): "소유자 그룹을 고려" 그리고 두 사이트, "HR" "물류". 그것은 두 명의 별도 개인 사이트를 자신의 것 이라고 생각 하는 정상적인 것 — HR 소유자와 물류 소유자. 사용자 인터페이스를 쉽게 mishandle이 시나리오를 보안 관리자에 대 한. 내가 더 잘 알고 하지 않은 경우, 인사 관리 사이트를 통해 사용자 및 그룹 링크를 액세스할 수 있습니다., "소유자 선택" 그룹화 하 고 해당 그룹 내 HR 소유자를 추가. 한 달 후, 물류 라인에 온다. 나 물류 사이트에서 사용자 및 그룹 액세스, "소유자 올려 추가" 그룹. 거기 시간 소유자를 참조 하 고 그녀를 제거합니다, 생각 하는 나 물류 사이트 소유자에서 그녀을 제거 해요. 사실, 글로벌 소유자 그룹에서 그녀을 제거합니다. 환희가 ensues.
- 특정 역할에 따라 이름 그룹 실패: "승인자" 그룹은 완벽 한 예제. 이 그룹 승인의 회원 수 있습니다? 어디 그들은 그것을 승인할 수 있습니다? 정말 사람들이 물류 부서 HR 문서를 승인할 수 있어야 할까요? 당연 하지. 조직 내에서 역할에 따라 항상 이름 그룹. 이 그룹이 특정 보안 개체에 대 한 부적절 한 사용 권한 수준을 할당 하 고 그 위험을 줄일 것입니다.. 그들의 의도 된 역할에 따라 이름 그룹. 이전 시간/물류 시나리오, 나 두 새로운 그룹을 창조 한다: "HR 소유자" "물류 소유자" 각각에 대 한 재치 있는 사용 권한 수준 및 해당 사용자가 자신의 일을 할 수에 필요한 최소 금액을 할당 하 고.
다른 유용한 참조:
- 웹 응용 프로그램 정책 과제: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- SharePoint 보안에 대 한 교환: http://www.sharepointsecurity.com/
- Joel Oleson에서 링크: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
만약 당신이 그것을 만들 었 어이:
의견을 통해 귀하의 의견 또는 이메일로 내게 알려 주십시오. 만약 당신이 다른 좋은 참조, 동일한 작업을 수행 하시기 바랍니다!