AKTUALIZÁCIA 12/18/07: Paul Liebrand v článku niektoré technické dôsledky odstránenie alebo zmena predvolené názvy skupín (aj viď jeho komentár nižšie).
Prehľad:
SharePoint zabezpečenia je ľahko konfigurovať a spravovať. Avšak, to sa ukázala byť ťažké pre niektorí správcovia prvýkrát naozaj zalamovanie rukami okolo neho. Nielen, že, Videl som niektoré správcovia prísť na dokonalé pochopenie v pondelok len stratili to piatok, pretože nemali robiť všetky konfigurácie v intervenčnom období. (Priznám sa, že má tento problém sám). Tento blog vstupe dúfajme, že poskytuje užitočné primer zabezpečenia SharePoint a smeruje k niektoré konfigurácie bezpečnosť best practices.
Dôležitá poznámka:
Tento opis vychádza z krabice SharePoint zabezpečenia. Moja osobná skúsenosť je orientované okolo Mach, takže tam môže byť nejaké MOSS konkrétne veci tu, ale verím, že je to presné pre WSS. Dúfam, že niekto vidieť akékoľvek chyby alebo opomenutia bude bod, ktorý sa v komentároch alebo napíšte mi. Budem robiť opravy, miesto zhonu.
Základy:
Na účely tohto prehľadu, Existujú štyri základné aspekty bezpečnosti: používatelia a skupiny, objekty so zabezpečením, úrovne povolení a dedičnosť.
Používatelia a skupiny break nadol:
- Jednotliví používatelia: Vytiahol z aktívneho adresára alebo vytvorený priamo na lokalite SharePoint.
- Skupiny: Mapované priamo zo služby active directory alebo vytvorené v SharePoint. Skupiny sú zbierka užívateľov. Skupiny sú globálne v kolekcii lokalít. Oni sú nikdy "viazané" pre konkrétny objekt so zabezpečením.
Objekty so zabezpečením break nadol aspoň:
- Stránky
- Knižnice dokumentov
- Jednotlivé položky v zoznamoch a knižniciach dokumentov
- Priečinky
- Rôznych nastavení BDC.
Tam iných objekty so zabezpečením, ale dostanete obrázok.
Úrovne povolení: Zväzok zrnitý / nízka úroveň prístupových práv, ktoré patria také veci, ako vytvoriť, čítať alebo odstránenie položiek v zoznamoch.
Dedičnosť: V predvolenom nastavení subjekty dedí nastavenia zabezpečenia obsahujúci objekt. Podlokality dedia povolenia od svojej materskej spoločnosti. Dokumentov knižnice dedia z ich stránok. Tak ďalej a tak ďalej.
Používatelia a skupiny súvisia so zabezpečením objektov pomocou úrovní povolení a dedičnosť.
Najdôležitejšie bezpečnostné pravidlá pochopiť, Vždy 🙂 :
- Skupiny sú jednoducho kolekcie užívateľov.
- Skupiny sú globálnych v rámci kolekcie lokality (tj. neexistuje žiadna taká vec ako skupina definované na úrovni lokality).
- Názov skupiny nie odolávať, skupiny nie, v meste a na seba, mať žiadnu konkrétnu výšku zabezpečenia.
- Skupiny majú zabezpečenia v kontexte konkrétnemu objektu.
- Môžete priradiť rôzne úrovne povolení do tej istej skupiny pre každý objekt so zabezpečením.
- Webová aplikácia politiky tromf všetkých týchto (Pozri nižšie).
Administrátori pre zabezpečenie stratený v mori užívateľov a skupín užívateľov výpisy môže vždy spoľahnúť na tieto axiómy riadiť a pochopiť ich konfigurácia zabezpečenia.
Spoločnej úskalia:
- Názvy skupín falošne znamenať povolenie: Po vybalení z krabice, SharePoint definuje množinu skupín, ktorých mená znamenajú vlastné úrovne zabezpečenia. Zvážte skupiny "Prispievateľ". Jeden oboznámení s SharePoint zabezpečenia môže dobre pozrite sa na tento názov a predpokladať, že každý člen tejto skupiny "prispieť" k akejkoľvek lokality / / knižnica zoznamov na portáli. To môže byť pravda, ale nie preto, že názov skupiny sa stáva "prispievateľ". To je pravda len z krabice pretože skupina poskytuje úrovne povolení, ktorá im umožní pridať/editovať/mazať obsah v koreňovej lokality. Dedením, "prispievatelia" skupiny môžu tiež pridať/editovať/mazať obsah v každom sub-stránky. Jeden môže "zlomiť" dedičnosť reťazec a zmeniť úrovne povolení sub-stránky takýchto že členom tak-zvané "prispievateľa" skupina nemôže prispieť vôbec, ale iba čítať (napríklad). To by nebolo dobrý nápad, Samozrejme, Vzhľadom k tomu, že by bolo veľmi mätúce.
- Skupiny nie sú definované na úrovni lokality. Je ľahké byť zmätení používateľského rozhrania. Microsoft poskytuje pohodlné prepojenie používateľ alebo skupina riadenia prostredníctvom každej lokalite "ľudí a skupín" odkaz. Je ľahké sa domnievať, že keď som na mieste "minového" vytvoriť skupinu cez xyzzy minového na ľudí a skupiny odkaz, ktorý ste práve vytvorili skupinu, ktorá existuje iba na xyzzy minového. To nie je prípad. Vlastne ste vytvorili skupinu pre celú miesto zberu.
- Členstvo v skupinách nelíšila od lokality (tj. je to rovnaké všade skupine sa používa): Zvážte skupiny "vlastník" a dve stránky, "HR" a "Logistických". To by bolo normálne myslieť, že dva samostatné jednotlivcov by vlastné tieto stránky — majiteľom HR a majiteľ logistiky. Používateľské rozhranie uľahčuje zabezpečenia správcu, aby ste nezaobchádzali tento scenár. Ak nevedel lepšie, Možno prístup ľudí a skupín odkazov cez stránku HR, Vyberte "majitelia" skupiny a do skupiny pridať môj HR vlastník. O mesiac neskôr, Logistika prichádza na linke. Aj prístup ľudí a skupiny na lokalite logistiky, Pridať vytiahnuť majiteľa"" skupina. Pozri majiteľ HR a odstráňte ju, myslel, že som odstrániť ju od vlastníkov lokality logistiky. v skutočnosti, Som odstránenie ju z globálnej majitelia skupiny. Veselí vyplýva.
- Tým, že názov skupiny založené na špecifickú úlohu: "Schvaľovateľov" skupina je dokonalým príkladom. Čo môžu členovia tejto skupiny schváliť? Kde sa schváliť? Naozaj chcem ľudí logistické oddelenie môcť schváliť HR dokumenty? Samozrejme nie. Vždy názov skupiny na základe ich úlohu v rámci organizácie. Tým sa zníži riziko, že skupina priradenú úroveň nevhodné povolenia pre konkrétny objekt so zabezpečením. Názov skupiny na základe ich plánované úlohy. V predchádzajúcom scenári HR/logistika, By sa vytvoriť dve nové skupiny: "Majitelia HR" a "majitelia logistiky" a priradiť rozumné úrovne pre každý a minimálne množstvo požadované pre tých užívateľov, robiť svoju prácu.
Ďalšie užitočné odkazy:
- Webová aplikácia politiky gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Stredisko zabezpečenia služby SharePoint: http://www.sharepointsecurity.com/
- Odkazy od Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Ak ste urobil ste to tak ďaleko:
Prosím, dajte mi vedieť vaše myšlienky prostredníctvom komentáre, alebo mi email. Ak poznáte iné dobré referencie, Urobte to isté!