ATJAUNINĀJUMS 11/03/08: Noteikti izlasiet izcili un detalizētu komentāru no Dessie Lunsford uz šo ziņu.

Esmu strādājusi ar slepeno tech rediģēšanas projektu up-nāk grāmata un tā atsaucas šī bloga ieraksts Tyler Butler MSDN ECM blog. Šī ir pirmā reize, kad es personīgi lasīt skaidru definīciju, ko nozīmē ierobežotu piekļuvi. Te ir definīcija gaļas:

Koplietošanas vidē SharePoint, anonīmiem lietotājiem’ Ierobežotās piekļuves atļaujas līmeni nosaka tiesības. Ierobežota piekļuve ir īpašu atļauju līmenis, kurā nevar piešķirt lietotāja vai grupas tieši. Tāds iemesls ir tāpēc, ja esat bibliotēkā vai apakšvietnes, kas pārkāpuši atļauju pārmantošanu, un jūs sniegt lietotāju/grupu piekļuvi tikai šajā bibliotēkā/apakšvietnē, lai apskatītu tās saturu, lietotāju/grupu nepieciešama piekļuve dažas saknes web. Citādi būs nevar pārlūkot bibliotēka/apakšvietnes lietotāju/grupu, pat ja viņiem ir tiesības tur, jo ir saknes web lietas, kas ir nepieciešams, lai atveidotu vietnes vai bibliotēkas. Tādēļ, Ja sniedzat grupas tiesības tikai uz apakšvietni vai bibliotēkā, kas pārkāpj atļauju pārmantošanu, SharePoint automātiski dod ierobežotu piekļuvi ar šo grupu vai lietotāju saknes Web.

Šis jautājums nāk līdz šad un tad par MSDN forums un es esmu ziņkārīgs (bet nav pietiekami ziņkārīgs, lai skaitlis it out, pirms šodien :)).

</beigās>

Abonēt manu blogu.

Sekot mani uz čivināt pie http://www.twitter.com/pagalvin

Zīme, ka sociālās skaitļošanas ir sāka pacelties ar SharePoint, Es redzu, palielinot manas vietnes tipa jautājumu skaits. Vienu kopēju jautājumu iet kaut kas līdzīgs šim:

"Es esmu administrators un ir nepieciešams, lai varētu piekļūt katra mana vietne. Kā es varu darīt?"

Triks šeit ir, ka katra mana vietne ir sava vietņu kolekcija. Komponenta SharePoint drošību parasti pārvalda vietņu kolekcijas līmenī un šo braucienu līdz daudz koplietošanas vides SharePoint administrators. Parasti, viņa jau ir piekļuve konfigurēt drošības "galvenās" vietņu kolekcijas, un var saprast, ka tas automātiski nedarbojas manām vietnēm.

Vietņu kolekcijas kopā dzīvot iekšā lielāka tvertne, kas ir web pieteikumu. Fermas admins var var konfigurēt drošības līmeņa web app, un tas ir kā administratori paši var piešķirt piekļuvi jebkurā vietņu kolekcijas web lietojumprogrammā. Šī bloga ieraksts apraksta vienu no manu personīgo pieredzi ar web lietojumprogrammu politikas. Es noteikti web lietojumprogrammu politikas nejauši: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web lietojumprogrammu politika var būt bīstama, kā _ arī liecina, ka tie ir jāizmanto atturīgi. Ja es būtu admin (un paldies Dievam es neesmu), Varētu izveidot atsevišķu reklāmu kontu nosaukts kaut ko līdzīgu "SharePoint Web App administrators" un dot šo vienu kontu web programmu drošības loma tai ir. Vai nevar konfigurēt, šāda veida lieta par regulāru fermas administratora vai atsevišķas vietnes kolekcijas administratori. Tas mēdz slēpt potenciālās problēmas, jo web app lomu ignorē jebkura zemāka līmeņa drošības iestatījumi.

</beigās>

Abonēt manu blogu.

Sekot mani uz čivināt pie http://www.twitter.com/pagalvin

ATJAUNINĀJUMS (02/29/08): Šī jaunā codeplex projekts, šķiet, sniedz metodi, lai nodrošinātu katras atsevišķās kolonnas: http://www.codeplex.com/SPListDisplaySetting. Ja jums ir pieredze strādājot ar to, Lūdzu, atstājiet komentāru.

Forums plakātus bieži uzdot jautājumu kā šis: "Man ir vadītāja skatu un un personāla saraksta skatu. Kā nodrošināt vadītāja skatu tā, lai darbinieki var neizmantot to?"

Viņi arī bieži uzdot saistīto jautājumu: "Es vēlos, lai nodrošinātu specifiskus metadatu kolonnas tā, lai tikai pārvaldnieki var rediģēt šo kolonnu, kamēr citi var pat nepamanīt."

Šīs atbildes attiecas uz abiem WSS 3.0 un sūnas:

• SharePoint nenodrošina out-of--box atbalsta nodrošināšanai viedokli.
• SharePoint nenodrošina out-of--box atbalstu drošības kolonnām.

Pastāv vairākas metodes viens var sekot tikties ar šāda veida drošības prasībām. Lūk, ko spēs izdomāt:

• Izmantot, out-of--box vienuma līmeņa drošību. Skatos vienmēr godu krājumu līmeņa drošības konfigurācijas. Notikumu uztvērēju un/vai darbplūsmas varat automatizēt drošības piešķiršana.
• Izmantot personisko viedokli "gods" viedokli. Tie ir vienkārši uzstādāms. Tomēr, ņemot vērā viņu personisko"" daba, tos nepieciešams konfigurēt katram lietotājam. Izmantot standarta drošības konfigurācija, lai neļautu kādam citam izveidot personisku skatu.
• Izmantot datu skata web daļa un īstenot AJAXy drošības apgriešana risinājums, kādu.
• Roll savu sarakstu displeja funkcionalitātes un drošības apgriešana līmenī kolonnas iekļaut.
• Modificēt datu ievades formas un izmantot JavaScript kopā ar drošības modeli, lai īstenotu kolonnu līmeņa drošības apgriešana.
• Izmantot InfoPath veidlapu datu ievadei. Īstenot kolonnu līmeņa drošības apgriešana, izmantojot web pakalpojumu zvanus uz SharePoint un nosacīti paslēpt laukus nepieciešamības.
• Roll savu ASP.NET datus ieraksta funkcija, kas ievieš kolonnu līmeņa drošības apgriešana.

Neviens no šiem variantiem ir tiešām tik liela, bet vismaz, kuru ceļu izvēlēties, ja nepieciešams, pat tad, ja tas ir grūti.

PIEZĪME: Ja jūs iet pa jebkuru no šiem ceļiem, Neaizmirstiet par "darbības-> Atvērt, izmantojot Windows Explorer". Jūs vēlaties būt pārliecināts, ka jūs pārbaudīt ar šo funkciju, lai pārliecinātos, ka tas nedarbojas kā "back door" un sakaut drošības shēma.

Ja jums ir citas idejas vai pieredzi nodrošinot kolonnas vai viedokli, lūdzu e-pasts mani vai atstāt komentāru un I'll atjaunina šo paziņojumu, vajadzības.

</beigās>

Abonēt manu blogu.

ATJAUNINĀJUMS: I ievietojis šo jautājumu uz MSDN šeit (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) un Michael Washam Microsoft atbildēja ar īsu atbildi.

I izveidojis web pakalpojumam jādarbojas kā BDC draudzīgu fasādi uz SharePoint sarakstu. Kad es izmantoja šo no mana izstrādes vidi, tā strādāja fine. Kad man tas migrēta uz jaunu serveri, Man radušās šo kļūdu:

Lūk, rindas 69:

izmantojot (SPSite vietā = jaunu SPSite("http://localhost/sandbox"))

Es to izmēģināju dažādas variācijas par URL, ieskaitot servera īsto vārdu, tā IP adrese, trailing slashes uz URL, uc. Es vienmēr got kļūdas.

Es mēdzu Google lai veiktu izpēti. Daudzi cilvēki saskaras ar šo problēmu, vai tā variācijas, taču neviens, šķiet, ir atrisinātas.

Viltīgs MOSS sniedz šādu detalizētu kļūdu, ka tas nenotika ar mani, lai pārbaudītu 12 stropu žurnālus. Galu galā, par 24 stundas pēc mans kolēģis ieteicams to darīt, Es paņemts 12 stropu žurnālu un uzskatīja, ka šis:

Mēģinot iegūt vietējās fermas radās izņēmums:
System.Security.SecurityException: Pieprasītais reģistrs piekļuve nav atļauta.
pie System.ThrowHelper.ThrowSecurityException(ExceptionResource resursu) pie Microsoft.Win32.RegistryKey.OpenSubKey(Virknes nosaukums, Boolean ierakstāmajā) pie Microsoft.Win32.RegistryKey.OpenSubKey(Virknes nosaukums) pie Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() pie Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() pie Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& saimniecības, Būla vērtība& isJoined)
Montāža, kas neizdevās zonā bija:  MyComputer

Tas pavēra jaunas iespējas pētniecības, Tātad tas bija atpakaļ uz Google. Kas veda mani uz šo forumā pastu: http://Forums.codecharge.com/posts.php?post_id = 67135. Tas tiešām nav man palīdzēt, bet tas nebija sākt pelnīt, man liekas, tur bija datu bāzes un/vai drošības jautājumu. Es soldiered un Andrew Connell pastu, beidzot izraisīja doma, ka vajadzētu padarīt pārliecināts, ka lietojumprogrammu pūla identitātes konts bija atbilstošu piekļuvi datu bāzei. Es domāju, ka tas jau bija. Tomēr, mans kolēģis gāja un deva app pūla identitātes kontu pilnīgu piekļuvi SQL.

Tiklīdz viņa veiktas šādas izmaiņas, viss sāka strādāt.

Kas notika tālāk, vislabāk izsaka kā haiku dzejolis:

Problēmas pacelt rokas.
Šūpoles un mis. mēģini vēlreiz.
Panākumi! Bet kā? kāpēc?

Viņa negribēja atstāt lietas vien, piemēram, ka, dodot priekšroku dot minimālo nepieciešamo atļauju (un droši vien darba rakstīšana blog entry; Es viņu sita perforators, muhahahahaha!).

Viņa izņēma secīgu atļaujas no app pūla identitātes kontu līdz … vairs nebija jebkurā nepārprotamu atļauju app pūla identitātes konta vispār. Web pakalpojumu, kas turpina strādāt tikai naudas sodu.

Mēs devās un rebooted serveriem. Viss, kas turpināja strādāt naudas sodu.

Tik, lai atgādinājums: mums deva app pūla identitātes pilnu piekļuvi un pēc tam aizveda prom. Web pakalpojums sāka strādāt un nekad nav pārtraucis darba. Savāda.

Ja kāds zina, kāpēc tas būtu strādājis, Lūdzu, atstājiet komentāru.

</beigās>

Man vajadzēja atbilst drošības prasībām, InfoPath veidlapas šodien. Šādā situācijā darba, salīdzinoši neliels skaits personām ir atļauts izveidot jaunu InfoPath formu un daudz plašākai auditorijai ir atļauts to rediģēt. (Tas ir jauns nomas par uzkāpjot izmantotās veidlapas ar cilvēkresursiem, kas uzsāk darbplūsmu).

Lai sasniegtu šo mērķi, Es radīju izveidoto divus jaunus atļauju līmeņus ("izveidot un atjaunināt" un "atjaunināt tikai"), lauza pārmantošanu veidlapu bibliotēkai un piešķirto atļauju a "izveide, atjaunināt" lietotājam, kā _ arī blakus atsevišķā "atjaunināt tikai" lietotājs. Visi mehāniķi strādāja, bet izrādījās, ka tā ir nedaudz vairāk iesaistot, nekā biju gaidījusi. (Ja jūs jūtaties mazliet nestabila atļaujas SharePoint, Pārbaudiet šo blog post). Atļauju līmeņa nepieciešamo drošības konfigurācija nebija skaidrs granulu atļauju kopu. Lai izveidotu tikai atjaunināt atļauju līmeņa InfoPath veidlapas, Es darīju šādi:

1. Izveidot jaunu atļauju līmeni.
2. Nokopt visas iespējas.
3. Atlasīti tikai šādus no "Saraksta atļaujas":

• Rediģēt vienumus
• Skatīt vienumus
• Skatīt pieteikuma lapas

Izvēloties šīs opcijas ļauj lietotājam, lai atjauninātu veidlapas, bet tas nevar izveidot.

Triks bija ļauj "Skatīt pieteikuma lapas". Tur nav visas verbage par atļauju līmeni, kas norāda, ka ir nepieciešama tikai atjaunināšana InfoPath veidlapām, bet izrādās, tas ir.

Izveide un atjaunināšana tika veikta vēl dīvaināks. Es sekoju tās pašas darbības, 1 caur 3 virs. Man bija īpaši pievienot "vietnes atļaujas" opcija: "Izmantot klientu integrācijas līdzekļi". Atkal, Šis apraksts nesniedz to, šķiet, tāpat kā tam vajadzētu būt nepieciešamās InfoPath veidlapas, bet tā nu tas ir.

</beigās>

ATJAUNINĀJUMS 01/28/08: Šis codeplex projekts risina šo jautājumu: http://www.codeplex.com/AccessChecker. Man nav lietojuši, bet tas izskatās daudzsološi, ja tas ir jautājums, kas jums ir nepieciešams vērsties savā vidē.

ATJAUNINĀJUMS 11/13/08: Joel Oleson wrote līdz ļoti labs pastu par lielāku drošības pārvaldības jautājumu šeit: http://www.sharepointjoel.com/ Lists/Posts/Post.aspx?Saraksts = 0cd1a63d % 2D183c % 2D4fc2 %2 D 8320 % 2Dba5369008acb&ID = 113. Tas saites uz citu noderīgu resursu skaitu.

Foruma lietotāji un klienti bieži uzdot jautājumu gar šīs līnijas: "Kā izveidot sarakstu no visiem lietotājiem ar piekļuvi vietnei" vai "kā var man automātiski brīdināt visiem lietotājiem ar piekļuvi sarakstam par sarakstā veiktās izmaiņas?"

Nav neviena ārpus box risinājums šai. Ja jūs domājat par to, kādu brīdi, tas nav grūti saprast, kāpēc.

Komponenta SharePoint drošību ir ļoti elastīgs. Ir vismaz četras galvenās kategorijas lietotājiem:

• Anonīmiem lietotājiem.
• SharePoint lietotājiem un grupām.
• Active Directory lietotājus.
• Veidlapas, kuru pamatā autentifikācijas (FBA) lietotāji.

Elastīgumu, kas nozīmē, ka no drošības viedokļa, jebkurā konkrētā SharePoint vietnē būs krasi atšķiras no otra. Lai ģenerētu sarakstu access atskaiti, ir nepieciešams, lai pārliecinātos, cik vietu ir drošs, vairāku citu lietotāja profila krātuvēs vaicājumu un pēc tam iesniegt to noderīgu modes. Tā ir smaga problēma apkopojoši risināt.

Kā organizācijas nodarbojas ar šo? Es labprāt vēlētos dzirdēt no jums ir komentāri vai e-pasts.

</beigās>

ATJAUNINĀJUMS 12/18/07: Skatiet rakstā Paul Liebrand dažas tehniskas sekas noņemt vai modificēt noklusējuma grupu nosaukumus (redzēt savu komentāru zemāk, kā arī).

Pārskats:

Komponenta SharePoint drošību ir viegli konfigurēt un pārvaldīt. Tomēr, tas izrādījies grūti dažiem pirmo reizi administratoriem tiešām wrap to pirkstos. Ne tikai to, ka, Esmu redzējis dažas ierasties perfektu izpratni no pirmdienas līdz esat to pazaudējis, piektdien, jo tie nav jādara jebkurā konfigurācijas intervences laikā, tikai administratoriem. (Jāatzīst, kam šo problēmu sevi). Šī bloga ieraksts cerams sniedz noderīgu SharePoint drošību primer un norāda uz dažiem drošības konfigurācijas labākās prakses.

Svarīga piezīme:

Šis apraksts pamatā ir gatavas komponenta SharePoint drošību. Mana personīgā pieredze orientēta ap MOSS tāpēc var būt dažas SŪNA īpaši stuff here, bet es uzskatu, ka tas ir precīzs WSS. Ceru, ka ikviens redzēt jebkuras kļūdas vai izlaidumi būs norādīti kas komentārus vai e-pasts mani. I'll veikt labojumus pēc steiga.

Pamati:

Šī pārskata izpratnē, ir četri pamata drošības aspekti: lietotāji/grupas, drošināmie objekti, atļauju līmeņi un pārmantošanu.

Lietotājus un grupas uz leju, lai pārtrauktu:

• Atsevišķiem lietotājiem: Izvilka no aktīvā direktorija vai_ar ī izveidot tieši programmā SharePoint.
• Grupas: Kartētas tieši no active directory, vai_ar ī izveidot programmā SharePoint. Grupas ir lietotāji kolekcija. Grupām ir globālas vietņu kolekcijā. Viņi nekad "saistīti" līdz konkrētam aizsargājamam objektam.

Drošināmie objekti pārtraukums līdz vismaz:

• Vietnes
• Dokumentu bibliotēkas
• Atsevišķus vienumus sarakstos un dokumentu bibliotēkās
• Mapes
• BDC dažādus iestatījumus.

Tur citi aizsargājami objekti, bet jums attēlu.

Atļauju līmeņi: Saišķis, granulu / zema līmeņa piekļuves tiesības, kas ietver tādas lietas kā izveidot/lasīt/izdzēst ierakstu sarakstus.

Mantojums: Pēc noklusējuma personas manto drošības iestatījumi to satur objektu. Apakšvietnēm pārmantot atļaujas no vecākvietnēm. Dokumentu bibliotēkas, kas manto no viņu vietā. Tā tālāk un tā tālāk.

Lietotājus un grupas, kas attiecas uz drošināmos objektos, izmantojot atļauju līmeņus un pārmantošanu.

Svarīgākais drošības noteikumiem jāsaprot, Ever 🙂 :

1. Ir vienkārši kolekcijas lietotāju grupas.
2. Grupām ir globālas vietņu kolekcijā (ti. nav tādas lietas kā grupa, kas definē vietnes līmenī).
3. Nenoliedzot grupas nosaukums, grupām nav, blakus un par sevi, jebkuru konkrētu drošības līmenis.
4. Grupām ir drošības kontekstā konkrētam aizsargājamam objektam.
5. Vienai grupai katru aizsargājamam objektam var piešķirt dažādu līmeņu atļaujas.
6. Web lietojumprogrammu politikas pārspētu visas šīs (sk. tālāk).

Drošības administratoru, zaudējis jūrā lietotāju un lietotāju grupu saraksti vienmēr var paļauties uz šo aksiomu pārvaldīt un izprast savas drošības konfigurācija.

Projektējat:

• Grupu nosaukumi nepatiesi nenozīmē atļauju: No kastes, SharePoint grupu vārdi, nozīmē drošības pakāpe ir raksturīga kopumu definē. Apsvērt "Veicinātāju" grupai. Viens svešs ar komponenta SharePoint drošību var arī aplūkot šo nosaukumu un pieņemt, ka jebkurš grupas loceklis var "veicināt" jebkurā vietā/saraksts/bibliotēku portāla. Tas var būt taisnība, bet nevis tāpēc, ka notiek grupas nosaukumu "ieguldītājs". Tas ir tikai taisnība, no kastē, jo grupa ir sniegusi atļauju līmeni, kas tiem ļauj pievienot/rediģēt/dzēst saturu saknes vietnē. Ar mantojuma, "iemaksas" grupa var arī pievienot/rediģēt/dzēst saturu pēc katra apakšvietne. Viens var "pārtraukums" mantojuma ķēdē un apakšvietne šādu atļauju līmeņa maiņu, tā saukto "līdzstrādnieks locekļi" grupu nevar palīdzēt visos, bet tikai lasīt (piemēram). Tas būtu laba doma, acīmredzot, jo tas ir ļoti mulsinoši.
• Grupām nav definēti vietnes līmenī. Tas ir viegli sajaukt ar lietotāja interfeisu. Microsoft nodrošina ērtu saiti uz lietotāju/grupu pārvaldībai, izmantojot katrai vietnei "cilvēki un grupas" saite. Ir viegli domāt, ka es esmu pie vietas "xyzzy" izveidot grupu ar xyzzy ir cilvēki un grupas saite, kas tikko izveidotās grupas, kuras pastāv tikai pie xyzzy. Ka tā nav. Es tiešām esmu izveidojis grupu visai vietņu kolekcijai.
• Grupas dalību vieta nemainās (ti. tas ir tas pats visur grupa tiek lietota): Apsveriet grupa "īpašnieks" un divas vietas, "HR" un "Logistics". Tas būtu normāli domāt, ka divi atsevišķi indivīdi atzīst šīs vietnes — h īpašnieks un loģistikas īpašnieks. Lietotāja interfeiss atvieglo drošības administratoru, lai mishandle šo scenāriju. Ja nav zināms labāk, Varētu piekļūt personas un grupas saites, izmantojot vietni HR, izvēlieties "īpašniekiem" grupu un pievienot manu HR īpašnieks šai grupai. Mēnesi vēlāk, Loģistikas nāk rindā. Varu piekļūt cilvēkiem un grupām no loģistikas vietā, pievienot pieturēt "īpašniekiem" grupa. Es redzu tur HR īpašnieks un izņemt viņu, domāju, ka esmu noņemt viņu no loģistikas vietņu īpašniekiem. patiesībā, Es esmu viņas noņemšana no pasaules īpašnieku grupas. Jautrība var apsvērt.
• Kļūdaino vārdu grupas, kas bāzētas uz īpašo lomu: "Apstiprinātājiem" grupa ir perfekts piemērs. Ko var apstiprināt šīs grupas locekļus? Kur viņi var to apstiprināt? Vai es tiešām gribu cilvēkiem loģistikas departaments varētu apstiprināt HR dokumentus? Protams, nav. Vienmēr vārds grupu, atkarībā no viņu lomas organizācijā. Tas samazina risku, ka grupai tiek piešķirts neatbilstoša atļauju līmenis konkrētam aizsargājamam objektam. Nosaukumu grupās atkarībā no to paredzētā nozīme. Iepriekšējā scenārijā HR/loģistika, Ja esat izveidojis divas jaunas grupas: "HR īpašnieki" un "loģistikas īpašnieki" un piešķirt saprātīgu atļauju līmeņus katram, un minimālo summu, kas nepieciešama šiem lietotājiem, lai viņi varētu veikt savu darbu.

Citas noderīgas atsauces:

• Web lietojumprogrammu politikas gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Komponenta SharePoint drošību centru: http://www.sharepointsecurity.com/
• Saites no Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Ja jūs esat padarījuši šo tālu:

Lūdzu, ļaujiet man zināt jūsu domas, izmantojot komentārus vai e-pastu man. Ja jūs zināt citas labas atsauksmes, lūdzu darīt to pašu!