SharePoint Keselamatan Asas Pertama / Elakkan Perangkap biasa

UPDATE 12/18/07: Lihat artikel Paul Liebrand untuk beberapa kesan teknikal memindahkan atau mengubah nama kumpulan lalai (lihat komen beliau di bawah serta).

Tinjauan:

SharePoint Keselamatan adalah mudah untuk dikonfigurasi dan urus oleh. Walau bagaimanapun, Ia telah terbukti menjadi sukar bagi sesetengah pentadbir kali pertama untuk benar-benar Balut tangan mereka sekelilingnya. Bukan itu sahaja, Saya telah melihat beberapa pentadbir yang datang untuk pemahaman yang sempurna pada hari Isnin sahaja untuk telah hilang oleh Jumaat yang kerana mereka tidak perlu melakukan sebarang konfigurasi pada masa kematangan. (Saya mengaku mempunyai masalah ini sendiri). Entri blog ini mudah-mudahan menyediakan buku asas Keselamatan SharePoint berguna dan menghala ke arah beberapa amalan terbaik Keselamatan konfigurasi.

Nota Penting:

Huraian ini adalah berdasarkan daripada kotak SharePoint Keselamatan. Pengalaman peribadi saya adalah berorientasikan sekitar MOSS jadi mungkin ada sesetengah MOSS tertentu barangan di sini, tetapi saya percaya ia adalah tepat bagi WSS. Saya berharap bahawa sesiapa sahaja yang melihat apa-apa kesilapan atau ketinggalan akan menunjukkan bahawa dalam komen atau e-mel saya. Saya akan membuat pembetulan post tergesa-gesa.

Asas:

Bagi maksud gambaran ini, terdapat empat aspek asas kepada keselamatan: pengguna / kumpulan, objek securable, tahap kebenaran dan warisan.

Pengguna dan Kumpulan memecahkan untuk:

  • Pengguna individu: Ditarik dari direktori aktif atau diwujudkan secara langsung dalam SharePoint.
  • Kumpulan: Dipetakan secara langsung daripada Direktori Aktif atau dicipta dalam SharePoint. Kumpulan ialah sekumpulan pengguna. Kumpulan adalah global dalam koleksi tapak. Mereka tidak pernah "terikat" dengan objek securable tertentu.

Objek Securable memecahkan kepada sekurang-kurangnya:

  • Laman
  • Perpustakaan dokumen
  • Item individu dalam senarai dan perpustakaan dokumen
  • Folder
  • Pelbagai tetapan BDC.

Terdapat lain-lain objek securable, tetapi anda mendapat gambar.

Tahap kebenaran: Satu ikatan berbutir / hak capaian tahap rendah yang merangkumi perkara-perkara seperti mencipta/Baca/padam entri dalam senarai.

Warisan: Oleh entiti-entiti lalai mewarisi seting sekuriti daripada objek mereka mengandungi. Laman sub mewarisi kebenaran daripada ibu bapa mereka. Perpustakaan dokumen mewarisi daripada laman web mereka. Sebagainya dan sebagainya.

Pengguna dan kumpulan berkaitan dengan objek securable melalui tahap kebenaran dan warisan.

Peraturan Keselamatan Paling Penting Untuk Memahami, Ever 🙂 :

  1. Kumpulan hanya koleksi pengguna.
  2. Kumpulan adalah global dalam koleksi tapak (Dgn kata lain. tidak ada perkara seperti kumpulan ditakrifkan di peringkat tapak).
  3. Nama kumpulan tidak tahan, kumpulan tidak, dalam dan diri mereka sendiri, mempunyai tahap keselamatan yang tertentu mana-mana.
  4. Kumpulan mempunyai keselamatan dalam konteks sebuah objek securable yang tertentu.
  5. Anda boleh menetapkan tahap kebenaran berbeza dengan kumpulan yang sama untuk setiap objek securable.
  6. Web permohonan dasar muslihat semua ini (lihat di bawah).

Pentadbir Keselamatan hilang di lautan kumpulan dan senarai pengguna sentiasa boleh bergantung kepada aksiom ini untuk mengurus dan memahami konfigurasi keselamatan mereka.

Perangkap biasa:

  • Nama kumpulan palsu membayangkan kebenaran: Keluar dari kotak, SharePoint mentakrifkan satu set Kumpulan nama-nama yang membayangkan tahap keselamatan yang sedia ada. Mempertimbangkan Kumpulan "Penyumbang". Seseorang yang tidak dikenali dengan SharePoint keselamatan juga boleh melihat nama itu dan menganggap bahawa mana-mana ahli kumpulan tersebut boleh "menyumbang" kepada mana-mana lokasi/Senarai/Perpustakaan dalam portal. Ia mungkin benar tetapi bukan kerana nama Kumpulan yang berlaku menjadi "penyumbang". Hal ini hanya berlaku luar kotak kerana Kumpulan telah diperuntukkan tahap kebenaran yang membolehkan mereka untuk menambah/mengedit/memadam kandungan pada tapak akar. Melalui warisan, "penyumbang" Kumpulan juga boleh menambah/mengedit/memadam kandungan pada setiap tapak kecil. Salah satu boleh "memecahkan" rantai warisan dan perubahan tahap kebenaran sub tapak tersebut bahawa ahli-ahli dalam apa yang dipanggil "penyumbang" kumpulan tidak boleh menyumbang pada semua, tetapi hanya membaca (contohnya). Ini tidak akan menjadi satu idea yang baik, jelas, kerana ia akan menjadi sangat mengelirukan.
  • Kumpulan tidak ditakrifkan di peringkat tapak. Ia adalah mudah untuk dikelirukan oleh antaramuka pengguna. Microsoft menyediakan pautan mudah kepada pengguna/Kumpulan Pengurusan melalui setiap tapak "orang-orang dan Kumpulan" pautan. Ia adalah mudah untuk mempercayai bahawa apabila saya di laman web "xyzzy" dan saya mencipta Kumpulan melalui orang-orang di xyzzy dan Kumpulan pautan yang saya baru sahaja dicipta Kumpulan yang hanya wujud di xyzzy. Itu bukan kes itu. Saya benar-benar telah membuat sebuah Kumpulan bagi kutipan keseluruhan tapak.
  • Keahlian kumpulan tidak berbeza oleh laman (Dgn kata lain. ia adalah sama di mana-mana kumpulan yang digunakan): Mempertimbangkan Kumpulan "pemunya" dan dua tapak, "HR" dan "Logistik". Ia akan menjadi perkara biasa untuk berfikir bahawa dua individu yang berasingan akan memiliki tapak-tapak — seorang pemilik sumber manusia dan seorang pemilik logistik. Antara muka pengguna menjadikannya mudah bagi seorang pentadbir Keselamatan untuk mishandle senario ini. Jika saya tidak tahu lebih baik, Saya mungkin mengakses Rakyat dan Kumpulan pautan melalui laman HR, Pilih "pemilik" Kumpulan dan menambah pemilik HR saya kepada Kumpulan yang. Sebulan kemudian, Logistik datang on-line. Saya mencapai orang dan Kumpulan dari tapak logistik, Tambah tarik sehingga pemilik"" Kumpulan. Saya jumpa HR pemilik tiada dan keluarkan dia, memikirkan bahawa saya saya mengeluarkan dia daripada pemilik di tapak logistik. Malah, Saya saya mengeluarkan dia daripada golongan pemilik global. Kegembiraan yang Genting akan berlaku.
  • Gagal untuk menamakan kumpulan berdasarkan peranan tertentu: "Approvers" Kumpulan adalah contoh sempurna. Apa yang boleh ahli-ahli kumpulan ini lulus? Di mana mereka boleh meluluskan ia? Adakah saya benar-benar mahu orang logistik Jabatan dapat meluluskan dokumen HR? Sudah tentu tidak. Sentiasa nama Kumpulan berdasarkan peranan mereka dalam organisasi. Ini akan mengurangkan risiko bahawa Kumpulan ditugaskan tahap kebenaran yang tidak sesuai untuk objek securable yang tertentu. Nama Kumpulan berdasarkan peranan mereka. Dalam senario HR/logistik sebelumnya, Saya sepatutnya mewujudkan dua kumpulan baru: "Pemilik HR" dan "logistik pemilik" dan menetapkan tahap kebenaran wajar bagi setiap dan jumlah minimum yang diperlukan untuk orang-orang pengguna untuk melakukan tugas mereka.

Lain-lain Rujukan yang berguna:

Jika anda telah membuat sejauh ini:

Sila beritahu saya tahu pendapat anda melalui komen atau email saya. Jika anda tahu rujukan lain baik, sila melakukan perkara yang sama!

Technorati Tags:

8 pemikiran untuk "SharePoint Keselamatan Asas Pertama / Elakkan Perangkap biasa

  1. Perry

    Lebih banyak kesulitan:

    * Terdapat kebenaran khas tertentu yang terdapat di tempat lain di SSP dan tidak dapat dilihat di Rakyat dan Kumpulan seksyen: "Peribadi Perkhidmatan kebenaran" dan "kebenaran perniagaan Data Katalog"

    * Saya telah membaca bahawa terdapat juga SharePoint Designer kebenaran khas di sesetengah xml batin dikebumikan di dalam html tempat.

    * Pentadbir Rendah dan Menengah untuk Collection Site disimpan di tempat lain dalam persekitaran Collection Site, dan tidak dapat dilihat dalam Rakyat dan Kumpulan seksyen.

    * Akaun tertentu mempunyai ajaib (khas) kebolehan tanpa mengira apa yang anda lihat dalam Orang dan kawasan Kumpulan: ahli-ahli kumpulan terbina dalam Pentadbir pada pelayan web, dan Akaun Perkhidmatan Farm.

    (PS: Memotong komen spam akan meningkatkan kebolehbacaan sini.)

    Balas
  2. Jean Wright
    Ini adalah jawatan yang sangat baik. Saya telah jatuh ke dalam perangkap ini beberapa kali. Pengurusan keselamatan boleh mendapatkan kompleks apabila anda memulakan kaedah pengesahan pergaulan dan kaedah kumpulan keselamatan yang berbeza. Ini perlu dianggap sebagai sebahagian daripada proses perancangan dan tidak boleh diabaikan.
    Balas
  3. Mark Miller menulis:
    (Nota daripada Paul: Mark meminta saya untuk membuat perubahan kecil untuk komen beliau tetapi saya tidak boleh mengubah ruang hidup komen jadi saya telah menambah ia semula di sini dengan perubahan dan dipadam asal).
    Paul,
    Pendekatan ringkasan untuk menyampaikan maklumat ini datang dari dengan baik. Saya terutamanya suka "perangkap" seksyen, kerana saya telah jatuh ke dalam beberapa orang-orang sendiri.
    Satu lagi perkara yang anda berkata melanda rumah: pembelajaran pada hari Isnin tidak semestinya bermakna anda akan ingat pada hari Jumaat. Saya gembira seseorang selain Aku menggunakan blog mereka sebagai "tickler" sistem bagi perkara-perkara penting yang tidak dilakukan secara tetap.
    Kerja yang baik.
    Salam,
    Tandakan
    EndUserSharePoint.com

    November 27 9:04 AM
    (http://www.EndUserSharePoint.com)

    Balas
  4. Paul Galvin
    Saya rasa ia mungkin idea yang baik untuk menghapuskan kumpulan-kumpulan lalai, terutamanya sebagai penyumbang dan pemilik. Mereka akan overbroad dan mudah keliru. Saya lebih suka menggunakan "Semua disahkan pengguna" bagi menggantikan "Pelawat" Kumpulan serta. Jika sesuatu set pengguna harus capaian hanya baca-sahaja, maka aku cadangkan mewujudkan satu kelompok iklan atau Kumpulan SharePoint dengan namanya yang sewajarnya deskriptif, e.g. "Pengunjung logistik".
    –Paul G
    Balas
  5. Tiada nama
    Ia berbunyi seperti perkara pertama yang perlu anda lakukan adalah hanya membuang Pelawat, Penyumbang dan kumpulan Pemilik dan menggantikan mereka dengan kumpulan-kumpulan logik anda sendiri. Adakah ini masuk akal untuk melakukan?
    Balas

Tinggalkan Jawapan

alamat e-mel anda tidak akan diterbitkan. Ruangan yang diperlukan ditanda *