UPDATE 11/03/08: Pastikan untuk membaca komen yang cemerlang dan terperinci daripada Dessie Lunsford pada catatan ini.

Saya telah bekerja di sebuah projek editing teknologi rahsia untuk buku up-datang dan rujukan entry blog ini oleh Tyler Butler pada MSDN ECM blog. Ini adalah kali pertama saya sendiri membaca suatu takrifan yang jelas makna capaian terhad. Inilah daging definisi:

Dalam SharePoint, pengguna tanpa nama’ hak-hak yang ditentukan oleh Access tahap kebenaran Limited. Access Limited merupakan tahap kebenaran khas yang tidak boleh diberikan kepada pengguna atau kumpulan secara langsung. Sebab ia wujud adalah kerana jika anda mempunyai perpustakaan atau subsite yang telah patah warisan kebenaran, dan anda memberi akses pengguna / kumpulan sahaja perpustakaan / subsite, untuk melihat kandungannya, pengguna / kumpulan mesti mempunyai akses kepada web akar. Jika tidak, pengguna / kumpulan tidak akan dapat untuk melayari perpustakaan / subsite, walaupun mereka mempunyai hak yang terdapat, kerana terdapat perkara-perkara dalam web akar yang diperlukan untuk menjadikan laman web ini atau perpustakaan. Oleh itu, apabila anda memberikan kebenaran kumpulan hanya untuk subsite atau perpustakaan yang melanggar warisan kebenaran, SharePoint secara automatik akan memberikan Akses Terhad kepada kumpulan atau pengguna di web akar.

Soalan ini datang sekarang dan kemudian di forum MSDN dan saya sentiasa tertanya-tanya (tetapi tidak cukup ingin tahu untuk memikirkan ia keluar sebelum hari ini :)).

</akhir>

Langgan ke blog saya.

Mengikuti aku di Twitter http://www.twitter.com/pagalvin

Dalam tanda-tanda yang pengkomputeran sosial mula dengan SharePoint, Saya melihat peningkatan bilangan lokasi saya jenis soalan. Satu soalan yang biasa pergi sesuatu seperti ini:

"Saya seorang pentadbir dan saya perlu dapat mencapai setiap tapak saya. Bagaimana saya boleh berbuat demikian?"

Silap mata tersebut di sini ialah bahawa tiap-tiap laman saya adalah koleksi laman web sendiri. SharePoint Keselamatan biasanya ditadbir di peringkat koleksi laman web dan ini rombongan up banyak seorang pentadbir SharePoint. Biasanya, dia sudah mempunyai akses kepada konfigurasi Keselamatan utama"" Laman koleksi dan mungkin tidak menyedari bahawa ini secara automatik tidak berfungsi untuk tapak saya.

Koleksi tapak bersama-sama hidup di dalam bekas yang lebih besar, yang merupakan aplikasi web. Ladang Admin boleh boleh konfigurasi keselamatan di peringkat aplikasi web dan ini adalah bagaimana pentadbir boleh mengambil sendiri capaian ke mana-mana koleksi tapak dalam aplikasi web. Entri blog ini menerangkan salah satu pengalaman peribadi saya dengan dasar aplikasi web. I dasar aplikasi web yang ditakrif oleh kemalangan: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Dasar-dasar aplikasi web boleh menjadi berbahaya dan saya mencadangkan bahawa ia digunakan menyempitkannya. Kalau saya admin (dan nasib saya tidak), Saya akan membuat satu akaun iklan berasingan yang dinamakan sesuatu seperti "SharePoint pentadbir Laman Web aplikasi" dan memberi peranan Keselamatan aplikasi web ia memerlukan satu akaun yang. Saya tidak akan konfigurasi jenis perkara untuk ladang tetap admin dan admin koleksi laman individu ini. Ia akan cenderung untuk menyembunyikan masalah kerana peranan aplikasi web menindih seting sekuriti tahap mana-mana lebih rendah.

</akhir>

Langgan ke blog saya.

Mengikuti aku di Twitter http://www.twitter.com/pagalvin

UPDATE (02/29/08): Ini codeplex projek baru seolah-olah untuk menyediakan satu kaedah untuk mendapatkan ruang individu: http://www.codeplex.com/SPListDisplaySetting. Jika anda mempunyai sebarang pengalaman bekerja dengan, sila tinggalkan komen.

Poster Forum sering bertanya soalan seperti ini: "Saya mempunyai pemandangan Pengurus dan dan pemandangan kakitangan senarai. Bagaimana saya mendapatkan pandangan Pengurus supaya kakitangan boleh menggunakannya?"

Mereka juga sering bertanya soalan yang berkaitan: "Saya ingin mendapatkan satu kolum khusus metadata supaya Pengurus hanya boleh mengedit kolum itu manakala orang lain mungkin tidak melihat ia."

Jawapan yang diberikan digunakan untuk kedua-dua WSS 3.0 dan MOSS:

• SharePoint tidak memberikan sokongan out-of-the-box untuk memperolehi views.
• SharePoint tidak memberikan sokongan out-of-the-box untuk kolum Keselamatan.

Terdapat beberapa teknik satu boleh mengikuti untuk memenuhi keperluan-keperluan sekuriti jenis ini. Inilah apa yang saya boleh fikirkan:

• Gunakan item out-of-the-box peringkat Keselamatan. Pandangan sentiasa menghormati konfigurasi peringkat Keselamatan perkara. Sekiranya penerima dan/atau aliran boleh automatikkan tugasan Keselamatan.
• Menggunakan pandangan peribadi untuk "hak istimewa" views. Ini adalah cukup mudah untuk disediakan. Walau bagaimanapun, disebabkan oleh diri"" alam semula jadi, ini perlu dikonfigurasikan untuk setiap pengguna. Menggunakan konfigurasi standard keselamatan untuk mencegah orang lain daripada mencipta satu pandangan peribadi.
• Gunakan sebahagian web paparan data dan melaksanakan beberapa jenis penyelesaian mengurangkan Keselamatan AJAXy.
• Melancarkan fungsi paparan senarai anda sendiri dan mengurangkan keselamatan di peringkat medan menggabungkan.
• Mengubah suai bentuk-bentuk kemasukan data dan menggunakan JavaScript dalam bersama-sama dengan model Keselamatan untuk melaksanakan mengurangkan kolum peringkat Keselamatan.
• Gunakan untuk InfoPath borang untuk kemasukan data. Melaksanakan mengurangkan lajur tahap keselamatan melalui perkhidmatan web panggilan untuk SharePoint dan bersyarat Sembunyi bidang yang diperlukan.
• Roll anda sendiri fungsi masukan data ASP.NET yang mengurangkan tahap keselamatan lajur.

Tiada seorang pun daripada orang-orang pilihan yang benar-benar yang besar, Tapi ada laluan sekurang-kurangnya untuk diikuti jika anda perlu untuk, Walaupun ianya sukar.

NOTA: Jika anda pergi ke mana-mana laluan ini, Jangan lupa tentang "tindakan-> Terbuka dengan Windows Explorer". Anda mahu pastikan anda menguji dengan ciri-ciri tersebut untuk memastikan bahawa ia tidak berfungsi sebagai sebuah "pintu belakang" dan kemudian menyerang skim keselamatan anda atau.

Jika anda mempunyai idea untuk atau pengalaman dengan mendapatkan pemandangan atau tiang lain, Sila e-mel saya atau tinggalkan komen dan saya akan mengemaskini ini posting mengikut kesesuaian.

</akhir>

Langgan ke blog saya.

UPDATE: Saya Hantar soalan ini kepada MSDN di sini (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) dan Michael Washam Microsoft bertindak dengan jawapan yang ringkas.

Saya mencipta satu perkhidmatan web untuk bertindak sebagai Topeng BDC mesra Senarai SharePoint. Ketika saya menggunakan ini daripada saya persekitaran pembangunan, ia bekerja denda. Apabila saya berhijrah ini untuk pelayan baru, Saya menghadapi masalah ini:

Berikut adalah garis 69:

menggunakan (Tapak SPSite = new SPSite("http://localhost/sandbox"))

Saya cuba variasi yang berbeza pada URL, termasuk menggunakan nama sebenar pelayan, alamat IP, belakang garis condong pada URL, dan sebagainya.. Saya sentiasa mendapat ralat yang.

Saya pernah Google untuk kajian. Banyak orang menghadapi isu ini, atau variasi ia, tetapi tiada siapa yang seolah-olah ia telah diselesaikan.

Dpt MOSS disediakan seperti kesilapan terperinci bahawa ia tidak berlaku kepada saya untuk memeriksa 12 balak sarang. Akhirnya, kira-kira 24 jam selepas rakan saya disyorkan saya berbuat demikian, Saya memeriksa keluar 12 log sarang dan mendapati ini:

Pengecualian berlaku semasa cuba untuk memperoleh ladang tempatan:
System.Security.SecurityException: Akses pendaftaran diminta tidak dibenarkan.
di System.ThrowHelper.ThrowSecurityException(ExceptionResource sumber) pada
(Nama String, Boolean ditulis) pada
(Nama String) pada
() pada
() pada
(SPFarm& ladang, Boolean& isJoined)
Zon perhimpunan yang gagal adalah:  MyComputer

Ini membuka ruang baru penyelidikan, jadi ia kembali ke Google. Yang membawa saya ke ini forum post: http://forums.codecharge.com / posts.php?POST_ID = 67135. Itu tidak benar-benar membantu saya tetapi ia pula mula membuat saya berfikir ada adalah isu pangkalan data dan/atau sekuriti. Saya soldiered dan Andrew Connell ini Post akhirnya dicetuskan pemikiran bahawa saya harus pastikan bahawa aplikasi kolam identiti akaun mempunyai akses yang sesuai kepada pangkalan data. Saya fikir ia sudah tidak. Walau bagaimanapun, rakan sekerja saya pergi dan memberikan aplikasi kolam identiti akaun akses penuh ke SQL.

Sebaik sahaja dia membuat perubahan yang, segala-galanya mula bekerja.

Apa yang berlaku seterusnya adalah terbaik dinyatakan sebagai haiku puisi:

Masalah mengangkat tangan.
Anda swing dan ketinggalan. cuba lagi.
Kejayaan! Tetapi bagaimana? Mengapa?

Dia tidak mahu meninggalkan perkara-perkara seperti itu sahaja, lebih suka untuk memberi kebenaran yang diperlukan minimum (dan mungkin dengan mata untuk menulis blog; Saya menewaskan dia menumbuk, muhahahahaha!).

Beliau dikeluarkan kebenaran berturut-turut dari app akaun identiti kolam sehingga … Jadilah tidak lagi apa-apa kebenaran yang jelas untuk aplikasi luaran identiti akaun sekali. Perkhidmatan web terus bekerja saja.

Kami pergi dan dibut semula pelayan. Segala-galanya yang terus bekerja denda.

Jadi, merumuskan: kami memberikan akses penuh pengenalan aplikasi luaran dan kemudian membelinya. Perkhidmatan web mula bekerja dan tidak pernah berhenti bekerja. Pelik.

Jika sesiapa tahu mengapa ini harus telah bekerja, sila tinggalkan komen.

</akhir>

Saya diperlukan untuk memenuhi satu keselamatan keperluan bagi satu bentuk InfoPath hari. Dalam situasi perniagaan ini, sebilangan kecil individu dibenarkan untuk mencipta bentuk baru InfoPath dan penonton yang lebih luas akan dibenarkan untuk ditukar. (Ini adalah baru mengambil bentuk di-asrama yang digunakan oleh Sumber Manusia yang melancarkan aliran kerja).

Bagi memenuhi matlamat tersebut, Saya telah mencipta mencipta dua tahap kebenaran baru ("cipta dan kemas kini" dan "kemas kini hanya"), warisan kepada Perpustakaan borang pecah dan diberikan kebenaran untuk a "mencipta, mengemas kini" pengguna dan berasingan "kemas kini yang hanya" pengguna. Selok-belok semua bekerja, tetapi ia bertukar menjadi sedikit lebih melibatkan daripada yang saya harapkan. (Jika anda rasa sedikit goyah pada SharePoint kebenaran, lihat post blog ini). Konfigurasi Keselamatan diperlukan untuk peringkat kebenaran adalah tidak jelas set keizinan butiran. Melahirkan tahap kebenaran Kemaskini sahaja bagi satu bentuk InfoPath, Saya berikut:

1. Mewujudkan tahap kebenaran yang baru.
2. Membersihkan semua pilihan.
3. Pilih sahaja yang berikut dari "Senarai kebenaran":

• Edit Item
• Lihat Perkara
• Lihat halaman Permohonan

Memilih pilihan ini membolehkan pengguna untuk mengemaskini borang, tetapi tidak membuat ia.

Silap mata adalah untuk membolehkan "Paparan halaman aplikasi". Tidak verbage apa-apa tentang tahap kebenaran yang menunjukkan yang hanya perlu Kemaskini sahaja InfoPath borang, tetapi ternyata ia adalah.

Mencipta dan-kemas kini adalah Walaupun perogol yang tidak dikenali. Saya mengikuti langkah yang sama, 1 melalui 3 di atas. Saya terpaksa menambah "lokasi kebenaran khusus" pilihan: "Menggunakan ciri-ciri integrasi pelanggan". Lagi, Penerangan di sana tidak membuat ia kelihatan seperti ia sepatutnya akan dikehendaki bagi suatu bentuk InfoPath, tetapi ia adalah.

</akhir>

UPDATE 01/28/08: Projek codeplex menangani isu ini: http://www.codeplex.com/AccessChecker. Saya telah menggunakan ia, tetapi ia kelihatan cerah jika ini adalah satu isu yang anda perlu menangani di persekitaran anda.

UPDATE 11/13/08: Joel Oleson menulis sesuatu jawatan yang sangat baik mengenai isu pengurusan keselamatan yang lebih besar di sini: http://www.sharepointjoel.com / Senarai / Posts / Post.aspx?Senarai = 0cd1a63d% 2D183c% 2D4fc2% 2D8320% 2Dba5369008acb&ID = 113. Ini link kepada beberapa sumber-sumber berguna lain.

Pengguna forum dan pelanggan sering bertanya soalan di sepanjang garisan ini: "Bagaimana Adakah saya menjana senarai semua pengguna dengan capaian ke tapak" atau "Bagaimana boleh saya secara automatik memberi amaran kepada semua pengguna akses kepada senarai mengenai perubahan yang dibuat kepada senarai?"

Terdapat tiada daripada penyelesaian Peti ini. Jika anda berfikir tentang hal itu sebentar, ia tidak sukar untuk memahami mengapa.

SharePoint Keselamatan adalah sangat fleksibel. Terdapat sekurang-kurangnya empat kategori utama pengguna:

• Pengguna tanpa nama.
• Pengguna dan Kumpulan SharePoint.
• Pengguna Active Directory.
• Borang Pengesahan Berasaskan (FBA) pengguna.

Fleksibiliti bermakna bahawa dari perspektif keselamatan, mana-mana tapak SharePoint yang diberi akan mendadak berbeza dari yang lain. Untuk menghasilkan laporan senarai capaian, satu keperluan untuk menentukan bagaimana laman web dijamin, Tanya beberapa pracetak profil pengguna lain dan kemudiannya menunjukkannya dalam fesyen yang berguna. Itulah masalah yang sukar untuk menyelesaikan generically.

Bagaimana organisasi yang berurusan dengan ini? Saya akan senang mendengar daripada anda di komen atau e-mel.

</akhir>

UPDATE 12/18/07: Lihat artikel Paul Liebrand untuk beberapa kesan teknikal memindahkan atau mengubah nama kumpulan lalai (lihat komen beliau di bawah serta).

Tinjauan:

SharePoint Keselamatan adalah mudah untuk dikonfigurasi dan urus oleh. Walau bagaimanapun, Ia telah terbukti menjadi sukar bagi sesetengah pentadbir kali pertama untuk benar-benar Balut tangan mereka sekelilingnya. Bukan itu sahaja, Saya telah melihat beberapa pentadbir yang datang untuk pemahaman yang sempurna pada hari Isnin sahaja untuk telah hilang oleh Jumaat yang kerana mereka tidak perlu melakukan sebarang konfigurasi pada masa kematangan. (Saya mengaku mempunyai masalah ini sendiri). Entri blog ini mudah-mudahan menyediakan buku asas Keselamatan SharePoint berguna dan menghala ke arah beberapa amalan terbaik Keselamatan konfigurasi.

Nota Penting:

Huraian ini adalah berdasarkan daripada kotak SharePoint Keselamatan. Pengalaman peribadi saya adalah berorientasikan sekitar MOSS jadi mungkin ada sesetengah MOSS tertentu barangan di sini, tetapi saya percaya ia adalah tepat bagi WSS. Saya berharap bahawa sesiapa sahaja yang melihat apa-apa kesilapan atau ketinggalan akan menunjukkan bahawa dalam komen atau e-mel saya. Saya akan membuat pembetulan post tergesa-gesa.

Asas:

Bagi maksud gambaran ini, terdapat empat aspek asas kepada keselamatan: pengguna / kumpulan, objek securable, tahap kebenaran dan warisan.

Pengguna dan Kumpulan memecahkan untuk:

• Pengguna individu: Ditarik dari direktori aktif atau diwujudkan secara langsung dalam SharePoint.
• Kumpulan: Dipetakan secara langsung daripada Direktori Aktif atau dicipta dalam SharePoint. Kumpulan ialah sekumpulan pengguna. Kumpulan adalah global dalam koleksi tapak. Mereka tidak pernah "terikat" dengan objek securable tertentu.

Objek Securable memecahkan kepada sekurang-kurangnya:

• Laman
• Perpustakaan dokumen
• Item individu dalam senarai dan perpustakaan dokumen
• Folder
• Pelbagai tetapan BDC.

Terdapat lain-lain objek securable, tetapi anda mendapat gambar.

Tahap kebenaran: Satu ikatan berbutir / hak capaian tahap rendah yang merangkumi perkara-perkara seperti mencipta/Baca/padam entri dalam senarai.

Warisan: Oleh entiti-entiti lalai mewarisi seting sekuriti daripada objek mereka mengandungi. Laman sub mewarisi kebenaran daripada ibu bapa mereka. Perpustakaan dokumen mewarisi daripada laman web mereka. Sebagainya dan sebagainya.

Pengguna dan kumpulan berkaitan dengan objek securable melalui tahap kebenaran dan warisan.

Peraturan Keselamatan Paling Penting Untuk Memahami, Ever 🙂 :

1. Kumpulan hanya koleksi pengguna.
2. Kumpulan adalah global dalam koleksi tapak (Dgn kata lain. tidak ada perkara seperti kumpulan ditakrifkan di peringkat tapak).
3. Nama kumpulan tidak tahan, kumpulan tidak, dalam dan diri mereka sendiri, mempunyai tahap keselamatan yang tertentu mana-mana.
4. Kumpulan mempunyai keselamatan dalam konteks sebuah objek securable yang tertentu.
5. Anda boleh menetapkan tahap kebenaran berbeza dengan kumpulan yang sama untuk setiap objek securable.
6. Web permohonan dasar muslihat semua ini (lihat di bawah).

Pentadbir Keselamatan hilang di lautan kumpulan dan senarai pengguna sentiasa boleh bergantung kepada aksiom ini untuk mengurus dan memahami konfigurasi keselamatan mereka.

Perangkap biasa:

• Nama kumpulan palsu membayangkan kebenaran: Keluar dari kotak, SharePoint mentakrifkan satu set Kumpulan nama-nama yang membayangkan tahap keselamatan yang sedia ada. Mempertimbangkan Kumpulan "Penyumbang". Seseorang yang tidak dikenali dengan SharePoint keselamatan juga boleh melihat nama itu dan menganggap bahawa mana-mana ahli kumpulan tersebut boleh "menyumbang" kepada mana-mana lokasi/Senarai/Perpustakaan dalam portal. Ia mungkin benar tetapi bukan kerana nama Kumpulan yang berlaku menjadi "penyumbang". Hal ini hanya berlaku luar kotak kerana Kumpulan telah diperuntukkan tahap kebenaran yang membolehkan mereka untuk menambah/mengedit/memadam kandungan pada tapak akar. Melalui warisan, "penyumbang" Kumpulan juga boleh menambah/mengedit/memadam kandungan pada setiap tapak kecil. Salah satu boleh "memecahkan" rantai warisan dan perubahan tahap kebenaran sub tapak tersebut bahawa ahli-ahli dalam apa yang dipanggil "penyumbang" kumpulan tidak boleh menyumbang pada semua, tetapi hanya membaca (contohnya). Ini tidak akan menjadi satu idea yang baik, jelas, kerana ia akan menjadi sangat mengelirukan.
• Kumpulan tidak ditakrifkan di peringkat tapak. Ia adalah mudah untuk dikelirukan oleh antaramuka pengguna. Microsoft menyediakan pautan mudah kepada pengguna/Kumpulan Pengurusan melalui setiap tapak "orang-orang dan Kumpulan" pautan. Ia adalah mudah untuk mempercayai bahawa apabila saya di laman web "xyzzy" dan saya mencipta Kumpulan melalui orang-orang di xyzzy dan Kumpulan pautan yang saya baru sahaja dicipta Kumpulan yang hanya wujud di xyzzy. Itu bukan kes itu. Saya benar-benar telah membuat sebuah Kumpulan bagi kutipan keseluruhan tapak.
• Keahlian kumpulan tidak berbeza oleh laman (Dgn kata lain. ia adalah sama di mana-mana kumpulan yang digunakan): Mempertimbangkan Kumpulan "pemunya" dan dua tapak, "HR" dan "Logistik". Ia akan menjadi perkara biasa untuk berfikir bahawa dua individu yang berasingan akan memiliki tapak-tapak — seorang pemilik sumber manusia dan seorang pemilik logistik. Antara muka pengguna menjadikannya mudah bagi seorang pentadbir Keselamatan untuk mishandle senario ini. Jika saya tidak tahu lebih baik, Saya mungkin mengakses Rakyat dan Kumpulan pautan melalui laman HR, Pilih "pemilik" Kumpulan dan menambah pemilik HR saya kepada Kumpulan yang. Sebulan kemudian, Logistik datang on-line. Saya mencapai orang dan Kumpulan dari tapak logistik, Tambah tarik sehingga pemilik"" Kumpulan. Saya jumpa HR pemilik tiada dan keluarkan dia, memikirkan bahawa saya saya mengeluarkan dia daripada pemilik di tapak logistik. Malah, Saya saya mengeluarkan dia daripada golongan pemilik global. Kegembiraan yang Genting akan berlaku.
• Gagal untuk menamakan kumpulan berdasarkan peranan tertentu: "Approvers" Kumpulan adalah contoh sempurna. Apa yang boleh ahli-ahli kumpulan ini lulus? Di mana mereka boleh meluluskan ia? Adakah saya benar-benar mahu orang logistik Jabatan dapat meluluskan dokumen HR? Sudah tentu tidak. Sentiasa nama Kumpulan berdasarkan peranan mereka dalam organisasi. Ini akan mengurangkan risiko bahawa Kumpulan ditugaskan tahap kebenaran yang tidak sesuai untuk objek securable yang tertentu. Nama Kumpulan berdasarkan peranan mereka. Dalam senario HR/logistik sebelumnya, Saya sepatutnya mewujudkan dua kumpulan baru: "Pemilik HR" dan "logistik pemilik" dan menetapkan tahap kebenaran wajar bagi setiap dan jumlah minimum yang diperlukan untuk orang-orang pengguna untuk melakukan tugas mereka.

Lain-lain Rujukan yang berguna:

• Web permohonan dasar gotcha ini: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Clearinghouse untuk SharePoint keselamatan: http://www.sharepointsecurity.com/
• Pautan dari Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Jika anda telah membuat sejauh ini:

Sila beritahu saya tahu pendapat anda melalui komen atau email saya. Jika anda tahu rujukan lain baik, sila melakukan perkara yang sama!