ОБНОВЛЕНИЕ 12/18/07: Пол Liebrand в статье некоторые технические последствия удаления или изменения параметров по умолчанию имена групп (а увидеть его комментарий ниже).
Обзор:
SharePoint безопасность легко настраивать и управлять. Однако, Он оказался трудным для некоторых администраторов впервые реально обернуть свои руки вокруг его. Не только это, Я видел некоторые администраторы прийти к пониманию идеальным в понедельник только потеряли его в пятницу, потому что они не должны делать любые конфигурации в время. (Я признаю, я с этой проблемой). Эта запись в блоге, надеюсь, обеспечивает полезные Азы безопасности SharePoint и указывает на некоторые конфигурации рекомендации по безопасности.
Важное примечание:
Это описание на основе из коробки безопасности SharePoint. Мой личный опыт ориентировано вокруг Мосс, так что там могут быть некоторые Мосс конкретные вещи здесь, но я считаю, что это точно для WSS. Я надеюсь, что кто-нибудь увидеть любые ошибки или упущения укажет это в комментариях или Напишите мне. Я буду делать исправления после спешки.
Основы:
Для целей настоящего обзора, Существует четыре основных аспекта безопасности: пользователи/группы, защищаемые объекты, уровни разрешений и наследование.
Пользователи и группы перерыв вплоть до:
- Индивидуальные пользователи: Извлечено из активного каталога или созданные непосредственно в SharePoint.
- Группы: Непосредственно подключенные из active directory или созданный в SharePoint. Группы представляют собой коллекцию пользователей. Группы являются глобальными в семействе сайтов. Они никогда не «привязаны" для конкретного защищаемого объекта.
Защищаемые объекты перерыв вплоть до по крайней мере:
- Сайты
- Библиотеки документов
- Отдельные элементы в списках и библиотеках документов
- Папки
- Различные параметры резервного контроллера домена.
Там другие защищаемые объекты, но вы получаете изображение.
Уровни разрешений: Комплект гранулированном / низкий уровень доступа права, которые включают такие вещи, как создание, чтение и удаление записей в списках.
Наследование: По умолчанию сущности наследуют параметры безопасности от их содержащего объекта. Дочерние сайты наследуют разрешения от их родительского. Библиотеки документов наследуют от своего сайта. И так далее.
Пользователи и группы связаны с защищаемыми объектами через уровни разрешений и наследование.
Наиболее важные правила безопасности для понимания, Всегда 🙂 :
- Группы — это просто наборы пользователей.
- Группы являются глобальными семейства узлов (т.е.. нет такого понятия, как группы, определенные на уровне узла).
- Имя группы не выдержать, группы не, в и себе, у любой конкретный уровень безопасности.
- Группы имеют безопасности в контексте конкретного защищаемого объекта.
- Может назначить различные уровни разрешений для той же группы для каждого защищаемого объекта.
- Политики веб-приложений перекрывают все это (Смотрите ниже).
Потерян в море списки пользователей и групп администраторов безопасности могут всегда полагаться на эти аксиомы управлять и понять их конфигурации безопасности.
Наиболее распространенные ошибки:
- Имена групп ошибочно подразумевают разрешение: Из коробки, SharePoint определяет набор групп, имена которых подразумевает присущие уровень безопасности. Рассмотрим группу «Участник». Знакомы с SharePoint безопасности можно также взглянуть на это имя и предположить, что любой член этой группы может «содействовать" для любого сайта/списка/библиотеки на портале. Это может быть правдой, но не потому, что имя группы бывает «участник». Это только справедливо из коробки, потому что группа предоставила уровень разрешений, который позволяет добавлять/редактировать/удалять содержимое на корневом сайте. Через наследование, Авторы"" Группа может также добавлять/редактировать/удалять содержимое в каждый раздел сайта. Один можно «перерыв" цепи наследования и изменить уровень разрешений разделом такие что члены так называемой "Contributor" Группа не может вносить на всех, но только читать (Например). Это не будет хорошей идеей, Очевидно, что, Поскольку было бы весьма запутанной.
- Группы не определены на уровне узла. Это легко спутать с помощью пользовательского интерфейса. Корпорация Майкрософт предоставляет удобную ссылку на пользователя/группы управления через каждый сайт «люди и группы" ссылка. Это легко поверить, что когда я на сайте «xyzzy" и создать группу через xyzzy людей и групп связи, которые я только что создал группу, которая существует только в xyzzy. Это не так. Я на самом деле создал группу для всего семейства сайтов.
- Членство в группах не отличалась сайт (т.е.. Это тот же везде, где используется группа): Учитывать группу "владелец" и два, "HR" и «Логистика». Было бы нормальным, чтобы думать, что два отдельных лиц будет собственный эти сайты — HR-владелец и логистика. Пользовательский интерфейс делает его легким для администратору безопасности ни этот сценарий. Если я не знаю лучше, Я могут получить доступ к людям и группам ссылки через сайт HR, Выберите владельцев"" группы и добавить мой HR владельца в этой группе. Спустя месяц, Логистика приходит на линии. Получить доступ к людям и группам с сайта логистики, Добавьте вырывать владельцев"" Группа. Я вижу владелец HR и удалите ее, думая, что я удалить ее от владельцев на сайте логистики. На самом деле, Я удаление ее из глобальной группы владельцев. Веселье вытекает.
- Не имя группы на основе конкретной роли: «Утверждающих" Группа является прекрасным примером. Что можно членов этой группы утвердить? Где они могут утвердить его? Я действительно хочу отдел логистики людей, чтобы иметь возможность утверждать документы HR? Конечно, не. Всегда имя группы на основе их роли в рамках Организации. Это позволит снизить риск, что группе назначается уровень неуместным разрешений для определенного защищаемого объекта. Имя группы на основании их предполагаемой роли. В предыдущем сценарии HR/логистика, Я должен создал две новые группы: «HR владельцы" и "Логистика" и назначать уровни разумно разрешений для каждого и минимальная сумма, необходимая для тех пользователей, выполнять свою работу.
Другие полезные ссылки:
- Веб приложения политики gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Информационно-координационный центр для безопасности SharePoint: http://www.sharepointsecurity.com/
- Ссылки с Джоэл Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Если вы сделали это далеко:
Пожалуйста, дайте мне знать ваши мысли через комментарии или по электронной почте мне. Если вы знаете другие хорошие ссылки, Пожалуйста, сделайте то же самое!