UPDATE 12/18/07: Lihat artikel Paul Liebrand untuk beberapa kesan teknikal memindahkan atau mengubah nama kumpulan lalai (lihat komen beliau di bawah serta).
Tinjauan:
SharePoint Keselamatan adalah mudah untuk dikonfigurasi dan urus oleh. Walau bagaimanapun, Ia telah terbukti menjadi sukar bagi sesetengah pentadbir kali pertama untuk benar-benar Balut tangan mereka sekelilingnya. Bukan itu sahaja, Saya telah melihat beberapa pentadbir yang datang untuk pemahaman yang sempurna pada hari Isnin sahaja untuk telah hilang oleh Jumaat yang kerana mereka tidak perlu melakukan sebarang konfigurasi pada masa kematangan. (Saya mengaku mempunyai masalah ini sendiri). Entri blog ini mudah-mudahan menyediakan buku asas Keselamatan SharePoint berguna dan menghala ke arah beberapa amalan terbaik Keselamatan konfigurasi.
Nota Penting:
Huraian ini adalah berdasarkan daripada kotak SharePoint Keselamatan. Pengalaman peribadi saya adalah berorientasikan sekitar MOSS jadi mungkin ada sesetengah MOSS tertentu barangan di sini, tetapi saya percaya ia adalah tepat bagi WSS. Saya berharap bahawa sesiapa sahaja yang melihat apa-apa kesilapan atau ketinggalan akan menunjukkan bahawa dalam komen atau e-mel saya. Saya akan membuat pembetulan post tergesa-gesa.
Asas:
Bagi maksud gambaran ini, terdapat empat aspek asas kepada keselamatan: pengguna / kumpulan, objek securable, tahap kebenaran dan warisan.
Pengguna dan Kumpulan memecahkan untuk:
- Pengguna individu: Ditarik dari direktori aktif atau diwujudkan secara langsung dalam SharePoint.
- Kumpulan: Dipetakan secara langsung daripada Direktori Aktif atau dicipta dalam SharePoint. Kumpulan ialah sekumpulan pengguna. Kumpulan adalah global dalam koleksi tapak. Mereka tidak pernah "terikat" dengan objek securable tertentu.
Objek Securable memecahkan kepada sekurang-kurangnya:
- Laman
- Perpustakaan dokumen
- Item individu dalam senarai dan perpustakaan dokumen
- Folder
- Pelbagai tetapan BDC.
Terdapat lain-lain objek securable, tetapi anda mendapat gambar.
Tahap kebenaran: Satu ikatan berbutir / hak capaian tahap rendah yang merangkumi perkara-perkara seperti mencipta/Baca/padam entri dalam senarai.
Warisan: Oleh entiti-entiti lalai mewarisi seting sekuriti daripada objek mereka mengandungi. Laman sub mewarisi kebenaran daripada ibu bapa mereka. Perpustakaan dokumen mewarisi daripada laman web mereka. Sebagainya dan sebagainya.
Pengguna dan kumpulan berkaitan dengan objek securable melalui tahap kebenaran dan warisan.
Peraturan Keselamatan Paling Penting Untuk Memahami, Ever 🙂 :
- Kumpulan hanya koleksi pengguna.
- Kumpulan adalah global dalam koleksi tapak (Dgn kata lain. tidak ada perkara seperti kumpulan ditakrifkan di peringkat tapak).
- Nama kumpulan tidak tahan, kumpulan tidak, dalam dan diri mereka sendiri, mempunyai tahap keselamatan yang tertentu mana-mana.
- Kumpulan mempunyai keselamatan dalam konteks sebuah objek securable yang tertentu.
- Anda boleh menetapkan tahap kebenaran berbeza dengan kumpulan yang sama untuk setiap objek securable.
- Web permohonan dasar muslihat semua ini (lihat di bawah).
Pentadbir Keselamatan hilang di lautan kumpulan dan senarai pengguna sentiasa boleh bergantung kepada aksiom ini untuk mengurus dan memahami konfigurasi keselamatan mereka.
Perangkap biasa:
- Nama kumpulan palsu membayangkan kebenaran: Keluar dari kotak, SharePoint mentakrifkan satu set Kumpulan nama-nama yang membayangkan tahap keselamatan yang sedia ada. Mempertimbangkan Kumpulan "Penyumbang". Seseorang yang tidak dikenali dengan SharePoint keselamatan juga boleh melihat nama itu dan menganggap bahawa mana-mana ahli kumpulan tersebut boleh "menyumbang" kepada mana-mana lokasi/Senarai/Perpustakaan dalam portal. Ia mungkin benar tetapi bukan kerana nama Kumpulan yang berlaku menjadi "penyumbang". Hal ini hanya berlaku luar kotak kerana Kumpulan telah diperuntukkan tahap kebenaran yang membolehkan mereka untuk menambah/mengedit/memadam kandungan pada tapak akar. Melalui warisan, "penyumbang" Kumpulan juga boleh menambah/mengedit/memadam kandungan pada setiap tapak kecil. Salah satu boleh "memecahkan" rantai warisan dan perubahan tahap kebenaran sub tapak tersebut bahawa ahli-ahli dalam apa yang dipanggil "penyumbang" kumpulan tidak boleh menyumbang pada semua, tetapi hanya membaca (contohnya). Ini tidak akan menjadi satu idea yang baik, jelas, kerana ia akan menjadi sangat mengelirukan.
- Kumpulan tidak ditakrifkan di peringkat tapak. Ia adalah mudah untuk dikelirukan oleh antaramuka pengguna. Microsoft menyediakan pautan mudah kepada pengguna/Kumpulan Pengurusan melalui setiap tapak "orang-orang dan Kumpulan" pautan. Ia adalah mudah untuk mempercayai bahawa apabila saya di laman web "xyzzy" dan saya mencipta Kumpulan melalui orang-orang di xyzzy dan Kumpulan pautan yang saya baru sahaja dicipta Kumpulan yang hanya wujud di xyzzy. Itu bukan kes itu. Saya benar-benar telah membuat sebuah Kumpulan bagi kutipan keseluruhan tapak.
- Keahlian kumpulan tidak berbeza oleh laman (Dgn kata lain. ia adalah sama di mana-mana kumpulan yang digunakan): Mempertimbangkan Kumpulan "pemunya" dan dua tapak, "HR" dan "Logistik". Ia akan menjadi perkara biasa untuk berfikir bahawa dua individu yang berasingan akan memiliki tapak-tapak — seorang pemilik sumber manusia dan seorang pemilik logistik. Antara muka pengguna menjadikannya mudah bagi seorang pentadbir Keselamatan untuk mishandle senario ini. Jika saya tidak tahu lebih baik, Saya mungkin mengakses Rakyat dan Kumpulan pautan melalui laman HR, Pilih "pemilik" Kumpulan dan menambah pemilik HR saya kepada Kumpulan yang. Sebulan kemudian, Logistik datang on-line. Saya mencapai orang dan Kumpulan dari tapak logistik, Tambah tarik sehingga pemilik"" Kumpulan. Saya jumpa HR pemilik tiada dan keluarkan dia, memikirkan bahawa saya saya mengeluarkan dia daripada pemilik di tapak logistik. Malah, Saya saya mengeluarkan dia daripada golongan pemilik global. Kegembiraan yang Genting akan berlaku.
- Gagal untuk menamakan kumpulan berdasarkan peranan tertentu: "Approvers" Kumpulan adalah contoh sempurna. Apa yang boleh ahli-ahli kumpulan ini lulus? Di mana mereka boleh meluluskan ia? Adakah saya benar-benar mahu orang logistik Jabatan dapat meluluskan dokumen HR? Sudah tentu tidak. Sentiasa nama Kumpulan berdasarkan peranan mereka dalam organisasi. Ini akan mengurangkan risiko bahawa Kumpulan ditugaskan tahap kebenaran yang tidak sesuai untuk objek securable yang tertentu. Nama Kumpulan berdasarkan peranan mereka. Dalam senario HR/logistik sebelumnya, Saya sepatutnya mewujudkan dua kumpulan baru: "Pemilik HR" dan "logistik pemilik" dan menetapkan tahap kebenaran wajar bagi setiap dan jumlah minimum yang diperlukan untuk orang-orang pengguna untuk melakukan tugas mereka.
Lain-lain Rujukan yang berguna:
- Web permohonan dasar gotcha ini: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Clearinghouse untuk SharePoint keselamatan: http://www.sharepointsecurity.com/
- Pautan dari Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Jika anda telah membuat sejauh ini:
Sila beritahu saya tahu pendapat anda melalui komen atau email saya. Jika anda tahu rujukan lain baik, sila melakukan perkara yang sama!