ACTUALIZARE 12/18/07: A se vedea articolul Paul Liebrand pentru unele consecinţe tehnice de eliminarea sau modificarea numele grupului implicit (a se vedea comentariul lui de mai jos, precum şi).
Privire de ansamblu:
Securitate SharePoint este uşor pentru a configura şi gestiona. Cu toate acestea, sa dovedit a fi dificil pentru unii administratori de prima dată pentru a împacheta într-adevăr mâinile lor în jurul acestuia. Nu numai că, Am vazut Unii administratori de ajunge la o înţelegere perfectă luni, doar pentru a l-au pierdut de vineri deoarece ei nu au a face orice configuraţie în timpul intervin. (Recunosc că pentru a avea această problemă eu). Această intrare de blog, sperăm, oferă un grund de securitate SharePoint utile şi puncte faţă de unele de configurare de securitate cele mai bune practici.
Notă importantă:
Această descriere se bazează pe afară de la cutie de securitate SharePoint. Experienţa mea personală este orientat în jurul MOSS, aşa că pot exista unele chestii MOSS specifice aici, dar cred că este corect pentru AAC. Sper că oricine văzând orice erori sau omisiuni vor sublinia că în comentarii sau e-mail-mă. Voi face corecţii post-grabă.
Fundamentele:
În scopul de această prezentare generală, Există patru aspecte fundamentale pentru securitate: utilizatori/grupuri, SecurAble obiecte, nivelurile de permisiune şi moştenire.
Utilizatori și grupuri rupe în jos pentru a:
- Utilizatori individuali: Tras din activ, Director sau create direct în SharePoint.
- Grupuri: Mapate direct din active directory sau create în SharePoint. Grupurile sunt o colecţie de utilizatori. Grupurile sunt la nivel global într-o colecţie de site-ul. Ei sunt mai "legat" la un anumit obiect securizabil.
SecurAble obiecte rupe în jos pentru a cel puţin:
- Site-uri
- Biblioteci de documente
- Elemente individuale în liste și biblioteci de documente
- Dosare
- Diferite setări de BDC.
Nu există alte obiecte securizabil, dar ai poza.
Nivelurile de permisiune: Un pachet de granulare / drepturile de acces la nivel scăzut care includ lucruri cum ar fi crearea/citi/sterge intrările în listele.
Moştenire: În mod implicit entităţi moștenesc setările de securitate care conţine obiectul lor. Subsite-urile moștenesc permisiunea de la lor mamă. Bibliotecile de documente moşteni de la site-ul lor. Şi aşa mai departe.
Utilizatorii şi grupurile se referă la obiecte securizabil prin niveluri de permisiune şi moştenire.
Cele mai importante reguli de securitate pentru a înţelege, Ever 🙂 :
- Grupurile sunt pur şi simplu colecţii de utilizatori.
- Grupurile sunt la nivel global în termen de o colecţie de site-ul (adică. nu există un astfel de lucru ca un grup definit la nivel de site-ul).
- Nume de grup nu reziste, grupurile nu, În şi de ei înşişi, au orice nivel special de securitate.
- Grupurile au de securitate în contextul unui anumit obiect securizabil.
- Poate atribui niveluri de permisiune diferite pentru acelaşi grup pentru fiecare obiectul securizabil.
- Politici de aplicaţie web atu toate astea (a se vedea mai jos).
Administratorii de securitate pierdut într-o mare de listări de grup și utilizator puteţi baza întotdeauna pe aceste axiome pentru a gestiona şi de a înţelege lor de securitate de configurare.
Capcane comune:
- Grupa nume fals implica permisiunea: Afară de la cutie, SharePoint defineşte un set de grupuri ale căror nume implică un nivel inerente de securitate. Considera grupul "Contribuitor". Unul familiarizat cu SharePoint de securitate poate bine uita-te la acest nume şi presupune că orice membru al acelui grup "contribui" orice site-ul/lista/Biblioteca în portal. Aceasta poate fi adevărat, dar nu pentru că numele grupului se întâmplă să fie "contribuitor". Acest lucru este adevărat numai în afară de la cutie pentru că grupul a fost furnizat de un nivel de permisiune care să le permită pentru a adăuga/edita/şterge conţinut la site-ul rădăcină. Prin mostenire, contribuabili"" grup, de asemenea, pot adauga/edita/şterge conţinut la site-sub-ul fiecare. Unul pot "rupe" lanţul de moştenire şi schimba nivelul de permisiune de un sub-site-ul astfel că membri ai aşa-numitele "contribuitor" Grupul nu poate contribui la toate, dar doar citit (de exemplu). Acest lucru nu ar fi o idee buna, în mod evident, deoarece ar fi foarte confuz.
- Grupurile nu sunt definite la nivel de site-ul. Este uşor de a fi confundate de interfaţa cu utilizatorul. Microsoft oferă o legătură convenabilă la utilizatorul/grupul de management prin intermediul site-ului fiecare "oameni şi grupuri" link-ul. Este uşor să credem că atunci când eu sunt la site-ul "xyzzy" şi creează un grup prin xyzzy pe oameni şi grupuri link că am creat doar un grup care există doar la xyzzy. Că nu este cazul. De fapt am creat un grup de colectare întreg site-ul.
- Grupuri de membru nu variază în funcţie de site-ul (adică. este la fel peste tot grupul este utilizat): Considera grupul "proprietar" şi două site-uri, "HR" şi "Logistica". Ar fi normal să cred că doi indivizi separaţi ar proprii aceste site-uri — un proprietar de HR şi un proprietar de logistică. Interfaţa este uşor pentru un administrator de securitate a mishandle acest scenariu. În cazul în care nu am stiut mai bine, S-ar putea accesa oameni şi grupuri de link-uri prin intermediul site-ului HR, Selectaţi "proprietarii" de grup şi se adaugă meu proprietar de HR la acel grup. O lună mai târziu, Logistica vine pe linie. Accesa oameni şi grupuri din situl de logistică, Adauga trage "proprietarii" Grupa. Văd proprietarul HR acolo şi elimina i, gândindu-mă că eu sunt scoaterea ei din proprietarii de site-ul logistica. de fapt, Eu sunt scoaterea ei din grupul proprietarii globale. Ilaritate apare.
- În caz contrar să numele grupuri bazate pe rol specific: "Aprobatori" Grupul este un exemplu perfect. Ce pot membri ai acestui grup de aprobare? În cazul în care pot ei să-l aprobe? Chiar vreau oameni Departamentul de logistica pentru a aproba documente HR? Desigur, nu. Întotdeauna numele grupurilor bazat pe rolul lor în cadrul organizaţiei. Acest lucru va reduce riscul că grupul este atribuit un nivel inadecvat permisiunea pentru un anumit obiect securizabil. Numele grupurilor bazat pe rolul lor destinate. În scenariul anterior HR/logistica, Mi-ar trebui să am creat două noi grupuri: "Proprietarii de HR" şi proprietarii de logistică"" şi atribui niveluri de permisiune sensibil pentru fiecare şi suma minimă necesară pentru cei care utilizatorii să facă treaba lor.
Alte referinţe utile:
- Web cerere politica gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Clearinghouse pentru securitate SharePoint: http://www.sharepointsecurity.com/
- Link-uri la Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Dacă le-aţi făcut acest lucru de departe:
Vă rog să-mi spuneţi-vă gândurile prin comentarii sau e-mail-mă. Daca stiti alte referinte bune, vă rugăm să facă acelaşi lucru!
salut,
Mare blog cu informatii interesante.
Eu pot folosi t solve meu problemă.
Thanx
M.
http://www.vanjobb.hu/
Mai multe capcane:
* Există anumite permisiuni speciale disponibile în altă parte în SSP și nu sunt vizibile în secţiunea de persoane și grupuri: "Personalizare servicii permisiuni" şi "Catalog date permisiuni"
* Am citit că există, de asemenea, SharePoint Designer permisiuni speciale disponibile în unele xml arcane îngropat în interiorul html undeva.
* Primar şi secundar administratori pentru o colecţie de site-ul se păstrează în altă parte în setările de colecție de site-ul, şi sunt nu vizibile în secţiunea de persoane și grupuri.
* Anumite conturi au magice (speciale) abilităţi indiferent de ceea ce vedeţi în zona de persoane și grupuri: membri ai grupului de administratori built-in pe servere web, şi cont de servicii fermă.
(PS: Ştergerea spam Comentarii ar îmbunătăţi lizibilitatea aici.)
Ei bine, cred că design-ul blog-ul este foarte interesant.
salut, Numele meu este ioan, şi site-ul meu este http://geocities.com/whitejohn29/
Noiembrie 27 9:04 AM
(http://www.EndUserSharePoint.com)