SharePoint безбедност на основите Прв / Избегне севкупната стапици

Ажурирање 12/18/07: Види статија Пол Liebrand за некои технички последици на отстранување или менување на стандардната група имиња (види неговиот коментар подолу, како и).

Преглед:

SharePoint security is easy to configure and manage. Сепак, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Признавам да имаат овој проблем себе). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Важна забелешка:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or е-мејл мене. I’ll make corrections post haste.

Основи:

За целите на овој преглед, постојат четири основни аспекти на безбедноста: корисници / групи, securable објекти, дозвола нивоа и наследство.

Корисници и групи срушат да:

  • Индивидуалните корисници: Извлечени од Active Directory или креирана директно во SharePoint.
  • Групи: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" до одредена securable објект.

Securable објекти се прекине најмалку:

  • Сајтови
  • Документ библиотеки
  • Поединечни ставки во листи и документ библиотеки
  • Папки
  • Различни ЦРБ подесувања.

Постојат други securable објекти, но ќе го добиете слика.

Дозвола нивоа: А пакет на зрнести / low level access rights that include such things as create/read/delete entries in lists.

Наследство: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Корисници и групи се однесуваат на securable објекти преку дозвола нивоа и наследство.

Најважните безбедносните правила да се разбере, Ever 🙂 :

  1. Групи едноставно се колекционери на корисниците.
  2. Групи се глобални во рамките на сајт за собирање (i.e. не постои такво нешто како група дефинирана во еден сајт ниво).
  3. Името на групата не издржи, групи не, и за самите себе, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. Може да доделите различни нивоа на дозвола на истата група за секој securable објект.
  6. Веб апликација политики адут сите на овој (види подолу).

Безбедноста администратори изгубени во морето на групата и кориснички огласи секогаш може да се потпре на овие аксиоми да управуваат и да се разбере нивната безбедност конфигурација.

Севкупната стапици:

  • Група имиња лажно имплицира дозвола: Надвор од кутијата, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" група не може да придонесе во сите, но само читаат (на пример). This would not be a good idea, очигледно, бидејќи тоа ќе биде многу збунувачко.
  • Групи не се дефинирани на некој сајт ниво. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" линк. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Групи членство не се разликуваат од сајт (i.e. тоа е насекаде иста група се користи): Consider the group "Owner" и две локации, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Јас би можеле да пристапите на луѓе и групи линкови преку веб-сајтот човечки ресурси, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. Всушност, I’m removing her from the global Owners group. Hilarity ensues.
  • Неуспехот да се именува групи врз основа на специфичната улога: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Јас треба да имаат креирано две нови групи: "HR Owners" and "Logistics Owners" и доделите разумен дозвола нивоа за секој и на минималните износ што се бара за оние кои се на корисниците да се ја завршат својата работа.

Други Корисни Наводи:

Ако сте направиле тоа досега:

Please let me know your thoughts via the comments or email me. If you know other good references, Ве молиме да го стори истото!

Technorati Тагови:

8 размислувања за "SharePoint безбедност на основите Прв / Избегне севкупната стапици

  1. Пери

    Повеќе стапици:

    * Постојат одредени специјални дозволи на располагање на друго место во SSP и не се видливи во луѓе и групи секција: "Personalization services permissions"and "Business Data Catalog permissions"

    * Ги прочитав дека постојат и специјални SharePoint Designer дозволи на располагање во некои arcane XML погребан во внатрешноста HTML некаде.

    * Основните и средните Администратори за еден сајт колекција се чуваат на друго место во Мапа на колекција подесувања, и не се видливи во луѓе и групи секција.

    * Одредени сметки имаат магиска (специјални) способности, без оглед на она што го гледате во луѓе и групи област: членови на вграден во групата администратори на веб сервери, и Фарм сервис сметка.

    (PS: Бришење на спам коментари ќе се подобри читливоста тука.)

  2. Жан Рајт
    Ова е многу добар пост. Јас се паднати во оваа стапица во неколку наврати. Управување со безбедноста може да се добие комплекс кога ќе почнат мешање методите за проверка и различни безбедносни групирање методи. Ова треба да се смета како дел од процесот на планирање и не треба да се занемаруваат.
  3. Марк Милер напиша:
    (Белешка од Пол: Марк ме праша да се направи мала промена на неговиот коментар, но јас не може да ги уредувате во живо простори коментари, па јас сум го додаде одново тука со промената и избришани оригиналните).
    Paul,
    Резимето пристап за презентирање на оваа информација излета многу добро. I especially liked the "Pitfalls" секција, бидејќи јас сум паднал во неколку од оние себеси.
    Друга работа е што рече хит дома: учење во понеделникот не не мора да значи дека ќе се сеќава на него во петокот. I’m glad someone besides me is using their blog as a "tickler" систем за оние критични работи кои не се направи на редовна основа.
    Добра работа.
    Со почит,
    Одбележи
    EndUserSharePoint.com

    Ноември 27 9:04 AM
    (http://www.EndUserSharePoint.com)

  4. Пол Галвин
    Мислам дека тоа е веројатно добра идеја да се отстрани оние стандардните групи, especially Contributor and Owner. They are overbroad and easily confused. I prefer to use "All Authenticated Users" in place of a "Visitor" group as well. If a specific set of users should only read-only access then I’d recommend creating an AD group or SharePoint group with an appropriately descriptive name, e.g. "Logistics Visitors".
    –Пол G
  5. Нема име
    Тоа звучи како првото нешто што треба да направите е само да шутнат на посетителот, Соработник и сопственик групи и да ги замените со свој логички групи. Ова би имало смисла да се направи?

Остави Одговори

Вашата е-маил адреса нема да бидат објавени. Задолжителни полиња се означени *