ATJAUNINĀJUMS 12/18/07: Skatiet rakstā Paul Liebrand dažas tehniskas sekas noņemt vai modificēt noklusējuma grupu nosaukumus (redzēt savu komentāru zemāk, kā arī).
Pārskats:
Komponenta SharePoint drošību ir viegli konfigurēt un pārvaldīt. Tomēr, tas izrādījies grūti dažiem pirmo reizi administratoriem tiešām wrap to pirkstos. Ne tikai to, ka, Esmu redzējis dažas ierasties perfektu izpratni no pirmdienas līdz esat to pazaudējis, piektdien, jo tie nav jādara jebkurā konfigurācijas intervences laikā, tikai administratoriem. (Jāatzīst, kam šo problēmu sevi). Šī bloga ieraksts cerams sniedz noderīgu SharePoint drošību primer un norāda uz dažiem drošības konfigurācijas labākās prakses.
Svarīga piezīme:
Šis apraksts pamatā ir gatavas komponenta SharePoint drošību. Mana personīgā pieredze orientēta ap MOSS tāpēc var būt dažas SŪNA īpaši stuff here, bet es uzskatu, ka tas ir precīzs WSS. Ceru, ka ikviens redzēt jebkuras kļūdas vai izlaidumi būs norādīti kas komentārus vai e-pasts mani. I'll veikt labojumus pēc steiga.
Pamati:
Šī pārskata izpratnē, ir četri pamata drošības aspekti: lietotāji/grupas, drošināmie objekti, atļauju līmeņi un pārmantošanu.
Lietotājus un grupas uz leju, lai pārtrauktu:
- Atsevišķiem lietotājiem: Izvilka no aktīvā direktorija vai_ar ī izveidot tieši programmā SharePoint.
- Grupas: Kartētas tieši no active directory, vai_ar ī izveidot programmā SharePoint. Grupas ir lietotāji kolekcija. Grupām ir globālas vietņu kolekcijā. Viņi nekad "saistīti" līdz konkrētam aizsargājamam objektam.
Drošināmie objekti pārtraukums līdz vismaz:
- Vietnes
- Dokumentu bibliotēkas
- Atsevišķus vienumus sarakstos un dokumentu bibliotēkās
- Mapes
- BDC dažādus iestatījumus.
Tur citi aizsargājami objekti, bet jums attēlu.
Atļauju līmeņi: Saišķis, granulu / zema līmeņa piekļuves tiesības, kas ietver tādas lietas kā izveidot/lasīt/izdzēst ierakstu sarakstus.
Mantojums: Pēc noklusējuma personas manto drošības iestatījumi to satur objektu. Apakšvietnēm pārmantot atļaujas no vecākvietnēm. Dokumentu bibliotēkas, kas manto no viņu vietā. Tā tālāk un tā tālāk.
Lietotājus un grupas, kas attiecas uz drošināmos objektos, izmantojot atļauju līmeņus un pārmantošanu.
Svarīgākais drošības noteikumiem jāsaprot, Ever 🙂 :
- Ir vienkārši kolekcijas lietotāju grupas.
- Grupām ir globālas vietņu kolekcijā (ti. nav tādas lietas kā grupa, kas definē vietnes līmenī).
- Nenoliedzot grupas nosaukums, grupām nav, blakus un par sevi, jebkuru konkrētu drošības līmenis.
- Grupām ir drošības kontekstā konkrētam aizsargājamam objektam.
- Vienai grupai katru aizsargājamam objektam var piešķirt dažādu līmeņu atļaujas.
- Web lietojumprogrammu politikas pārspētu visas šīs (sk. tālāk).
Drošības administratoru, zaudējis jūrā lietotāju un lietotāju grupu saraksti vienmēr var paļauties uz šo aksiomu pārvaldīt un izprast savas drošības konfigurācija.
Projektējat:
- Grupu nosaukumi nepatiesi nenozīmē atļauju: No kastes, SharePoint grupu vārdi, nozīmē drošības pakāpe ir raksturīga kopumu definē. Apsvērt "Veicinātāju" grupai. Viens svešs ar komponenta SharePoint drošību var arī aplūkot šo nosaukumu un pieņemt, ka jebkurš grupas loceklis var "veicināt" jebkurā vietā/saraksts/bibliotēku portāla. Tas var būt taisnība, bet nevis tāpēc, ka notiek grupas nosaukumu "ieguldītājs". Tas ir tikai taisnība, no kastē, jo grupa ir sniegusi atļauju līmeni, kas tiem ļauj pievienot/rediģēt/dzēst saturu saknes vietnē. Ar mantojuma, "iemaksas" grupa var arī pievienot/rediģēt/dzēst saturu pēc katra apakšvietne. Viens var "pārtraukums" mantojuma ķēdē un apakšvietne šādu atļauju līmeņa maiņu, tā saukto "līdzstrādnieks locekļi" grupu nevar palīdzēt visos, bet tikai lasīt (piemēram). Tas būtu laba doma, acīmredzot, jo tas ir ļoti mulsinoši.
- Grupām nav definēti vietnes līmenī. Tas ir viegli sajaukt ar lietotāja interfeisu. Microsoft nodrošina ērtu saiti uz lietotāju/grupu pārvaldībai, izmantojot katrai vietnei "cilvēki un grupas" saite. Ir viegli domāt, ka es esmu pie vietas "xyzzy" izveidot grupu ar xyzzy ir cilvēki un grupas saite, kas tikko izveidotās grupas, kuras pastāv tikai pie xyzzy. Ka tā nav. Es tiešām esmu izveidojis grupu visai vietņu kolekcijai.
- Grupas dalību vieta nemainās (ti. tas ir tas pats visur grupa tiek lietota): Apsveriet grupa "īpašnieks" un divas vietas, "HR" un "Logistics". Tas būtu normāli domāt, ka divi atsevišķi indivīdi atzīst šīs vietnes — h īpašnieks un loģistikas īpašnieks. Lietotāja interfeiss atvieglo drošības administratoru, lai mishandle šo scenāriju. Ja nav zināms labāk, Varētu piekļūt personas un grupas saites, izmantojot vietni HR, izvēlieties "īpašniekiem" grupu un pievienot manu HR īpašnieks šai grupai. Mēnesi vēlāk, Loģistikas nāk rindā. Varu piekļūt cilvēkiem un grupām no loģistikas vietā, pievienot pieturēt "īpašniekiem" grupa. Es redzu tur HR īpašnieks un izņemt viņu, domāju, ka esmu noņemt viņu no loģistikas vietņu īpašniekiem. patiesībā, Es esmu viņas noņemšana no pasaules īpašnieku grupas. Jautrība var apsvērt.
- Kļūdaino vārdu grupas, kas bāzētas uz īpašo lomu: "Apstiprinātājiem" grupa ir perfekts piemērs. Ko var apstiprināt šīs grupas locekļus? Kur viņi var to apstiprināt? Vai es tiešām gribu cilvēkiem loģistikas departaments varētu apstiprināt HR dokumentus? Protams, nav. Vienmēr vārds grupu, atkarībā no viņu lomas organizācijā. Tas samazina risku, ka grupai tiek piešķirts neatbilstoša atļauju līmenis konkrētam aizsargājamam objektam. Nosaukumu grupās atkarībā no to paredzētā nozīme. Iepriekšējā scenārijā HR/loģistika, Ja esat izveidojis divas jaunas grupas: "HR īpašnieki" un "loģistikas īpašnieki" un piešķirt saprātīgu atļauju līmeņus katram, un minimālo summu, kas nepieciešama šiem lietotājiem, lai viņi varētu veikt savu darbu.
Citas noderīgas atsauces:
- Web lietojumprogrammu politikas gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Komponenta SharePoint drošību centru: http://www.sharepointsecurity.com/
- Saites no Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Ja jūs esat padarījuši šo tālu:
Lūdzu, ļaujiet man zināt jūsu domas, izmantojot komentārus vai e-pastu man. Ja jūs zināt citas labas atsauksmes, lūdzu darīt to pašu!