SharePoint безбедност на основите Прв / Избегне севкупната стапици

Ажурирање 12/18/07: Види статија Пол Liebrand за некои технички последици на отстранување или менување на стандардната група имиња (види неговиот коментар подолу, како и).

Преглед:

SharePoint security is easy to configure and manage. Сепак, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Признавам да имаат овој проблем себе). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Важна забелешка:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or е-мејл мене. I’ll make corrections post haste.

Основи:

За целите на овој преглед, постојат четири основни аспекти на безбедноста: корисници / групи, securable објекти, дозвола нивоа и наследство.

Корисници и групи срушат да:

  • Индивидуалните корисници: Извлечени од Active Directory или креирана директно во SharePoint.
  • Групи: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" до одредена securable објект.

Securable објекти се прекине најмалку:

  • Сајтови
  • Документ библиотеки
  • Поединечни ставки во листи и документ библиотеки
  • Папки
  • Различни ЦРБ подесувања.

Постојат други securable објекти, но ќе го добиете слика.

Дозвола нивоа: А пакет на зрнести / low level access rights that include such things as create/read/delete entries in lists.

Наследство: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Корисници и групи се однесуваат на securable објекти преку дозвола нивоа и наследство.

Најважните безбедносните правила да се разбере, Ever 🙂 :

  1. Групи едноставно се колекционери на корисниците.
  2. Групи се глобални во рамките на сајт за собирање (i.e. не постои такво нешто како група дефинирана во еден сајт ниво).
  3. Името на групата не издржи, групи не, и за самите себе, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. Може да доделите различни нивоа на дозвола на истата група за секој securable објект.
  6. Веб апликација политики адут сите на овој (види подолу).

Безбедноста администратори изгубени во морето на групата и кориснички огласи секогаш може да се потпре на овие аксиоми да управуваат и да се разбере нивната безбедност конфигурација.

Севкупната стапици:

  • Група имиња лажно имплицира дозвола: Надвор од кутијата, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" група не може да придонесе во сите, но само читаат (на пример). This would not be a good idea, очигледно, бидејќи тоа ќе биде многу збунувачко.
  • Групи не се дефинирани на некој сајт ниво. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" линк. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Групи членство не се разликуваат од сајт (i.e. тоа е насекаде иста група се користи): Consider the group "Owner" и две локации, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Јас би можеле да пристапите на луѓе и групи линкови преку веб-сајтот човечки ресурси, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. Всушност, I’m removing her from the global Owners group. Hilarity ensues.
  • Неуспехот да се именува групи врз основа на специфичната улога: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Јас треба да имаат креирано две нови групи: "HR Owners" and "Logistics Owners" и доделите разумен дозвола нивоа за секој и на минималните износ што се бара за оние кои се на корисниците да се ја завршат својата работа.

Други Корисни Наводи:

Ако сте направиле тоа досега:

Please let me know your thoughts via the comments or email me. If you know other good references, Ве молиме да го стори истото!

Technorati Тагови:

Брз и лесен: Креирај податоци View Веб Дел (DVWP)

Постои богатство од голема информации за WSS 3.0 Податоци View Веб Дел (DVWP) on the web from several sources. Сепак, I found it to be surprisingly difficult to find information on this first very basic step. Here is another article in the "quick and easy" серија да го адреса.

Следете ги овие чекори за да создадете податоци видите веб дел (DVWP). They are based on an "Announcements" веб дел, но се однесуваат на повеќето листи.

  1. Создаде веб Соопштенија дел и да го додадете на некој сајт.
  2. Отворете го сајтот во SharePoint Designer.
  3. Отвори Default.aspx на сајтот.
  4. Select the Announcements web part and right-click.
  5. Од контекстното мени, select "Convert to XSНаT Data View".

SharePoint Designer Ве известува дека овој сајт е сега прилагодени од својот сајт дефиниција. Тоа не е нужно лоша, но постојат важни импликации (перформанси, надградба, други) which are beyond the scope of this little "Quick and Easy" влез. To get more information on this subject, Јас препорачувам и двете книги тука како и вашите омилени интернет пребарување.

Потврди дека сте го направив тоа правилно:

  1. Затвори и повторно да се отвори веб пребарувач (to avoid accidentally re-posting the original "add a new web part").
  2. Select the web part’s arrow drop-down and choose "Modify Shared Web Part" од менито.
  3. Алатката панел отвора кон десно.
  4. Панелот е променета од нејзиниот вообичаен сет опции на овој:
сликата

“Не може да се добие листа шема колона имотот од листата SharePoint” — опис / работа-arounds

Оваа недела, ние конечно репродуцирани проблем кој биле пријавени од страна на далечниот корисник: Кога таа се обиде да ги изнесете на содржината на листа да ексел, работите ќе чини да започнете со работа, но тогаш Excel ќе pop-up грешка: "Cannot get the list schema column property from the SharePoint list". She was running office 2003, windows XP and connecting to MOSS.

Барав на Internets и видов некои шпекулации, но ништо не 100% definitive. Hence, овој пост.

Проблемот: Извоз цел да ексел кој содржи датум (Датум = податочен тип на колоната).

Што работеше за нас: Convert the date to a "single line of text". Потоа, конвертирате назад кон датум.

That solved it. It was nice to see that the conversion worked, всушност. It was quite nervous that converting things this way would fail, but it did not.

Овој баг е фрлена огромна сенка врз датумот тип на податоци во умот на клиентот, па ние ќе треба да се бараат надвор дефинитивен одговор од Microsoft и се надевам дека јас ќе ја објавите и ажурирање тука во следниот краток период на време со своите официјален одговор и амбуланта корегирање информации.

Други референци:

http://www.kevincornwell.com/blog/index.php/cannot-get-the-list-schema-column-property-from-the-sharepoint-list/

http://forums.microsoft.com/MSDN/ShowPost.aspx?PostID=2383611&SiteID=1

<крајот>

Да се ​​претплатите на мојот блог.

Technorati Тагови: ,

Брзо и едноставно: Испрати е-маил со вградени хиперврска од SharePoint Designer работното

Еднаш или двапати месечно, некој мислења во форумот прашање: "How do I include hyperlinks to URL’s that are clickable from a SharePoint Designer email?"

Презентирани без дополнителни коментари: (добро, всушност таму е дополнително коментира по сликата):

сликата

Becky Isserman следи со корисен објаснување за тоа како да го вградите на линк до содржина во пораката: http://www.sharepointblogs.com/mosslover/archive/2007/11/20/addition-to-paul-galvin-s-post-about-sending-an-e-mail-with-hyperlinks-in-spd.aspx

Нова порака: SharePoint Designer работното домени (низа манипулација функции)

Ажурирање: Погледнете тука за моите мисли за комерцијализација на овој проект: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!569.entry

Сум бил зафатен работат на мојот CodePlex проект кој е во моментов се фокусирани на обезбедување на низа манипулација екстензии за работни текови создадени преку SharePoint Designer.

Погледнете тука за повеќе детали:

Проектот дома: http://www.codeplex.com/spdwfextensions

Ослободување: https://www.codeplex.com/Release/ProjectReleases.aspx?ProjectName=spdwfextensions&ReleaseId=8280

Верзија 1.0 вклучува следниве нови функции:

Функција Опис (Ако не е иста како и. Нето функција)
NUM-записи() Returns the number "entries" in a string as per a specified delimiter.

На пример: Num-entries in a string "a,б,в" with delimiter "," = 3.

Влез() Returns the nth token in a string as per a specified delimiter.
Должина String.Length
Замени() String.Replace()
Содржи() String.Contains()
Returns the word "true" or the word "false".
Подниза(започне) String.Substring(започне)
Подниза(започне,должина) String.Substring(започне,должина)
ToUpper() String.ToUpper()
ToLower() String.ToLower()
StartsWith() String.StartsWith()
Returns the word "true" or the word "false".
EndsWith() String.EndsWith()
Returns the word "true" or the word "false".

А ЦРБ траење грешка објасни

Јас предизвика ЦРБ грешка оваа недела дека се манифестира на кориснички интерфејс и во 12 кошница најавите за време на извршувањето.

Прва, ова се појави во корисничкиот интерфејс:

Не можев да најдам полиња за да вметнете сите идентификатор вредности правилно да се изврши SpecificFinder MethodInstance со Име … Обезбеди влезни параметри имаат TypeDescriptors поврзани со секоја идентификатор дефинирани за овој ентитет.

Тука е екранот:

clip_image001

Јас, исто така може да предизвика оваа порака да се појавуваат во 12 кошница најавите по волја (using my patented high-tech-don’t-try-this-at-home "mysterious errors" метод):

11/14/2007 09:24:41.27 w3wp.exe (0x080C) 0x0B8C SharePoint Portal Server Business Data 6q4x High Exception in BusinessDataWebPart.OnPreRender: System.InvalidOperationException: Идентификаторот вредност ”, од типот ”, е валиден. Expected Identifier value of Type ‘System.String’. на Microsoft.Office.Server.ApplicationRegistry.MetadataModel.Entity.FindSpecific(Објект[] subIdentifierValues, LobSystemInstance lobSystemInstance) на Microsoft.SharePoint.Portal.WebControls.BdcClientUtil.FindEntity(Лице лице, Објект[] userValues, LobSystemInstance lobSystemInstance) на Microsoft.SharePoint.Portal.WebControls.BusinessDataItemBuilder.GetEntityInstance(Види desiredView) на Microsoft.SharePoint.Portal.WebControls.BusinessDataDetailsWebPart.GetEntityInstance() на Microsoft.SharePoint.Portal.WebControls.BusinessDataDetailsWebPart.SetDataSourceProperties()

Барав наоколу и најде некои води во MSDN форумот, but they weren’t enough for me to understand what I was doing wrong. I watched a webcast by Тед Pattison дека мојот компанијата нема squirreled далеку на сервер и дојде да се реализира мојот проблем.

Во мојот ADF, Јас сум поврзување со SQL база на податоци како што е прикажано:

            <Сопственост Името="RdbCommandText" Тип="System.String">
              <![CDATA[
                Избери
                      , CARRIER_ID, EFFDT, Описот ќе се ко, EFF_STATUS, TAXPAYER_ID, NETWORK_ID, FRT_FORWARD_FLG, ALT_NAME1, ALT_NAME2, LANGUAGE_CD,
                      ЗЕМЈА, ADDRESS1, ADDRESS2, ADDRESS3, ADDRESS4, ГРАД, NUM1, NUM2, HOUSE_TYPE, ADDR_FIELD1, ADDR_FIELD2, ADDR_FIELD3,
                      COUNTY, На државата, ПОШТЕНСКИ, GEO_CODE, IN_CITY_LIMIT, COUNTRY_CODE, ТЕЛЕФОН, ПРОШИРУВАЊЕ, ФАКС, LAST_EXP_CHK_DTTM, FREIGHT_VENDOR,
                      INTERLINK_DLL, TMS_EXCLUDE_FLG
                 (nolock)
                КАДЕ
                  (LEAs <> "Сподели") и
                  (намали(CARRIER_ID) >= Пониска(@ MinID)) и
                  (намали(CARRIER_ID) <= Пониска(@ MaxId)) и
                  (намали(Описот ќе се ко) Како помал(@ InputDescr))
                ]]>
            </Сопственост>

Бев под услов SQL од Велика Британија лице и јас сум со оглед да се разбере дека тоа е специјални view they created just for me. The unique key there is CARRIER_ID.

Тука е бубачка јас воведе:

      <Идентификатори>
        <Идентификуваат Името="CARRIER_ID" TypeName="System.String" />
        <Идентификуваат Името="Описот ќе се ко" TypeName="System.String" /> 
</Идентификатори>

Некаде по должината на линијата, Јас успеал да си ја збуни текот на значењето на <Идентификатори> and added DESCR even though it’s not actually an identifier. I took DESCR out of the identifiers set and presto! Сето тоа работел.

I hope this saves someone some grief 🙂

Technorati Тагови: , , ,

Вие не може да го победи домет SharePoint е

Во текот на последните два дена, I have participated in two meetings during which we presented the results of a SharePoint project. The CIO and his team joined the first meeting. That’s standard and not especially notable. The IT department is obviously involved in an enterprise rollout of any technology project. The second meeting expanded to include a V.P. од маркетинг, неколку директори претставуваат човечки ресурси, Логистика, Производство, Капитални проекти, Квалитет, Купување, Корпоративниот развој и други сектори (од кои некои не беа дури и директно вклучени во сегашната фаза). That’s a mighty wide audience.

Во мојот претходен живот, I primarily worked on ERP and CRM projects. They both have a fairly wide solution domain but not as wide as SharePoint. To be fully realized, SharePoint projects legitimately and necessarily reach into every nook and cranny of an organization. How many other enterprise solutions have that kind of reach? Not many.

SharePoint clearly represents an enormous opportunity for those of us fortunate enough to be in this space. It provides a great technical opportunity (кој е некако се сврте на глава тука under "Technologies You Must Master"). But even better, SharePoint exposes us to an extensive and wide range of business processes through these engagements. How many CRM specialists work with the manufacturing side of the company? How many ERP consultants work with human resources on talent acquisition? SharePoint exceeds them both.

Како ништо, тоа не е совршен, но тоа е проклета добро место да биде.

За љубовта на [пополни во вашата повеќето сакаше лице / високо суштество], don’t change the ‘Title’ сајт колона.

На SharePoint форуми, someone occasionally asks about "changing the label of Title" or about "removing title from lists".

Крајна линија: Не правете го тоа!

За жал, на корисничкиот интерфејс им овозможува на еден начин промената на таа колона етикета како што е прикажано:

сликата

Title is a column associated with the "Item" типот на содржина. Многу, многу, многу КТ да го користите оваа колумна и ако го смените тука, it ripples out everywhere. There’s a good chance that you didn’t intend for that to happen. You were probably thinking to yourself, "I have a custom lookup list and ‘Title’ едноставно не дава никаква смисла, како името на колоната, so I’m going to change it to ‘Status Code’ and add a description column." But if you follow through on that thought and rename ‘Title’ to ‘Status Code’, секоја листа титула (вклучувајќи документ библиотеки) changes to "Status Code" и најверојатно не планираат за тоа да се случи.

Вистинскиот проблем е дека ова е еден начин промена. The UI "knows" that "title" is a reserved word. Така, if you try and change "Status Code" back to "Title", тоа ќе ве спречи и сега сте насликани се во ќошот using paint that never dries 🙂

Значи она што се случува ако веќе го смени? I haven’t seen the answer we all want, which is a simple and easy method to change the label back to ‘Title’. Right now, the best advice is to change it to something like "Doc/Item Title". That’s a generic enough label that may not be too jarring for your users.

Имам неколку други идеи кои се на мојот to-do листа на работи кои треба да истражување:

  • Контакт Мајкрософт.
  • Направи нешто со објектот модел, можеби во комбинација со функција.
  • Дознаам базата на податоци шема и рачно ажурирање SQL. (Треба да се јавите на Microsoft пред тоа иако; тоа, најверојатно, ќе го поништат вашата поддршка договор).

Ако некој знае како да се реши овој, Ве молиме да поставите коментар.

Ажурирање доцна попладне, 11/15: Го најдов овој линк, кој го опишува методот за создавање на еден вид на листа, тоа не да има наслов колона: http://www.venkat.org/index.php/2007/09/03/how-to-remove-title-column-from-a-custom-list/

ЦРБ ADF и вашиот пријател, CDATA

Сум забележал некои незгодни и непотребно рака-кодирање на RdbCommandText во некои примери (вклучувајќи MSDN документација).

I wanted to point out to newcomers to BDC that commands can be wrapped inside a CDATA tag in their "natural" form. Така, оваа непријатна изградба:

<Сопственост Името="RdbCommandText" Тип="System.String">
Избери dbo.MCRS_SETTLEMENT.id, dbo.MCRS_SETTLEMENT.settlement од dbo.MCRS_SETTLEMENT
КАДЕ (ид &GT;= @ MinID) И (ид &lt;= @ MaxId)
</Сопственост>

може да биде подобро претставена на овој начин:

<Сопственост Името="RdbCommandText" Тип="System.String">
<![CDATA[
Избери dbo.MCRS_SETTLEMENT.id, dbo.MCRS_SETTLEMENT.settlement од dbo.MCRS_SETTLEMENT
КАДЕ (ид >= @ MinID) И (ид <= @ MaxId)
]]>
</Сопственост>

</крајот>

ЦРБ Пример

Вовед во ЦРБ

Функционални Пример: ЦРБ ADF кој се поврзува со SQL база на податоци со вградени корисничко име и лозинка

I needed to wire up MOSS to a SQL database via BDC. For testing/POC purposes, I wanted to embed the SQL account user id and password in the ADF. Starting with оваа дефиниција (http://msdn2.microsoft.com/en-us/library/ms564221.aspx), Јас создаде ADF кој се поврзува со одредена SQL Server, пример и логови во со специфичен корисничко име и лозинка и прикажан во оваа програмка:

  <LobSystemInstances>
    <LobSystemInstance Името="ClaimsInstance">
      <Својства>
        <Сопственост Името="AuthenticationMode" Тип="System.String">PassThrough</Сопственост>
        <Сопственост Името="DatabaseAccessProvider" Тип="System.String">SQLServer</Сопственост>
        <Сопственост Името="RdbConnection Извор на податоци" Тип="System.String">вистински сервер  вистински пример</Сопственост>
        <Сопственост Името="RdbConnection Почетна Каталог" Тип="System.String">вистинските почетна каталог</Сопственост>
        <Сопственост Името="RdbConnection Интегрирана безбедност" Тип="System.String">SSPI</Сопственост>
        <Сопственост Името="RdbConnection Ентитетите за здружување" Тип="System.String">лажни</Сопственост>

        <!-- Овие се клучните вредности: -->
        <Сопственост Името="RdbConnection Корисничко име" Тип="System.String">наctual Корисничко име</Сопственост>
        <Сопственост Името="RdbConnection Лозинка" Тип="System.String">вистински Лозинка</Сопственост>
        <Сопственост Името="RdbConnection Trusted_Connection" Тип="System.String">лажни</Сопственост>

      </Својства>
    </LobSystemInstance>
  </LobSystemInstances>

Тоа не е најдобра практика, but it’s useful for a quick and simple configuration for testing. This was surprisingly difficult to figure out. I never found a functional example with search keywords:

  • ADF вградени userid и лозинка
  • вградување на корисничко име и лозинка во ADF
  • вградување на корисничко име и лозинка во ADF ЦРБ
  • SharePoint ЦРБ буквар
  • SharePoint вградување на корисничко име и лозинка во ADF

</крајот>

Да се ​​претплатите на мојот блог.