Категория Архивы: Безопасности SharePoint

"Доступ запрещен” для Default.aspx на SharePoint 2010 Сайт суб

Один из моих клиентов пошли жить с их SharePoint 2010 Сегодня окружающая среда.  Мы обнаружили, что определенные группы пользователей не мог получить доступ к их домашней страницы по умолчанию.  SharePoint ответ на «Доступ запрещен» и обычные «знак в другого пользователя» или «запрос доступа» ответ. 

Когда мы использовали отличный функция «Проверить доступ» он подтвердил, что конечные пользователи действительно имел доступ.  Тем не менее, они не могут получить на страницу.

Я последовал за много дорог различных мертвых заканчивается до тех пор, пока я решил сравнить веб-частей на странице сломанной против аналогичного рабочей страницы.  Я сделал это, поставив на страницу в режиме обслуживания, добавляя"?содержание = 1 "на страницу. Таким образом, Он посмотрел, как "http://Server/subsite/subsite/Default.aspx?содержание = 1 ". 

Это показал мне двух веб-частей с именем «Ошибка» с описанием как «Ошибка» на странице сломанной.  Я не думаю, чтобы взять экрана шапочка в то время.

Я удалил их и что решить эту проблему.

Я видел вопрос, как это прийти вверх на форумах и в прошлом, и я был очень скептически плакат настаивает, что его безопасности, настройки.  Я * знать * я имел безопасности созданы право Улыбка  В следующий раз, Я буду более открытой и менее скептически.

</конец>

Подписаться на мой блог.

Следуй за мной по щебетать на http://www.twitter.com/pagalvin

Использование рабочего процесса для имитации тип содержимого безопасности

Еще один день, другой форумы MSDN вдохновили должность.

Кто-то спрашивал, ли они могли бы обеспечить тип контента таким образом, что когда пользователь нажимает на кнопку «Новый» на настраиваемого списка, только типы контента, которые это лицо предоставляется доступ будет появляться в раскрывающемся списке.  Как мы знаем, Это не поддерживается из коробки.

Этот вопрос возникает время от времени и на этот раз, Я имел новая идея.  Давайте предположим, что у нас есть сценарий как это:

  • У нас есть helpdesk тикетной системы.
  • Helpdesk, тикетной системы позволяет пользователям вводить в продаже билеты на регулярные helpdesk, например проблемной области, проблемы статуса, и т.д..
  • Мы хотим разрешить «супер» пользователям указывать в поле «срочности».
  • Другие пользователи не имеют доступ к этому полю.  Система всегда будет назначить их запросы «средний» уровень приоритета.

Что мы можем сделать, это создать две отдельные списки SharePoint и два разных типов содержимого, один «супер» пользователей и для всех остальных.

Рабочий процесс в каждом списке копирует данные в основной список (список фактических helpdesk билет) и оттуда продолжается процесс.

Этот подход может работать поток своего рода столбец уровня безопасности, а также. 

Я не пробовал, но он чувствует себя разумной и дает довольно простой, Если очень грубо, возможность для реализации своего рода тип контента и даже безопасность на уровне столбца.

</конец>

Подписаться на мой блог.

Следуй за мной по щебетать на http://www.twitter.com/pagalvin

Утверждение контента как бедный человек автоматические элемента уровня безопасности

Существует общий бизнес-сценарий с формами InfoPath.  Мы хотим, чтобы разрешить пользователям заполнять формы InfoPath и представить их в библиотеке.  Мы хотим желобы (и никто больше) иметь доступ к тем формам.

Этот вопрос возникает сейчас и потом, в формах (Например. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

Быстрый способ для решения этой проблемы необходимо включить утверждение контента для библиотеки форм.  Идти параметры библиотеки версии и установите его вверх, как показано:

image 

Нажмите на «Требовать утверждения контента», что позволит вам выбрать значение для безопасности элемента проекта.

Это немного нелогичным потому, что мы не думаем, с точки зрения «утверждение контента» когда все мы хотим сделать это предотвратить людей видеть других пользователей формы.  Однако, Он хорошо работает (в моем опыте).  Просто не одобрить эти формы, и они всегда считал «Черновики». 

Дать права на утверждение к людям, которые должны быть в состоянии видеть их и вы закрыли петли.

Это не совсем большие новости, но вопрос прийти вверх с некоторой регулярностью, Поэтому я подумал, было бы целесообразно размещение.

</конец>

Подписаться на мой блог.

Следуй за мной по щебетать на http://www.twitter.com/pagalvin

Что такое ограниченный доступ?

ОБНОВЛЕНИЕ 11/03/08: Не забудьте прочитать отличную и подробный комментарий от Дэссе Lunsford на этот пост.

Я работаю на секретный tech редактирования проекта для предстоящих книги и она ссылается Эта запись в блоге Тайлер Батлер в блоге MSDN ECM. Это первый раз, я лично читал четкое определение понятия ограниченный доступ. Вот мясо определения:

В SharePoint, Анонимные пользователи’ права определяются уровня разрешений ограниченного доступа. Ограниченный доступ — это специальное разрешение уровня не могут быть назначены пользователю или группе напрямую. Причина что он существует, потому что если у вас есть библиотека или дочернего узла, нарушил наследование разрешений, и вы даете доступ группы пользователей к только что библиотека/дочернего узла, для того, чтобы просмотреть его содержимое, Группа пользователей должна иметь некоторые доступ к корневого веб-узла. В противном случае группа пользователей будет не в состоянии просматривать библиотеки/дочернего узла, Несмотря на то, что они имеют права там, потому что есть вещи в корневом веб-узле, которые необходимы для отображения сайта или библиотеки. Поэтому, Когда вы даете группы разрешения только для дочернего сайта или библиотеки, нарушение наследования разрешений, SharePoint будет автоматически давать ограниченный доступ для этой группы или пользователя на корневом веб-узле.

Этот вопрос приходит время от времени на форумах MSDN и я всегда было любопытно (но не любопытны, чтобы понять это до сегодня :)).

</конец>

Подписаться на мой блог.

Следуй за мной по щебетать на http://www.twitter.com/pagalvin

Бирки Technorati:

Быстрый Подсказка: Настройка безопасности, чтобы разрешить администраторам доступ К любой мой сайт в SharePoint

В знак того, что социальные вычисления начинает снимать с SharePoint, Я вижу, увеличение числа вопросов типа мой сайт. Один общий вопрос идет что-то вроде этого:

«Я являюсь администратором и мне нужно, чтобы иметь возможность доступа к каждый мой сайт. Как это делать?"

Хитрость тут в том что каждый личный сайт является его собственный семейства сайтов. SharePoint безопасности обычно осуществляется на уровне семейства сайтов и это поездки многие администратор SharePoint. Обычно, Она уже имеет доступ для настройки безопасности в основном"" семейства веб-сайтов и не могут понять, что это не работает автоматически для личных сайтов.

Семейства веб-сайтов коллективно живут внутри больших контейнера, Это веб-приложение. Администраторы фермы можно настроить безопасность на уровне веб-приложения, и это, как администраторы могут предоставить себе доступ к любому семейству сайтов в веб-приложении. Эта запись в блоге описывает один из моего личного опыта с политиками веб-приложений. Определяются несчастного случая политику веб-приложения: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Политики веб-приложений может быть опасным, и я полагаю, что они использоваться ограниченно. Если бы я был администратором (и слава Богу я не), Я хотел бы создать отдельный счет AD, что-то вроде «администратор SharePoint Web App с именем" и дать этой одной учетной записи роль безопасности веб-приложений, что необходимо. Я бы не настроить такого рода вещи для администратора регулярно фермы или отдельных узлов Администраторы коллекции. Он будет стремиться скрыть потенциальные проблемы, потому что веб-приложение роль переопределяет параметры нижнего уровня безопасности.

</конец>

Подписаться на мой блог.

Следуй за мной по щебетать на http://www.twitter.com/pagalvin

Представления и столбцы списков и библиотек документов не может быть защищен

ОБНОВЛЕНИЕ (02/29/08): Этот новый проект codeplex, как представляется, предоставляют метод для обеспечения отдельных столбцов: http://www.codeplex.com/SPListDisplaySetting. Если у вас есть опыт работы с ним, Пожалуйста, оставьте комментарий.

Форум плакаты часто задать вопрос, как это: «У меня есть мнение менеджер и и сотрудников представление списка. Как обеспечить представление менеджер, таким образом, что сотрудники не могут использовать его?"

Они также часто спрашивают вопрос: «Я хочу обеспечить определенные метаданные столбца, так что только менеджеры могут редактировать этот столбец, в то время как другие не могут даже увидеть его."

Эти ответы применяются к обоим WSS 3.0 и Мосс:

  • SharePoint не поддерживают out-of-box для обеспечения просмотров.
  • SharePoint не поддерживают out-of-box для безопасности столбцов.

Существует несколько методов одно может следовать, чтобы встретить эти виды требований безопасности. Вот что я могу думать о:

  • Использовать уровень безопасности пункт out-of--box. Просмотров всегда честь конфигурация безопасности уровня элемента. Приемники событий и/или рабочий процесс можно автоматизировать безопасности назначение.
  • Использовать личные взгляды «привилегированные" Представления. Это достаточно легко настроить. Однако, из-за их «личные" Природа, они должны быть настроены для каждого пользователя. Использование стандартной конфигурации безопасности, чтобы запретить создание личного представления.
  • Использовать веб-часть представления данных и реализуют некоторый вид решения обрезки AJAXy безопасности.
  • Roll ваш собственный функциональность отображения списка и включить фильтрацию по ролям безопасности на уровне столбца.
  • Изменение формы для ввода данных и использование JavaScript в сочетании с моделью безопасности для реализации фильтрации по ролям безопасности уровня столбца.
  • Использовать форму InfoPath для ввода данных. Реализовать фильтрацию по ролям безопасности уровня столбца через вызовы веб-службы SharePoint и условно скрыть поля при необходимости.
  • Ролл собственную функцию запись данных ASP.NET, которая реализует фильтрации по ролям безопасности на уровне столбца.

Ни один из этих вариантов действительно что большой, но есть по крайней мере путь, чтобы следовать, если вам нужно, даже если это трудно.

ПРИМЕЧАНИЕ: Если вы идете вниз любой из этих путей, не забывайте о «действия-> Открыть с помощью проводника Windows». Вы хотите быть уверены, что вы проверить с этой функцией, чтобы убедиться, что она не работает как «задней двери" и победить схема безопасности.

Если у вас есть другие идеи для или опытом с обеспечением столбцов или представлений, Пожалуйста Напишите мне или оставьте комментарий, и я буду обновлять эту публикацию в соответствующих случаях.

</конец>

Подписаться на мой блог.

Решение: System.IO.FileNotFoundException на “SPSite = новый SPSite(URL-адрес)”

ОБНОВЛЕНИЕ: Я разместил этот вопрос для MSDN здесь (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) и Michael Уошем Microsoft ответил с кратким ответом.

Я создал веб-службу в качестве BDC чистые фасад в список SharePoint. Когда я использовал это из моей среды разработки, Он работал штрафа. Когда я мигрировали это на новый сервер, Я столкнулся с этой ошибки:

System.IO.FileNotFoundException: Веб-приложение на http://localhost/sandbox не удалось найти. Убедитесь, что вы правильно ввели URL-адреса. Если URL-адрес должен служить существующее содержимое, системный администратор может потребоваться добавить сопоставление URL-адреса запроса в предполагаемой приложение. в Microsoft.SharePoint.SPSite...ctor(SPFarm ферма, URI requestUri, Логическое contextSite, SPUserToken userToken) в Microsoft.SharePoint.SPSite...ctor(Строка requestUrl) в Conchango.xyzzy.GetExistingDocument(Строка minId, Строка maxId, Строка titleFilter) в c:\Документы и студии DocumentsVisual SettingsPaulMy 2005ProjectsxyzzyBDC_DocReviewBDC_DocReviewDocReviewFacade.asmx.cs:линия 69

Вот строки 69:

использование (Сайт SPSite = новый SPSite("http://localhost/sandbox"))

Я пробовал различные вариации на URL-адрес, том числе с использованием реальное имя сервера, его IP-адрес, косой на URL-адрес, и т.д.. Я всегда получил эту ошибку.

Я использовал Google для исследования. Много людей сталкиваются с этой проблемой, или его вариации, но никто, как представляется, она решена.

Шалунов Мосс представила подробный ошибка, это не происходит для меня, чтобы проверить 12 куст журналы. В конце концов, о 24 часов после Мой коллега рекомендуется, что я делаю это, Я проверил 12 куст журнала и нашел это:

Произошло исключение при попытке приобрести местные фермы:
System.Security.SecurityException: Запрошенный доступ к реестру не допускается.
в System.ThrowHelper.ThrowSecurityException(ExceptionResource ресурс) в Microsoft.Win32.RegistryKey.OpenSubKey(Имя строки, Логическое значение для записи) в Microsoft.Win32.RegistryKey.OpenSubKey(Имя строки) в Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() в Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() atMicrosoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& ферма, Логическое значение& isJoined)
Зона Ассамблеи, не был:  Мой компьютер

Это открыло новые направления исследований, так было в Google. Это привело меня к этому форуме пост: HTTP://forums.codecharge.com/posts.php?post_id = 67135. Это не реально помочь мне, но она начала заставляет меня думать, что там была проблема базы данных и/или безопасности. Я soldiered на и Andrew Connell После наконец вызвали мысль, что я должен убедиться, что учетная запись удостоверения пула приложений имели соответствующий доступ к базе данных. Я думал, что он уже сделал. Однако, Мой коллега пошли и дал app пула удостоверение учетной записи полный доступ к SQL.

Как только она сделала это изменение, все начали работать.

Что случилось дальше лучший выражается как хайку Поэма:

Проблемы повышения их руки.
Вы качели и Мисс. Повторить.
Успех! Но как? Почему?

Она не хочет оставить вещи в одиночку подобное, предпочитая предоставить минимальные требуемые разрешения (и вероятно с создание записи блога; Я избил ее на удар, muhahahahaha!).

Она удаляется последовательных разрешения из учетной записи удостоверения пула приложений до … больше не существует явных разрешений для учетной записи удостоверения пула приложений на всех. Веб-службы по-прежнему работать нормально.

Мы пошли и перезагрузки серверов. Все по-прежнему работать нормально.

Таким образом, состав команды: Мы дали app бассейн личность полный доступ и затем забрал. Веб-служба начал работать и никогда не перестал работать. Необычный секс.

Если кто знает, почему это должно работал, Пожалуйста, оставьте комментарий.

</конец>

Минимум безопасности для форм InfoPath

Мне нужно, чтобы удовлетворить требования безопасности для формы InfoPath сегодня. В этой ситуации бизнес, относительно небольшое количество лиц разрешены для создания новой формы InfoPath и гораздо более широкой аудитории разрешено редактировать. (Это новый прокат на интернат форма используемых людских ресурсов, который запускает рабочий процесс).

Для достижения этой цели, Я создал созданный два новых уровней разрешений («Создание и обновление" и «только обновление»), сломал наследования для библиотеки форм и назначенные разрешения в «создать, Обновление" пользователя и отдельный «только обновление" пользователь. Механики все работало, но оказалось, чтобы быть немного больше с участием, чем я ожидал. (Если вы чувствуете себя немного шаткий на разрешений SharePoint, проверить этот блог). Настройки безопасности для уровня разрешений не был очевидным набор детализированных разрешений. Чтобы создать уровень только обновление разрешений для формы InfoPath, Я сделал следующие:

  1. Создать новый уровень разрешений.
  2. Убрать все варианты.
  3. Выбран только следующие из «Списка разрешений»:
    • Изменение элементов
    • Просмотр элементов
    • Просмотр страниц приложений

Выбор этих параметров позволяет пользователю обновлять формы, но не создавать его.

Хитрость заключается в том, чтобы включить «Просмотр страниц приложений». Не существует каких-либо verbage на уровень разрешений, который указывает, что требуется для обновления только форм InfoPath, но оказывается, что это.

Создание и обновление было даже незнакомец. Я последовал за те же шаги, 1 через 3 выше. Мне пришлось специально добавить разрешения сайта»" вариант: «Использование средств интеграции клиентов». Снова, Описание там не делает это, похоже, как это должно быть для формы InfoPath, но там это.

</конец>

SharePoint не обеспечивает “Кто имеет доступ” Доклады

ОБНОВЛЕНИЕ 01/28/08: Этот проект codeplex решает эту проблему: http://www.codeplex.com/AccessChecker. Я не использовал его, но это выглядит многообещающим, если это вопрос, который вам необходимо обратиться в среде.

ОБНОВЛЕНИЕ 11/13/08: Джоэл Oleson написал очень хороший пост на более широкого вопроса управления безопасности здесь: HTTP://www.sharepointjoel.com/ Lists/Posts/Post.aspx?Список = 0cd1a63d % 2D183c % 2D4fc2 %2 D 8320% 2Dba5369008acb&ID = 113. Ссылки на ряд других полезных ресурсов.

Форум пользователей и клиенты часто задают вопрос вдоль этих линий: «Как я генерировать список всех пользователей с доступом к сайту" или «как могу я автоматически предупреждать всех пользователей с доступом к списку об изменениях, внесенных в список?"

Существует не вне готовое решение для этого. Если вы думаете об этом на мгновение, Это не трудно понять, почему.

SharePoint безопасность является очень гибким. Существует по крайней мере четыре основных категории пользователей:

  • Анонимные пользователи.
  • SharePoint пользователи и группы.
  • Active Directory — пользователи.
  • Аутентификация на основе форм (FBA) Пользователи.

Гибкость означает, что с точки зрения безопасности, любого заданного сайта SharePoint будет резко отличаться от другого. Для того, чтобы генерировать отчет access списка, необходимо выяснить, как обеспечивается безопасность сайта, запрос нескольких репозиториев профиль другого пользователя и затем представить его в полезный моды. Это сложная проблема для решения родово.

Каким образом Организации дело с этим? Мне очень хотелось бы услышать от вас в комментариях или Отправить по электронной почте.

</конец>

Грунт основные элементы безопасности SharePoint / Избежать распространенных ошибок

ОБНОВЛЕНИЕ 12/18/07: Пол Liebrand в статье некоторые технические последствия удаления или изменения параметров по умолчанию имена групп (а увидеть его комментарий ниже).

Обзор:

SharePoint безопасность легко настраивать и управлять. Однако, Он оказался трудным для некоторых администраторов впервые реально обернуть свои руки вокруг его. Не только это, Я видел некоторые администраторы прийти к пониманию идеальным в понедельник только потеряли его в пятницу, потому что они не должны делать любые конфигурации в время. (Я признаю, я с этой проблемой). Эта запись в блоге, надеюсь, обеспечивает полезные Азы безопасности SharePoint и указывает на некоторые конфигурации рекомендации по безопасности.

Важное примечание:

Это описание на основе из коробки безопасности SharePoint. Мой личный опыт ориентировано вокруг Мосс, так что там могут быть некоторые Мосс конкретные вещи здесь, но я считаю, что это точно для WSS. Я надеюсь, что кто-нибудь увидеть любые ошибки или упущения укажет это в комментариях или Напишите мне. Я буду делать исправления после спешки.

Основы:

Для целей настоящего обзора, Существует четыре основных аспекта безопасности: пользователи/группы, защищаемые объекты, уровни разрешений и наследование.

Пользователи и группы перерыв вплоть до:

  • Индивидуальные пользователи: Извлечено из активного каталога или созданные непосредственно в SharePoint.
  • Группы: Непосредственно подключенные из active directory или созданный в SharePoint. Группы представляют собой коллекцию пользователей. Группы являются глобальными в семействе сайтов. Они никогда не «привязаны" для конкретного защищаемого объекта.

Защищаемые объекты перерыв вплоть до по крайней мере:

  • Сайты
  • Библиотеки документов
  • Отдельные элементы в списках и библиотеках документов
  • Папки
  • Различные параметры резервного контроллера домена.

Там другие защищаемые объекты, но вы получаете изображение.

Уровни разрешений: Комплект гранулированном / низкий уровень доступа права, которые включают такие вещи, как создание, чтение и удаление записей в списках.

Наследование: По умолчанию сущности наследуют параметры безопасности от их содержащего объекта. Дочерние сайты наследуют разрешения от их родительского. Библиотеки документов наследуют от своего сайта. И так далее.

Пользователи и группы связаны с защищаемыми объектами через уровни разрешений и наследование.

Наиболее важные правила безопасности для понимания, Всегда 🙂 :

  1. Группы — это просто наборы пользователей.
  2. Группы являются глобальными семейства узлов (т.е.. нет такого понятия, как группы, определенные на уровне узла).
  3. Имя группы не выдержать, группы не, в и себе, у любой конкретный уровень безопасности.
  4. Группы имеют безопасности в контексте конкретного защищаемого объекта.
  5. Может назначить различные уровни разрешений для той же группы для каждого защищаемого объекта.
  6. Политики веб-приложений перекрывают все это (Смотрите ниже).

Потерян в море списки пользователей и групп администраторов безопасности могут всегда полагаться на эти аксиомы управлять и понять их конфигурации безопасности.

Наиболее распространенные ошибки:

  • Имена групп ошибочно подразумевают разрешение: Из коробки, SharePoint определяет набор групп, имена которых подразумевает присущие уровень безопасности. Рассмотрим группу «Участник». Знакомы с SharePoint безопасности можно также взглянуть на это имя и предположить, что любой член этой группы может «содействовать" для любого сайта/списка/библиотеки на портале. Это может быть правдой, но не потому, что имя группы бывает «участник». Это только справедливо из коробки, потому что группа предоставила уровень разрешений, который позволяет добавлять/редактировать/удалять содержимое на корневом сайте. Через наследование, Авторы"" Группа может также добавлять/редактировать/удалять содержимое в каждый раздел сайта. Один можно «перерыв" цепи наследования и изменить уровень разрешений разделом такие что члены так называемой "Contributor" Группа не может вносить на всех, но только читать (Например). Это не будет хорошей идеей, Очевидно, что, Поскольку было бы весьма запутанной.
  • Группы не определены на уровне узла. Это легко спутать с помощью пользовательского интерфейса. Корпорация Майкрософт предоставляет удобную ссылку на пользователя/группы управления через каждый сайт «люди и группы" ссылка. Это легко поверить, что когда я на сайте «xyzzy" и создать группу через xyzzy людей и групп связи, которые я только что создал группу, которая существует только в xyzzy. Это не так. Я на самом деле создал группу для всего семейства сайтов.
  • Членство в группах не отличалась сайт (т.е.. Это тот же везде, где используется группа): Учитывать группу "владелец" и два, "HR" и «Логистика». Было бы нормальным, чтобы думать, что два отдельных лиц будет собственный эти сайты — HR-владелец и логистика. Пользовательский интерфейс делает его легким для администратору безопасности ни этот сценарий. Если я не знаю лучше, Я могут получить доступ к людям и группам ссылки через сайт HR, Выберите владельцев"" группы и добавить мой HR владельца в этой группе. Спустя месяц, Логистика приходит на линии. Получить доступ к людям и группам с сайта логистики, Добавьте вырывать владельцев"" Группа. Я вижу владелец HR и удалите ее, думая, что я удалить ее от владельцев на сайте логистики. На самом деле, Я удаление ее из глобальной группы владельцев. Веселье вытекает.
  • Не имя группы на основе конкретной роли: «Утверждающих" Группа является прекрасным примером. Что можно членов этой группы утвердить? Где они могут утвердить его? Я действительно хочу отдел логистики людей, чтобы иметь возможность утверждать документы HR? Конечно, не. Всегда имя группы на основе их роли в рамках Организации. Это позволит снизить риск, что группе назначается уровень неуместным разрешений для определенного защищаемого объекта. Имя группы на основании их предполагаемой роли. В предыдущем сценарии HR/логистика, Я должен создал две новые группы: «HR владельцы" и "Логистика" и назначать уровни разумно разрешений для каждого и минимальная сумма, необходимая для тех пользователей, выполнять свою работу.

Другие полезные ссылки:

Если вы сделали это далеко:

Пожалуйста, дайте мне знать ваши мысли через комментарии или по электронной почте мне. Если вы знаете другие хорошие ссылки, Пожалуйста, сделайте то же самое!

Бирки Technorati: