Архиви на категоријата: SharePoint безбедност

"Пристапот е одбиен” да Default.aspx на SharePoint 2010 Под Мапа

Еден од моите клиенти отиде во живо со нивните SharePoint 2010 животната средина денес.  Ние откривме дека одредена група на корисници кои не би можеле да имаат пристап до своите стандардно Главна страница.  SharePoint одговори со "Пристапот е одбиен" и вообичаените "знак во како друг корисник" или "барање пристап" одговор. 

Кога ние се користи Вешта "Провери пристап" функција тоа го потврдиле дека крајните корисници навистина немаат пристап.  Сепак,, тие не би можеле да добијат на страницата.

Го следев многу патишта до разни мртви краеви до решив да се споредат веб делови за скршени страница од слична работа страница.  Јас го направив тоа со ставање на страница во одржување на владата со додавање на "?содржината = 1 "на страница. Така, тоа изгледаше како "http://сервер / subsite / subsite / Default.aspx?содржината = 1 ". 

Ова ми покажа две веб делови наречен "Грешка" со опис како "Грешка" на скршени страница.  Јас не мислам да се земе екран капа во времето.

Јас ги отстранат и дека го решиле проблемот.

Сум видел вакво едно прашање излезе на форуми во минатото и јас бев крајно скептичен во врска со инсистирањето на членот дека тој безбедност постави правилно.  Јас * знаат * имав безбедност постави право Насмевка  Следниот пат, Ќе бидат поотворени и помалку скептични.

</крајот>

Да се ​​претплатите на мојот блог.

Следете ме на Twitter во http://www.twitter.com/pagalvin

Користете Работното да се симулираат Типот на содржина безбедност

Друг ден, друг MSDN-форуми инспириран пост.

Некој прашуваат дали тие би можеле да се обезбеди типот на содржина таква што кога корисникот ќе кликне на копчето "Креирај" на сопствен листа, само типови содржини на кои тоа лице е обезбеден пристап ќе се појави во паѓачката листа.  Како што знаеме, ова не е поддржано надвор од кутијата.

Ова прашање доаѓа до сега и тогаш и овој пат, Имав нова идеја.  Да претпоставиме дека имаме сценарио како ова:

  • Имаме helpdesk Ким систем.
  • На helpdesk билет систем им овозможува на корисниците да влезат редовни helpdesk билет инфо, како проблем област, Проблемот статусот, итн.
  • Ние сакаме да им овозможи на "супер" на корисниците да наведете "итност" терен.
  • Другите корисници немаат пристап до таа област.  Системот секогаш ќе додели "средно" ниво приоритет на нивните барања.

Што можеме да направиме е да се создаде две одделни SharePoint листи и две различни типови содржини, една за "супер" корисници и други за сите останати.

Работното на секоја листа копии на податоците во господар листа (вистинските helpdesk билет листа) и процесот продолжува од таму.

Овој пристап би можеле да работат тече еден вид на колона ниво на безбедност, како и. 

Не сум се обидел, но тоа се чувствува разумни и дава прилично едноставна, ако прилично груб, опција да се спроведе еден вид на типот на содржина, па дури и колона ниво на безбедност.

</крајот>

Да се ​​претплатите на мојот блог.

Следете ме на Twitter во http://www.twitter.com/pagalvin

Содржина Одобрување како Автоматско Неквалитетна човекот точка на ниво на безбедност

Има еден заеднички бизнис сценарио со InfoPath формуларите.  Сакаме им овозможи на луѓето да ги пополните InfoPath формуларите и да ги достават до библиотека.  Ние сакаме менаџери (и никој друг) да имаат пристап до оние форми.

Ова прашање доаѓа до сега, а потоа на форми (e.g. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

А брз начин да се реши ова е да се овозможи содржина одобрение за формата библиотека.  Оди верзија поставувања на библиотеката и го постави како што е прикажано:

image 

Кликнете на "Потребен содржина одобрување" и кој ќе ви овозможи да се избере вредност за Предлог-точка безбедност.

Тоа е малку контра-интуитивно, бидејќи ние не размислуваат во смисла на "содржина одобрување" кога сите ние сакаме да направите е да се спречат луѓето од гледање другите корисници 'форми.  Сепак, таа работи добро (во моето искуство).  Само не го одобруваат оние форми и тие секогаш ќе се смета за "нацрти". 

Даде одобрение права на луѓе кои треба да бидат во можност да ги види и да си ја затвори јамка.

Ова не е точно голема вест, но прашањето не излезе со некои регуларноста, па јас мислев дека ќе биде достоен за објавување.

</крајот>

Да се ​​претплатите на мојот блог.

Следете ме на Twitter во http://www.twitter.com/pagalvin

Што е ограничен пристап Како и да е?

Ажурирање 11/03/08: Бидете сигурни да го прочитате одличен и детални коментар од Dessie Lunsford на овој пост.

Сум работел на тајна технологија за уредување проект за до-доаѓаат книга и референци овој блог запис од страна на Тајлер Батлер на MSDN СКМ блог. This is the first time I personally read a clear definition of the meaning of Limited Access. Here’s the meat of the definition:

Во SharePoint, анонимни корисници’ права утврдени со ограничен пристап дозвола ниво. Ограничен пристап е специјална дозвола ниво што не може да биде доделен на корисник или група директно. Причината што постои е затоа што ако имате библиотека или subsite дека ги прекршил дозволи наследство, и да ви даде корисникот / групата пристап до само тоа библиотека / subsite, со цел да ја видите нејзината содржина, за корисникот / групата мора да има некои пристап до коренот веб. Инаку на корисникот / групата ќе биде во можност да ја разгледате нашата библиотека / subsite, иако тие имаат права таму, бидејќи постојат работи во коренот веб, кои се потребни за да се даде на сајт или библиотека. Затоа, кога ви даде група дозволи само на subsite или библиотека која е кршење дозволи наследство, SharePoint автоматски ќе им даде ограничен пристап до таа група или корисник на коренот веб.

Ова прашање доаѓа до сега, а потоа на MSDN форуми и јас отсекогаш сум бил љубопитен (но не доволно љубопитни да го дознаам пред денес :)).

</крајот>

Да се ​​претплатите на мојот блог.

Следете ме на Twitter во http://www.twitter.com/pagalvin

Technorati Тагови:

Брзо Совет: Конфигурирате за безбедност за да се овозможи Администратори да пристапите на некој мојот сајт во SharePoint

Во знак дека социјалните компјутери почнува да ги тргнеме со SharePoint, I see an increased number of My Site type questions. One common question goes something like this:

"I am an administrator and I need to be able to access every My Site. How do I do that?"

The trick here is that each My Site is its own site collection. SharePoint security is normally administered at the site collection level and this trips up many a SharePoint administrator. Нормално, she already has access to configure security in the "main" сајт колекции и не можат да сфатат дека ова не значи дека автоматски се работи за моите сајтови.

Мапа на колекционери колективно живее внатре во поголем сад, which is the web application. Farm admins can can configure security at the web app level and this is how admins can grant themselves access to any site collection in the web application. This blog entry describes one of my personal experiences with web application policies. I defined a web application policy by accident: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web application policies can be dangerous and I suggest that they be used sparingly. If I were an admin (и слава Богу јас не сум), I would create a separate AD account named something like "SharePoint Web App Administrator" and give that one account the web application security role it needs. I would not configure this kind of thing for the regular farm admin or individual site collection admins. It will tend to hide potential problems because the web app role overrides any lower level security settings.

</крајот>

Да се ​​претплатите на мојот блог.

Следете ме на Twitter во http://www.twitter.com/pagalvin

Ставови и Колони на листи и документ библиотеки не може да биде обезбедена

Ажурирање (02/29/08): Оваа нова CodePlex проект се чини да обезбеди метод за обезбедување на индивидуалните колони: http://www.codeplex.com/SPListDisplaySetting. If you have any experience working with it, Ве молиме оставете коментар.

Форум постери често прашам едно прашање вака: "I have a manager view and and a staff view of a list. How do I secure the manager view so that staff can not use it?"

Тие, исто така, често се прашуваат поврзани со прашањето: "I want to secure a specific metadata column so that only managers may edit that column while others may not even see it."

These answers apply to both WSS 3.0 и Мос:

  • SharePoint не обезбедува надвор од-the-box поддршка за обезбедување пати.
  • SharePoint не обезбедува надвор од-the-box поддршка за безбедносни колони.

There are several techniques one can follow to meet these kinds of security requirements. Here’s what I can think of:

  • Use out-of-the-box item level security. Views always honor item level security configuration. Event receivers and/or workflow can automate security assignment.
  • Use personal views for "privileged" views. These are easy enough to set up. Сепак, due to their "personal" природата, these need to be configured for each user. Use standard security configuration to prevent anyone else from creating a personal view.
  • Користите дата поглед веб дел и имплементира некој вид на AJAXy безбедност кастри решение.
  • Се тркалаат свој листа дисплеј функционалност и инкорпорирање безбедност кастрење на колона ниво.
  • Измени на внес на податоци форми и користете го вклучите Javascript во врска со безбедноста модел за спроведување на колона на ниво на безбедност кастрење.
  • Use an InfoPath form for data entry. Implement column-level security trimming via web service calls to SharePoint and conditionally hide fields as needed.
  • Се тркалаат свој ASP.NET податоци влез функција која спроведува колона ниво на безбедност кастрење.

Ниту еден од тие опции се навистина толку голема, но постои барем да го следат патот ако треба да се, дури и ако тоа е тешко.

ЗАБЕЛЕШКА: Ако одите надолу било кој од овие патишта, don’t forget about "Actions -> Open with Windows Explorer". You want to be sure that you test with that feature to make sure that it doesn’t work as a "back door" и пораз безбедност шема.

Ако имате други идеи за или искуства со обезбедување на колони или пати, ве молиме е-мејл мене или оставете коментар и јас ќе се ажурира оваа вест како што е соодветно.

</крајот>

Да се ​​претплатите на мојот блог.

Technorati Тагови:

Решение: System.IO.FileNotFoundException на “SPSite = new SPSite(рачно)”

Ажурирање: Јас ја има пратено оваа прашање да MSDN тука (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) and Michael Washam of Microsoft responded with a concise answer.

Јас создаде веб сервис за да дејствува како ЦРБ-пријателски фасада to a SharePoint list. When I used this from my development environment, тоа добро работеа. Кога јас мигрирале оваа на нов сервер, Јас се сретнал оваа грешка:

System.IO.FileNotFoundException: Web апликацијата на http://localhost/sandbox не може да се најде. Се потврди дека сте ја внеле URL-то правилно. Ако рачно треба да се служат постоечките содржини, администраторот на системот може да се стави за да додадете ново барање рачно мапирање до наменети апликација. во Microsoft.SharePoint.SPSite .. ctor(SPFarm фарма, Ури requestUri, Булова contextSite, SPUserToken userToken) во Microsoft.SharePoint.SPSite .. ctor(Стринг requestUrl) во Conchango.xyzzy.GetExistingDocument(Стринг minId, Стринг maxId, Стринг titleFilter) во C:\Documents and Settings Пол My Documents Visual Studio 2005 Проекти xyzzy BDC_DocReview BDC_DocReview DocReviewFacade.asmx.cs:линија 69

Тука е линија 69:

користење на (SPSite сајт = new SPSite("http://localhost/sandbox"))

Се обидов различни варијации на URL-то, вклучувајќи и користење на вистинското име на серверот, неговата IP адреса, заостанува засеци на URL-то, итн. I always got that error.

Јас се користат На Google to research it. Lots of people face this issue, или варијации на тема, но никој не се чинеше дека го имаат решено.

Стегнат Мос под услов таквите детален грешка дека тоа не се случи да ми да се провери 12 hive logs. На крајот, за 24 часа по мојот колега препорачува правам така, Ги проверив надвор од 12 кошница најавите и најдов ова:

По исклучок попречува при обидот да се здобијат со локалната фарма:
System.Security.SecurityException: Бара регистар пристап не е дозволено.
во System.ThrowHelper.ThrowSecurityException(ExceptionResource ресурси) во
(Стринг име, Булова можат да се запишуваат) во
(Стринг име) во
() во
() во
(SPFarm& фарма, Булова& isJoined)
Зоната на собранието што не успеа беше:  MyComputer

Ова им отвори нови можности за истражување, па тоа се врати на Google. Тоа ме доведе до ова форум: HTTP://forums.codecharge.com / posts.php?post_id = 67.135. That didn’t really help me but it did start making me think there was a database and/or security issue. I soldiered on and Ендрју Connell на post finally triggered the thought that I should make sure that the application pool’s identity account had appropriate access to the database. I thought it already did. Сепак, мојот колега отиде и го даде на стан базен идентитет сметка целосен пристап до SQL.

Штом таа го направи таа промена, everything started working.

Што се случи следно е најдобро изразен како хаику песна:

Проблеми ги креваат рацете.
You swing and miss. Try again.
Успех! But how? Зошто?

Таа не сака да ги остави работите сами како што, претпочитајќи да даде потребниот минимум дозвола (и веројатно со окото на пишување блог запис; Ја победи на удар, muhahahahaha!).

Таа отстранета последователни дозволи од стан базен идентитет сметка до … there was no longer any explicit permission for the app pool identity account at all. The web service continued to work just fine.

We went and rebooted the servers. Everything continued to work fine.

Така, да повториме: we gave the app pool identity full access and then took it away. The web service started working and never stopped working. Bizarre.

Ако некој знае зошто тоа треба да работат, Ве молиме оставете коментар.

</крајот>

Technorati Тагови:

Минимум безбедност потребни за InfoPath формуларите

I needed to meet a security requirement for an InfoPath form today. In this business situation, a relatively small number of individuals are allowed to create a new InfoPath form and a much wider audience are allowed to edit it. (Ова е новиот вработи он-интернат форма се користи од страна на човечките ресурси кои започна работното).

Да ја исполнат таа цел, Јас создаде создал две нови нивоа на дозвола ("create and update" and "update only"), broke inheritance for the form library and assigned permissions to a "create, ажурирање" user and a separate "update only" корисникот. The mechanics all worked, but it turned out to be a little more involving than I expected. (Ако сметаш дека малку несигурни на SharePoint дозволи, проверете го овој блог пост). The required security configuration for the permission level was not the obvious set of granular permissions. To create an update-only permission level for an InfoPath form, Го направив следниве:

  1. Се создаде нов ниво на дозволи.
  2. Расчистуваме сите опции.
  3. Selected only the following from "List permissions":
    • Измени Теми
    • Прикажи Теми
    • Прикажи ги Примена страници

Изборот овие опции овозможува на корисникот да се ажурира форма, но не го создаде.

The trick was to enable the "View Application Pages". There isn’t any verbage on the permission level that indicates that’s required for update-only InfoPath forms, но излезе дека е.

Create-and-Update was even stranger. I followed the same steps, 1 преку 3 погоре. I had to specifically add a "Site Permission" опција: "Use client integration features". Повторно, описот таму не направи да изгледа како тоа треба да се бара за InfoPath формулар, но тоа е.

</крајот>

Technorati Тагови: ,

SharePoint не обезбедува “Кој има пристап” Извештаи

Ажурирање 01/28/08: Овој проект CodePlex разгледува ова прашање: http://www.codeplex.com/AccessChecker. I have not used it, но тоа изгледа ветувачки, ако ова е прашање што треба да се обрати во вашата околина.

Ажурирање 11/13/08: Joel Oleson Напишав многу добар пост на поголема сигурност за управување со прашањето овде: HTTP://www.sharepointjoel.com / Листи / мислења / Post.aspx?List=0cd1a63d-183c-4fc2-8320-ba5369008acb&ID = 113. It links to a number of other useful resources.

Форум корисници и клиенти често прашам едно прашање долж овие линии: "How do I generate a list of all users with access to a site" or "How can I automatically alert all users with access to list about changes made to the list?"

There is no out of the box solution for this. If you think about it for a moment, тоа не е тешко да се разбере зошто.

SharePoint security is very flexible. There are at least four major categories of users:

  • Анонимни корисници.
  • SharePoint корисници и групи.
  • Active Directory Users.
  • Форми засновани автентикација (FBA) корисници.

Флексибилност значи дека од безбедносен аспект, any given SharePoint site will be dramatically different from another. In order to generate an access list report, некој треба да се утврди начинот на кој сајт е обезбедено, query multiple different user profile repositories and then present it in a useful fashion. That’s a hard problem to solve generically.

Како се организации кои се занимаваат со овој? I’d love to hear from you in comments or e-mail.

</крајот>

SharePoint безбедност на основите Прв / Избегне севкупната стапици

Ажурирање 12/18/07: Види статија Пол Liebrand за некои технички последици на отстранување или менување на стандардната група имиња (види неговиот коментар подолу, како и).

Преглед:

SharePoint security is easy to configure and manage. Сепак, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Признавам да имаат овој проблем себе). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Важна забелешка:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or е-мејл мене. I’ll make corrections post haste.

Основи:

За целите на овој преглед, постојат четири основни аспекти на безбедноста: корисници / групи, securable објекти, дозвола нивоа и наследство.

Корисници и групи срушат да:

  • Индивидуалните корисници: Извлечени од Active Directory или креирана директно во SharePoint.
  • Групи: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" до одредена securable објект.

Securable објекти се прекине најмалку:

  • Сајтови
  • Документ библиотеки
  • Поединечни ставки во листи и документ библиотеки
  • Папки
  • Различни ЦРБ подесувања.

Постојат други securable објекти, но ќе го добиете слика.

Дозвола нивоа: А пакет на зрнести / low level access rights that include such things as create/read/delete entries in lists.

Наследство: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Корисници и групи се однесуваат на securable објекти преку дозвола нивоа и наследство.

Најважните безбедносните правила да се разбере, Ever 🙂 :

  1. Групи едноставно се колекционери на корисниците.
  2. Групи се глобални во рамките на сајт за собирање (i.e. не постои такво нешто како група дефинирана во еден сајт ниво).
  3. Името на групата не издржи, групи не, и за самите себе, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. Може да доделите различни нивоа на дозвола на истата група за секој securable објект.
  6. Веб апликација политики адут сите на овој (види подолу).

Безбедноста администратори изгубени во морето на групата и кориснички огласи секогаш може да се потпре на овие аксиоми да управуваат и да се разбере нивната безбедност конфигурација.

Севкупната стапици:

  • Група имиња лажно имплицира дозвола: Надвор од кутијата, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" група не може да придонесе во сите, но само читаат (на пример). This would not be a good idea, очигледно, бидејќи тоа ќе биде многу збунувачко.
  • Групи не се дефинирани на некој сајт ниво. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" линк. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Групи членство не се разликуваат од сајт (i.e. тоа е насекаде иста група се користи): Consider the group "Owner" и две локации, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Јас би можеле да пристапите на луѓе и групи линкови преку веб-сајтот човечки ресурси, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. Всушност, I’m removing her from the global Owners group. Hilarity ensues.
  • Неуспехот да се именува групи врз основа на специфичната улога: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Јас треба да имаат креирано две нови групи: "HR Owners" and "Logistics Owners" и доделите разумен дозвола нивоа за секој и на минималните износ што се бара за оние кои се на корисниците да се ја завршат својата работа.

Други Корисни Наводи:

Ако сте направиле тоа досега:

Please let me know your thoughts via the comments or email me. If you know other good references, Ве молиме да го стори истото!

Technorati Тагови: