NAUJINIMAS 11/03/08: Būtinai perskaitykite puikus ir išsamų komentarą Dessie Lunsford į šį pranešimą.

Aš dirbu paslaptis tech redagavimo projektu yra perspektyvi knygai ir jis nurodo šio dienoraščio įrašas iš Tyler Butler MSDN ECM Dienoraštis. Tai pirmą kartą aš asmeniškai skaityti aiškiai apibrėžti, kaip numatyta ribota prieiga. Čia yra apibrėžimas, mėsa:

SharePoint, anoniminiams vartotojams’ teisės nustatomos ribotos prieigos teisių lygis. Ribotas pasiekiamumas yra specialių teisių rinkinio, kuris negali būti priskirtas vartotojo ar grupės tiesiogiai. Tai yra todėl, nes jei turite bibliotekoje arba antrinę svetainę, žengė teises paveldėjimo, ir jums suteikti vartotojo/grupės prieigą prie tik tos bibliotekos/antrinės svetainės, norint peržiūrėti jo turinį, vartotojas/grupė privalo turėti galimybę susisiekti su šakninio tinklalapio. Priešingu atveju vartotojas/grupė negalės naršyti bibliotekoje/antrinės svetainės, Nors jie teises ten, Todėl, kad yra dalykų, šakninio tinklalapio, kad reikia teikti interneto svetainė ar biblioteka. Todėl, Kada jūs suteikiate grupės teises tik į antrinę svetainę arba bibliotekoje, kurioje yra trūkimo teises paveldėjimo, SharePoint automatiškai duos ribotą prieigą prie tos grupės ar vartotojo šaknis internete.

Šis klausimas pasirodo dabar ir tada MSDN forumuose ir aš visada buvo įdomu (bet ne keistas pakankamai paveikslas it out iki šiandien :)).

</pabaigos>

Prenumeruoti savo dienoraštį.

Sekite mane Twitter ne http://www.twitter.com/pagalvin

– Ženklas, kad socialinių Kompiuterija pradeda pakilti su SharePoint, Matau daugiau mano svetainės tipo klausimus. Vienas bendras klausimas eina kažką panašaus į tai:

"Aš esu administratorius ir man reikia turėti su savimi kiekvieną mano svetainę. Kaip padaryti, kad?"

Trick čia, kad kiekvieno mano svetainės yra savo svetainių rinkinio. SharePoint saugos paprastai administravo svetainės rinkinio lygyje ir tai kelionių iki daugelio SharePoint administratorius. Paprastai, ji jau turi prieigą prie konfigūruoti saugumo pagrindinėje"" svetainės rinkiniai ir negali suprasti, kad tai neveikia automatiškai mano svetaines.

Svetainių rinkiniai kartu gyvena viduje didesnį indą, kuris yra žiniatinklio programos. Ūkio administratoriai gali konfigūruoti saugumo lygiu web app ir tai, kaip administratoriai gali leisti patys susipažinti su jokių svetainių rinkinio žiniatinklio programos. Šio dienoraščio įrašas apibūdina viena iš mano asmeninės patirties su interneto taikymo politikos. Aš apibrėžta interneto taikymo politiką dėl nelaimingo atsitikimo: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Interneto taikymo politika gali būti pavojingas ir siūlau, kad jie būtų naudojami taupiai. Jei aš būčiau admin (ir Ačiū Dievui nesu), Norėčiau sukurti atskirą skelbimų sąskaitą pavadinimu kažką panašaus į "SharePoint žiniatinklio programos administratorius" ir duoti tą vieną sąskaitą interneto taikymo saugumo vaidmenį, ji turi. Aš jos NESUKONFIGŪRUOSITE šios rūšies dalykas reguliariai ūkio administratorius arba atskirų svetainių rinkinio administratoriai. Ji bus linkę slėpti potencialias problemas, nes web app vaidmenį nepaiso jokių mažesnis lygio saugos parametrų.

</pabaigos>

Prenumeruoti savo dienoraštį.

Sekite mane Twitter ne http://www.twitter.com/pagalvin

NAUJINIMAS (02/29/08): Šis naujas codeplex projektas atrodo, kad yra būdas atskirus stulpelius: http://www.codeplex.com/SPListDisplaySetting. Jei turite bet kokią patirtį dirbant, Prašome palikti komentarą.

Forumas plakatai dažnai užduoti klausimą kaip šis: "Turiu nuomonę, vadybininkas ir ir sąrašą personalas vaizdas. Kaip išsaugoti vadovo rodinį, kad darbuotojai gali ne ją naudoti?"

Jie taip pat dažnai prašo susijęs klausimas: "Aš noriu užtikrinti konkrečių metaduomenų stulpelį, kad tik vadovai gali redaguoti stulpelyje, kol kiti gali net pamatyti jį."

Šiuos atsakymus taikomos abi WSS 3.0 ir MOSS:

• SharePoint out-of-the-box paramos nenumato užtikrinti peržiūros.
• SharePoint nepalaiko out-of-the-box saugumo stulpelių.

Yra keli būdai vienas galite sekti patenkinti šių rūšių apsaugos reikalavimus. Štai ką aš manau:

• Naudoti out-of-the-box elemento lygio saugą. Vaizdai visada garbę elemento lygio saugos konfigūracijos. Renginio imtuvai ir (arba) darbo eigą galite automatizuoti saugumo užduotis.
• Naudoti asmeninę nuomonę "privilegijuoti" peržiūros. Tai yra pakankamai lengva nustatyti. Tačiau, dėl savo "asmeniniam" Gamta, Šie veiksmai turi būti sukonfigūruotas kiekvieno vartotojo. Naudokite standartinį saugos konfigūracija niekam neleisti sukurti asmeninį rodinį.
• Naudoti duomenų rodinio tinklapio komponento ir įgyvendinti tam tikros rūšies AJAXy saugumo Apipjaustymas sprendimas.
• Roll savo sąrašo rodymo funkcijas ir įtraukti saugumo Apipjaustymas stulpelio lygio.
• Keisti duomenų įrašų formos ir naudoti JavaScript kartu su saugumo modelį įgyvendinti stulpelio lygio saugumo Apipjaustymas.
• Naudoja programos InfoPath formą duomenų įvedimo. Įgyvendinti stulpelio lygio saugumo Apipjaustymas per interneto paslaugų skambučiams į SharePoint sąlyginai slėpti laukus ir kiek reikia.
• Riedėti savo ASP.NET duomenų įrašą funkciją, kuri įgyvendina stulpelio lygio saugą Apipjaustymas.

Nė vienas iš šių variantų yra tikrai didelė, kad, Tačiau yra bent kelias laikytis, jei jums reikia, net jei tai sunku.

PASTABA: Jei jūs einate žemyn bet kurį iš šių maršrutų, nepamirškite apie "veiksmų-> Atidaryti naudojant Windows Explorer". Jūs norite būti tikri, patikrinti su šia funkcija įsitikinti, kad jis neveikia kaip atsargines duris"" ir nugalėti savo draudimu.

Jei turite kitų idėjų ar patirtimi užtikrinti stulpelius arba peržiūros, prašau rašykite man ar pakomentuoti and I atnaujinti šį pranešimą atitinkamai.

</pabaigos>

Prenumeruoti savo dienoraštį.

NAUJINIMAS: I posted šį klausimą MSDN čia (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) ir Michael Washam Microsoft atsakė glaustai atsakyti.

Aš sukūriau interneto paslauga veikia kaip yra BDC šeimai fasadas su SharePoint sąrašu. Kada aš tai iš mano aplinkos kūrimą, tai kuo puikiausiai. Kai aš perkelti tai į naują serverį, Aš aptiko šią klaidą:

Štai linijos 69:

naudojant (SPSite svetainės = naujas SPSite("http://localhost/sandbox"))

Bandžiau įvairius variantus ant URL, įskaitant naudojant serverio vardas, savo IP adresą, gale nerijos ant URL, ir tt. Aš visada turiu tos klaidos.

Aš "Google" į mokslinius tyrimus ji. Daug žmonių susiduria su šiuo klausimu, ar variantus, bet niekas, atrodo, kad jis būtų išspręsta.

Išdykęs MOSS pateikta tokia Detali klaida, dėl kurios jis neįvyko man patikrinti, 12 avilys žurnalai. Galų gale, apie 24 valandas po mano kolega rekomenduojamas aš padaryti, Aš patikrinome, 12 avilys žurnalo ir nustatėme, kad šis:

Išimtis įvyko bandant įsigyti Vietinis ūkis:
System.Security.SecurityException: Pageidaujami registro prieiga nėra leidžiama.
ne System.ThrowHelper.ThrowSecurityException(ExceptionResource išteklių) ne Microsoft.Win32.RegistryKey.OpenSubKey(Eilutės pavadinimas, Būlio rašyti) ne Microsoft.Win32.RegistryKey.OpenSubKey(Eilutės pavadinimas) ne Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() ne Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() ne Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& ūkio, Bulio logika& isJoined)
Rinkinys, kuris nepavyko zonoje buvo:  MyComputer

Tai atvėrė naujas galimybes mokslinių tyrimų, Todėl buvo grįžti į Google. Privertė mane į šį forumo žinutė: http://forums.codecharge.com/Posts.php?post_id = 67135. Kad tikrai padeda man bet jis prasidėjo formavimo man atrodo ten buvo duomenų bazės ir (arba) saugumo problema. Aš soldiered ir Andrew Connell po galiausiai sukėlė maniau kad turėtų įsitikinti, kad programų telkinio tapatybės sąskaitą turėjo tinkamą prieigą prie duomenų bazės. Maniau, kad tai jau padarė. Tačiau, mano kolega atėjo ir davė app baseinas tapatybę į pilną priėjimą prie SQL.

Kaip tik ji padarė, pasikeitus, Viskas pradėjo dirbti.

Kas atsitiko toliau yra geriausias a Haiku eilėraštis:

Problemų kelia rankas.
Jūs submeniu ir praleisti. pabandyk dar kartą.
Sėkmės! Bet kaip? kodėl?

Ji nenorėjo palikti ką ramybėje panašaus, pirmenybę suteikti minimalūs reikiamų teisių (ir tikriausiai atsižvelgiant į rašyti dienoraščio įrašas; Aš ją mušė Punch, muhahahahaha!).

Ji pašalinta iš eilės teises iš programos telkinio tapatybės kodui iki … nebėra jokių sutikimo app baseinas tapatybės sąskaita ne visi. Tinklo tarnybos ir toliau dirbti gerai.

Mes nuėjome ir perleist serveriai. Viskas puikiausiai ir toliau.

Taigi, priminti: Mes davė app baseinas tapatybės visišką prieigą ir tada jis paėmė. Tinklo tarnybos pradėjo dirbti ir niekada nustojo veikti. Keistas.

Jei kas nors žino kodėl, turi būti dirbęs, Prašome palikti komentarą.

</pabaigos>

Man reikia laikytis saugumo reikalavimas InfoPath formos šiandien. Ši verslo situacija, palyginti nedaug asmenų leidžiama kurti nauja InfoPath forma ir daug platesnei auditorijai leidžiama redaguoti. (Tai yra naudojama žmogiškųjų išteklių naujų nuomos Įkėlimo formą, pradeda darbo eigą).

Šio tikslo, Aš sukūriau sukūrė du naujus teisių lygius ("sukurti ir atnaujinti" ir "atnaujinti tik"), sumušė paveldėjimo formų bibliotekoje ir priskirtas teises per "sukurti, atnaujinti" Vartotojo ir atskira "atnaujinti tik" Vartotojo. Mechanika visi dirbo, Tačiau paaiškėjo, kad su šiek tiek daugiau nei tikėjausi. (Jei manote, kad šiek tiek įtartina SharePoint teises, Check out šį pranešimą dienoraščio). Saugos konfigūracijos už teisių lygis nebuvo akivaizdus granuliuoto teisių rinkinį. Sukurti tik atnaujinti teisių lygį InfoPath formos, Aš taip:

1. Sukurti naują teisių lygį.
2. Išsiblaivyti visas parinktis.
3. Pasirinktas tik toliau nuo "Sąrašo teisių":

• Redaguoti elementus
• Rodyti elementus
• Rodyti paraiškos puslapius

Jei pasirenkate šias parinktis leidžia vartotojui atnaujinti formą, bet ne jį sukurti.

Apgaulė buvo, kad "Rodyti paraiškos puslapius". Ten nėra jokių verbage leidimo lygis, kad rodo reikalaujamus atnaujinti tik InfoPath formų, Tačiau, tai yra.

Sukurti ir atnaujinti buvo dar keistesnė. Aš po tuos pačius veiksmus, 1 per 3 virš. Man teko specialiai Pridėti svetainę leidimas"" variantas: "Naudoti kliento integracijos priemones". Dar kartą, Aprašymas čia nereiškia, kad jis atrodo kaip ji turėtų būti reikalaujama InfoPath formos, Tačiau jis nėra.

</pabaigos>

NAUJINIMAS 01/28/08: Codeplex projekto programoje šio klausimo: http://www.codeplex.com/AccessChecker. Aš ne naudojami, Tačiau tai atrodo perspektyvus, jei tai yra klausimai, reikia spręsti savo aplinkoje.

NAUJINIMAS 11/13/08: Joel Oleson parašė iki labai geros paštu didesnis saugos valdymo problema čia: http://www.sharepointjoel.com/ Lists/Posts/Post.aspx?Sąrašas = 0cd1a63d % 2D183c % 2D4fc2 %2 D 8320 % 2Dba5369008acb&ID = 113. Ji siejasi su daug kitų naudingų išteklių.

Forumo vartotojų ir klientų dažnai užduoti klausimą pagal šias eilutes: "Kaip ar aš gauti sąrašą visų vartotojų prieigą prie svetainės" arba "kaip gali aš automatiškai perspėjimas visiems vartotojams prieigą prie sąrašo apie sąrašo keitimus?"

Yra ne iš langelį tirpalo už tai. Jei jūs manote apie tai, kad šiuo metu, tai nėra sunku suprasti, kodėl.

SharePoint saugumas yra labai lanksti. Yra ne mažiau kaip keturių pagrindinių kategorijų vartotojams:

• Anoniminiams vartotojams.
• SharePoint vartotojų ir grupių.
• Active Directory vartotojai.
• Formomis pagrįstas autentifikavimas (FBA) vartotojai.

Lankstumas reiškia, kad saugumo požiūriu, bet šioje SharePoint svetainėje bus žymiai skiriasi nuo kito. Siekiant sukurti access sąrašo ataskaitą, reikia patikrinti, kaip užtikrinamas svetainės, užklausti daug skirtingų Vartotojo profilis saugyklas ir tada pateikti jį naudinga mada. Tai sunku problema spręsti bendrai.

Kaip yra organizacijos susijusios su šiuo? Aš norėčiau išgirsti iš jūsų komentaruose arba el. paštas.

</pabaigos>

NAUJINIMAS 12/18/07: Paul Liebrand straipsnyje ieškokite tam tikrų techninių pasekmių pašalinti ar pakeisti numatytąjį grupių pavadinimus (pamatyti savo komentarą žemiau, taip pat).

Apžvalga:

SharePoint saugumas yra lengva konfigūruoti ir valdyti. Tačiau, tai buvo įrodyta, kad būti sunku kai kurie pirmą kartą administratoriai tikrai wrap savo rankas aplink jį. Ne tik, kad, Aš mačiau kai kurie administratoriai yra puikus suprasti pirmadienį tik ji prarado penktadienis nes jie ne daryti bet kokios konfigūracijos per tą laiką. (Prisipažinsiu, kad turintys šią problemą save). Šio dienoraščio įrašas tikiuosi suteikia naudingos SharePoint saugos gruntas ir rodo į kai kurių saugos konfigūracijos geriausios praktikos.

Svarbi pastaba:

Šis aprašas yra grindžiamas out of the box SharePoint saugos. Mano asmeninė patirtis yra orientuota aplink samanų, ten gali būti kai kurių MOSS konkrečių dalykų čia, bet manau, kad tai tikslus, WSS. Tikiuosi, kad kas nors pamatyti bet kokios klaidos ar praleidimai bus nurodyta, kad komentaruose arba rašykite man. I padaryti pataisas po skubotai.

Pagrindai:

Pagal ši apžvalga, yra keturi pagrindiniai aspektai su saugumu: vartotojai/grupės, apsaugotuose objektuose, teisių lygius ir paveldėjimo.

Vartotojai ir grupės pertrauka į:

• Atskiriems vartotojams: Paimta iš aktyvaus katalogą arba sukurtas tiesiogiai į SharePoint.
• Grupių: Susietų tiesiogiai iš active directory ar sutverti į SharePoint. Grupės yra vartotojų kolekcija. Grupės yra pasaulio svetainių rinkinio. Jie niekada "susieti" į konkretų apsaugotą objektą.

Apsaugotuose objektuose pertrauka iki ne mažiau kaip:

• Svetainių
• Dokumentų bibliotekos
• Atskirų prekių sąrašų ir dokumentų bibliotekų
• Aplankai
• Įvairius BDC parametrus.

Yra kitų apsaugotuose objektuose, bet jūs gaunate paveikslėlį.

Teisių lygiai: Granuliuotas paketas / žemo lygio prieigos teises, kurios apima tokius dalykus kaip sukurti/skaitymo/naikinimo įrašų sąrašuose.

Paveldėjimo: Pagal numatytuosius nustatymus subjektai paveldėti saugos parametrus iš jų su objekto. Antrinės svetainės paveldi teises iš savo pirminės. Dokumentų bibliotekos paveldi iš savo svetainės. Taip toliau ir taip toliau.

Vartotojai ir grupės yra susijusios su apsaugotuose objektuose per teisių lygius ir paveldėjimo.

Svarbiausia saugumo taisykles, kurios turi suprasti, Kada nors 🙂 :

1. Grupės yra tiesiog kolekcijos vartotojų.
2. Grupės yra pasaulio svetainių rinkinyje (ty. nėra tokio dalyko kaip apibrėžti vietos lygmeniu grupė).
3. Grupės pavadinimas ne išlaikyti, grupių ar ne, Vietovė ir patys, jau bet kuriuo konkrečiu saugumo lygį.
4. Grupės turi saugumo atsižvelgiant į konkretų apsaugotą objektą.
5. Galite nustatyti skirtingus teisių lygius, į tą pačią grupę už kiekvieno apsaugoto objekto.
6. Interneto taikymo politiką koziris visa tai (Žiūrėkite žemiau).

Saugos administratoriams prarado naudotojų ir naudotojų grupių sąrašus jūroje visada gali pasitikėti šių axioms valdyti ir suprasti jų saugos konfigūraciją.

Bendras spąstus:

• Grupių pavadinimus klaidingai reiškia leidimą: Out of the box, SharePoint apibrėžia tam tikrų grupių, kurių pavadinimai reiškia būdingą saugumo lygį. Vertinti grupę "Pagalbininkas". Viena susipažinę su SharePoint saugos gali gerai pažvelgti į šį pavadinimą ir manyti, kad bet kuris tos grupės narys gali "prisidėti" bet koks svetainės/sąrašas/bibliotekos portale. Tai gali būti tiesa, bet ne todėl, kad grupės pavadinimas būna, kad "pagalbininkas". Tai tik tiesa out of the box, nes grupė buvo pateiktas teisių rinkinio, kuris leidžia jiems pridėti/redaguoti/trinti turinį šakninėje svetainėje. Paveldėjus, autoriai"" grupė taip pat gali pridėti/redaguoti/trinti turinį kiekvieną sub-vietoje. Vienas gali "pertrauka" paveldo grandinėje ir kaitos antrinė svetainė tokių teisių lygį kad nariai vadinamasis "autorius" grupė negali padėti visai, bet tik skaityti (pvz.). Tai būtų gera idėja, akivaizdžiai, nes tai būtų labai paini.
• Grupes nėra apibrėžti vietos lygmeniu. Tai lengva supainioti vartotojo sąsaja. Microsoft pateikia patogus nuorodą, kad vartotojas/grupės valdymas per kiekvieną svetainės "žmonės ir grupės" nuoroda. Tai paprasta manyti, kad kai aš ne svetainės "xyzzy" ir sukurti grupę per xyzzy's žmones ir grupes nuorodą, kad aš ką tik sukurtos grupės, kuri tik yra ne xyzzy. Tai nėra atvejis. Aš iš tiesų sukūriau grupę visą svetainių rinkinio.
• Grupės narystės nesiskirtų site (ty. tai tas pats visur grupė naudojama): Mano grupės "savininkas" ir dvi vietas, "HR" ir "Logistika". Tai būtų normalu, kad manau, kad dviejų atskirų asmenų būtų savo tas svetaines — HR savininkas ir logistikos savininkas. Vartotojo sąsaja leidžia lengvai saugumo administratorius gali mishandle šis scenarijus. Jei aš žinau geriau, Gali pasiekti žmones ir grupes nuorodos HR svetainėje, Pasirinkite "savininkai" grupė ir pridėti mano HR savininkas su ta grupe. Po mėnesio, Logistikos ateina eilutės. Pasiekti asmenis ir grupes iš logistikos svetainės, pridėti atsigriebti "savininkai" grupė. Matau HR savininkas ten ir panaikinti jai, galvoju, kad aš pašalinti ją iš savininkų vietoje logistikos. tiesą sakant, Aš pašalinti ją iš pasaulio savininkų grupės. Linksmumas prasideda.
• Nepavykus pavadinimas grupes pagal konkretų vaidmenį: Tvirtintojai"" grupė yra puikus pavyzdys. Kas gali nariai šios grupės tvirtinti? Kur jie gali patvirtinti tai? Ar tikrai norite žmonių logistikos skyrius HR dokumentams patvirtinti, kad? Žinoma, ne. Visada pavadinimas grupėms atsižvelgiant į jų vaidmenį organizacijoje. Tai padės sumažinti riziką, kad grupei priskiriama netinkamas teisių lygį už atskirą apsaugotą objektą. Pavadinimas grupes pagal jų numatytą vaidmenį. Pagal ankstesnį HR/logistikos scenarijų, Aš turėtų sukūrė dvi naujas grupes: "HR savininkai" ir "logistikos savininkai" ir priskirti protinga teisių lygiai kiekvienam ir mažiausio kiekio, būtino tiems vartotojams atlikti savo darbą.

Kitos naudingos nuorodos:

• Interneto taikymo politikos gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Clearinghouse SharePoint saugos: http://www.sharepointsecurity.com/
• Nuorodos iš Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Jei jūs jau tapo taip toli:

Prašome leiskite man ώinoti savo mintis per komentarus arba email man. Jei žinote kitų geros nuorodos, Prašome padaryti tą patį!