SharePoint saugos pagrindai gruntas / Išvengti bendros spąstų

NAUJINIMAS 12/18/07: Paul Liebrand straipsnyje ieškokite tam tikrų techninių pasekmių pašalinti ar pakeisti numatytąjį grupių pavadinimus (pamatyti savo komentarą žemiau, taip pat).

Apžvalga:

SharePoint saugumas yra lengva konfigūruoti ir valdyti. Tačiau, tai buvo įrodyta, kad būti sunku kai kurie pirmą kartą administratoriai tikrai wrap savo rankas aplink jį. Ne tik, kad, Aš mačiau kai kurie administratoriai yra puikus suprasti pirmadienį tik ji prarado penktadienis nes jie ne daryti bet kokios konfigūracijos per tą laiką. (Prisipažinsiu, kad turintys šią problemą save). Šio dienoraščio įrašas tikiuosi suteikia naudingos SharePoint saugos gruntas ir rodo į kai kurių saugos konfigūracijos geriausios praktikos.

Svarbi pastaba:

Šis aprašas yra grindžiamas out of the box SharePoint saugos. Mano asmeninė patirtis yra orientuota aplink samanų, ten gali būti kai kurių MOSS konkrečių dalykų čia, bet manau, kad tai tikslus, WSS. Tikiuosi, kad kas nors pamatyti bet kokios klaidos ar praleidimai bus nurodyta, kad komentaruose arba rašykite man. I padaryti pataisas po skubotai.

Pagrindai:

Pagal ši apžvalga, yra keturi pagrindiniai aspektai su saugumu: vartotojai/grupės, apsaugotuose objektuose, teisių lygius ir paveldėjimo.

Vartotojai ir grupės pertrauka į:

  • Atskiriems vartotojams: Paimta iš aktyvaus katalogą arba sukurtas tiesiogiai į SharePoint.
  • Grupių: Susietų tiesiogiai iš active directory ar sutverti į SharePoint. Grupės yra vartotojų kolekcija. Grupės yra pasaulio svetainių rinkinio. Jie niekada "susieti" į konkretų apsaugotą objektą.

Apsaugotuose objektuose pertrauka iki ne mažiau kaip:

  • Svetainių
  • Dokumentų bibliotekos
  • Atskirų prekių sąrašų ir dokumentų bibliotekų
  • Aplankai
  • Įvairius BDC parametrus.

Yra kitų apsaugotuose objektuose, bet jūs gaunate paveikslėlį.

Teisių lygiai: Granuliuotas paketas / žemo lygio prieigos teises, kurios apima tokius dalykus kaip sukurti/skaitymo/naikinimo įrašų sąrašuose.

Paveldėjimo: Pagal numatytuosius nustatymus subjektai paveldėti saugos parametrus iš jų su objekto. Antrinės svetainės paveldi teises iš savo pirminės. Dokumentų bibliotekos paveldi iš savo svetainės. Taip toliau ir taip toliau.

Vartotojai ir grupės yra susijusios su apsaugotuose objektuose per teisių lygius ir paveldėjimo.

Svarbiausia saugumo taisykles, kurios turi suprasti, Kada nors 🙂 :

  1. Grupės yra tiesiog kolekcijos vartotojų.
  2. Grupės yra pasaulio svetainių rinkinyje (ty. nėra tokio dalyko kaip apibrėžti vietos lygmeniu grupė).
  3. Grupės pavadinimas ne išlaikyti, grupių ar ne, Vietovė ir patys, jau bet kuriuo konkrečiu saugumo lygį.
  4. Grupės turi saugumo atsižvelgiant į konkretų apsaugotą objektą.
  5. Galite nustatyti skirtingus teisių lygius, į tą pačią grupę už kiekvieno apsaugoto objekto.
  6. Interneto taikymo politiką koziris visa tai (Žiūrėkite žemiau).

Saugos administratoriams prarado naudotojų ir naudotojų grupių sąrašus jūroje visada gali pasitikėti šių axioms valdyti ir suprasti jų saugos konfigūraciją.

Bendras spąstus:

  • Grupių pavadinimus klaidingai reiškia leidimą: Out of the box, SharePoint apibrėžia tam tikrų grupių, kurių pavadinimai reiškia būdingą saugumo lygį. Vertinti grupę "Pagalbininkas". Viena susipažinę su SharePoint saugos gali gerai pažvelgti į šį pavadinimą ir manyti, kad bet kuris tos grupės narys gali "prisidėti" bet koks svetainės/sąrašas/bibliotekos portale. Tai gali būti tiesa, bet ne todėl, kad grupės pavadinimas būna, kad "pagalbininkas". Tai tik tiesa out of the box, nes grupė buvo pateiktas teisių rinkinio, kuris leidžia jiems pridėti/redaguoti/trinti turinį šakninėje svetainėje. Paveldėjus, autoriai"" grupė taip pat gali pridėti/redaguoti/trinti turinį kiekvieną sub-vietoje. Vienas gali "pertrauka" paveldo grandinėje ir kaitos antrinė svetainė tokių teisių lygį kad nariai vadinamasis "autorius" grupė negali padėti visai, bet tik skaityti (pvz.). Tai būtų gera idėja, akivaizdžiai, nes tai būtų labai paini.
  • Grupes nėra apibrėžti vietos lygmeniu. Tai lengva supainioti vartotojo sąsaja. Microsoft pateikia patogus nuorodą, kad vartotojas/grupės valdymas per kiekvieną svetainės "žmonės ir grupės" nuoroda. Tai paprasta manyti, kad kai aš ne svetainės "xyzzy" ir sukurti grupę per xyzzy's žmones ir grupes nuorodą, kad aš ką tik sukurtos grupės, kuri tik yra ne xyzzy. Tai nėra atvejis. Aš iš tiesų sukūriau grupę visą svetainių rinkinio.
  • Grupės narystės nesiskirtų site (ty. tai tas pats visur grupė naudojama): Mano grupės "savininkas" ir dvi vietas, "HR" ir "Logistika". Tai būtų normalu, kad manau, kad dviejų atskirų asmenų būtų savo tas svetaines — HR savininkas ir logistikos savininkas. Vartotojo sąsaja leidžia lengvai saugumo administratorius gali mishandle šis scenarijus. Jei aš žinau geriau, Gali pasiekti žmones ir grupes nuorodos HR svetainėje, Pasirinkite "savininkai" grupė ir pridėti mano HR savininkas su ta grupe. Po mėnesio, Logistikos ateina eilutės. Pasiekti asmenis ir grupes iš logistikos svetainės, pridėti atsigriebti "savininkai" grupė. Matau HR savininkas ten ir panaikinti jai, galvoju, kad aš pašalinti ją iš savininkų vietoje logistikos. tiesą sakant, Aš pašalinti ją iš pasaulio savininkų grupės. Linksmumas prasideda.
  • Nepavykus pavadinimas grupes pagal konkretų vaidmenį: Tvirtintojai"" grupė yra puikus pavyzdys. Kas gali nariai šios grupės tvirtinti? Kur jie gali patvirtinti tai? Ar tikrai norite žmonių logistikos skyrius HR dokumentams patvirtinti, kad? Žinoma, ne. Visada pavadinimas grupėms atsižvelgiant į jų vaidmenį organizacijoje. Tai padės sumažinti riziką, kad grupei priskiriama netinkamas teisių lygį už atskirą apsaugotą objektą. Pavadinimas grupes pagal jų numatytą vaidmenį. Pagal ankstesnį HR/logistikos scenarijų, Aš turėtų sukūrė dvi naujas grupes: "HR savininkai" ir "logistikos savininkai" ir priskirti protinga teisių lygiai kiekvienam ir mažiausio kiekio, būtino tiems vartotojams atlikti savo darbą.

Kitos naudingos nuorodos:

Jei jūs jau tapo taip toli:

Prašome leiskite man ώinoti savo mintis per komentarus arba email man. Jei žinote kitų geros nuorodos, Prašome padaryti tą patį!

Technorati Tags:

8 mintys apie "SharePoint saugos pagrindai gruntas / Išvengti bendros spąstų

  1. Perry

    Daugiau sunkumų:

    * Yra tam tikrų specialių teisių gauti kitur laivo apsaugos plane ir negali matyti žmones ir grupes skyriuje: "Personalizavimo tarnybų teisės" ir "verslo duomenų katalogo leidimus"

    * Aš perskaičiau, kad taip pat yra speciali SharePoint Designer teises galima kai slaptas xml palaidotas viduje html kažkur.

    * Pirminių ir antrinių svetainių rinkinio administratoriai yra laikomi kitur svetainių rinkinio parametrus, ir yra nematomi žmonės ir grupių.

    * Tam tikrose sąskaitose turi magišką (specialios) galimybes nepriklausomai nuo to, ką jūs matote žmonių ir grupių srityje: built-in administratorių grupės žiniatinklio serveriuose nariai, ir ūkio tarnybos abonementas.

    (PS: Ištrinti šlamštas komentarus būtų pagerinti skaitomumą čia.)

    Atsakyti
  2. Jean Wright
    Tai labai gerai po. Aš pateko į šią Spąstai keletą kartų. Saugumo valdymas gali tapti sudėtinga, kai pradeda maišyti autentifikavimo metodus ir kitą saugos grupės nustatymo metodai. Tai turėtų būti vertinamos kaip planavimo proceso dalis ir neturėtų būti pamiršta.
    Atsakyti
  3. Mark Miller rašė:
    (Pastaba iš Paul: Ženklo paprašė manęs padaryti nedidelių pakeitimų savo komentarą bet negaliu redaguoti live spaces komentarus, aš pridūrė jis iš naujo čia su pokyčiais ir ištrinti originalą).
    Paul,
    Labai gerai nuriedėjo suvestinės požiūris pateikiant šią informaciją. Man ypač patiko "spąstus" skyriuje, nes aš pateko į keletą iš šių save.
    Dar vienas dalykas, kurį pasakė hit namuose: mokymosi pirmadienį ne nebūtinai reiškia jums prisiminti tai penktadienį. Džiaugiuosi, kas nors be manęs naudoja savo dienoraštyje kaip sudėtinga"" sistema, skirta tų ypatingos svarbos dalykų, kad ne viskas nuolat.
    Geras darbas.
    Linkėjimai,
    Ženklas
    EndUserSharePoint.com

    Lapkričio 27 9:04 AM
    (http://www.EndUserSharePoint.com)

    Atsakyti
  4. Paul Galvin
    Manau, kad tai tikriausiai gera idėja, kad pašalinti šiuos numatytosios grupės, ypač prisideda ir savininkas. Jie yra overbroad ir lengvai supainioti. Norėčiau naudoti "visus autentifikuotus vartotojus" vietoj "lankytojas" grupė taip pat. Jei konkrečiai nustatyti vartotojai turėtų tik skaitymo prieigą tada aš rekomenduočiau sukurti skelbimų grupėje ar SharePoint grupę su tinkamai aprašomąjį pavadinimą, pvz.. "Logistikos lankytojų".
    –Ipolitas Gudavičius
    Atsakyti
  5. Nr pavadinimas
    Tai skamba kaip pirmas dalykas, kurį jums reikia padaryti yra tiesiog sąvartynas lankytojas, Autorius ir savininkas grupes ir pakeisti juos su savo logines grupes. Ar tai prasminga daryti?
    Atsakyti

palik atsakymą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *