AKTUALIZACJA 12/18/07: Paul Liebrand w artykule pewne konsekwencje techniczne usuwanie lub modyfikowanie domyślnej nazwy grupy (Zobacz także jego komentarz poniżej).
Przegląd:
SharePoint bezpieczeństwa jest łatwe do konfigurowania i zarządzania. Jednakże, on okazał się być trudne dla niektórych administratorów po raz pierwszy naprawdę owinąć swoje ręce wokół niego. Nie tylko, że, Mam widział Niektórzy administratorzy są doskonałe zrozumienie w poniedziałek tylko do stracili to piątek, bo nie mają robić żadnej konfiguracji w czasie interwencji. (Przyznam, że o ten problem, ja). Ten wpis w blogu mam nadzieję, że zawiera przydatne podkład zabezpieczeń programu SharePoint i punkty wobec niektórych konfiguracji najważniejsze wskazówki dotyczące zabezpieczeń.
Uwaga:
Ten opis jest oparty na polu SharePoint bezpieczeństwa. Moje osobiste doświadczenie jest zorientowana wokół MOSS, więc mogą być pewne MOSS konkretnych rzeczy tutaj, ale uważam, że jest to dokładne dla WSS. Mam nadzieję, że ktoś widząc błędy lub przeoczenia będzie podkreślić, że w komentarzach lub e-mail ja. Zrobię korekty po pośpiechu.
Podstawy:
Dla celów tego przeglądu, Istnieją cztery podstawowe aspekty bezpieczeństwa: użytkowników/grup, zabezpieczanych obiektów, poziomy uprawnień i dziedziczenie.
Użytkownicy i grupy przerwa w dół do:
- Użytkowników indywidualnych: Wyciągnął z aktywnym katalogu lub utworzonych bezpośrednio w programie SharePoint.
- Grupy: Mapowane bezpośrednio z usługi active directory lub utworzone w SharePoint. Grupy są to zbiór użytkowników. Grupy są globalne w zbiorze witryn. Oni nigdy nie "związane są" dla określonego obiektu zabezpieczanego.
Zabezpieczanych obiektów break down do co najmniej:
- Stron
- Biblioteki dokumentów
- Poszczególne pozycje na listach i w bibliotekach dokumentów
- Foldery
- Różne ustawienia usługi łączności danych biznesowych.
Tam inne zabezpieczany obiektów, ale masz obraz.
Poziomy uprawnień: Pakiet materiałów sypkich / niski poziom dostępu do praw, które obejmują takie rzeczy jak tworzenie, odczyt/usuwanie wpisów w listach.
Dziedziczenie: Domyślnie elementy dziedziczą ustawienia zabezpieczeń z ich obiektu zawierającego. Podwitryny dziedziczą uprawnienia z rodziców. Biblioteki dokumentów dziedziczą z ich strony. Tak dalej i tak dalej.
Użytkownicy i grupy odnoszą się do zabezpieczanych obiektów za pośrednictwem poziomów uprawnień i dziedziczenie.
Najważniejsze zasady bezpieczeństwa, aby zrozumieć, Ever 🙂 :
- Grupy są po prostu Kolekcje użytkowników.
- Grupy są globalne w zbiorze witryn (tj.. istnieje coś takiego jak grupa zdefiniowane na poziomie witryny).
- Nazwa grupy nie wytrzymać, grupy nie, w i o sobie, mają szczególne poziom bezpieczeństwa.
- Grupy mają bezpieczeństwa w kontekście konkretnego obiektu zabezpieczany.
- Może przypisać różne poziomy uprawnień do tej samej grupy dla każdego obiektu zabezpieczanego.
- Zasady aplikacji sieci Web atutem tego wszystkiego (patrz poniżej).
Administratorzy zabezpieczeń zagubiony w morzu grupy i użytkownika oferty zawsze możesz liczyć na te Aksjomaty do zarządzania i zrozumieć ich konfiguracji zabezpieczeń.
Typowych pułapek:
- Nazwy grup fałszywie pociąga za sobą uprawnienie: Po wyjęciu z pudełka, SharePoint definiuje zestaw grup, których nazwy oznacza związane poziom bezpieczeństwa. Należy wziąć pod uwagę grupy "Autor". Jeden nieobeznanych z SharePoint bezpieczeństwa może dobrze przyjrzeć się tej nazwy i zakładam, że każdy członek tej grupy może "przyczynić się" do każdej witryny/listy/biblioteki w portalu. Może to być prawdą, ale nie dlatego, że nazwa grupy stanie się "autor". Tylko to prawda po wyjęciu z pudełka, bo Grupa przedstawiła poziom uprawnień, który pozwala na Dodawanie/edycja/usuwanie zawartości na stronie głównej. Za pomocą dziedziczenia, uczestników"" Grupa może również dodać/wydawać/delegować treść na każdej stronie. Jeden może "złamać" łańcucha dziedziczenia i zmiany uprawnień poziom sub-strony, takie że członkowie tzw "respondenta" Grupa nie może przyczynić się w ogóle, ale tylko do odczytu (na przykład). To nie byłby to dobry pomysł, Oczywiście, od tego czasu byłoby bardzo mylące.
- Grupy nie są zdefiniowane na poziomie witryny. Nietrudno pomylić się przy użyciu interfejsu użytkownika. Firma Microsoft udostępnia wygodny link do użytkownika/grupy zarządzania za pośrednictwem Każda witryna "osób i grup" link. To jest łatwo uwierzyć, że gdy jestem na stronie "xyzzy" i stworzyć grupę przez xyzzy dla osób i grup łącze które właśnie stworzyliśmy grupę, która istnieje tylko w xyzzy. To nie przypadek. Faktycznie stworzyliśmy grupę do zbierania całej witryny.
- Członkostwo grupy nie zależy od strony (tj.. tak samo jest wszędzie tam, gdzie jest używana grupa): Należy wziąć pod uwagę grupy "właściciela" i dwa miejsca, "HR" i "Logistyka". Byłoby to normalne, aby myśleć, że dwie odrębne osoby chcieliby własne tych miejsc — właścicielem HR i właścicielem logistyki. Interfejs użytkownika ułatwia administratorowi zabezpieczeń mishandle tego scenariusza. Gdybym nie wiedział lepiej, Może uzyskać dostęp do osób i grup linki za pośrednictwem strony HR, Wybierz "właścicieli" grupy i dodać mój właściciel HR do tej grupy. Miesiąc później, Logistyka jest na linii. Dostęp do osób i grup ze strony logistyki, dodać podciągnąć właścicieli"" Grupa. Zobacz właściciela HR i usunąć ją, myśli, że jestem jej usunięcie z właścicieli na stronie logistyki. W zasadzie, Jestem usunięcie jej z globalnej grupy właścicieli. Następuje wesołość.
- Nie nazwę grupy w oparciu o szczególnej roli: "Osoby zatwierdzające" Grupa jest doskonałym przykładem. Co można członków tej grupy Zatwierdź? Gdzie oni to zatwierdzić? Naprawdę chcesz dział logistyki ludzi, aby mogli zatwierdzać dokumenty HR? Oczywiście nie. Zawsze nazwę grupy na podstawie ich roli w organizacji. Zmniejszy to ryzyko, że grupa jest przypisany poziom uprawnień nieodpowiednie dla określonego obiektu zabezpieczanego. Nazwa grupy w oparciu o ich rolę. W poprzednim scenariuszu HR/logistyka, Powinien zostały utworzone dwa nowe grupy: "HR właścicieli" i logistyka właścicieli"" i przypisać poziomy uprawnień sensowne dla każdego i kwota minimalna wymagana dla tych użytkowników wykonywać swoją pracę.
Inne przydatne odnośniki:
Jeśli już się to znacznie:
Podobać się puszczać mi znać swoje myśli poprzez komentarze lub napisz do mnie. Jeśli znasz inne dobre referencje, proszę zrobić to samo!