POSODOBITEV 11/03/08: Obstati varen čitati odlično in podroben komentar iz Dessie Lunsford za to delovno mesto.

Sem delal na projektu skrivnost tech urejanje za up-prihajajo knjigo in sklicevanja to blog vstop z Tyler Butler na MSDN ECM blog. To je prvič prebral osebno jasne opredelitve pojma omejen dostop. Tukaj je meso opredelitve:

V SharePoint, anonimni uporabniki’ pravice določi raven dovoljenja za omejeni dostop. Omejen dostop je ravni posebnega dovoljenja, ki ne more biti dodeljen uporabnik ali skupina neposredno. Razlog obstaja, ker če vi življati a knjižnica ali podmesto ki je pretrgala dedovanje dovoljenj, in samo da knjižnica/podmesto daš dostop uporabnika/skupine, Če si želite ogledati njegovo vsebino, uporabnik/skupina mora imeti nekaj dostop do korenskega spleta. Drugače uporabnik/skupina ne bo mogel brskati knjižnica/podmesto, Čeprav imajo pravico tam, ker so stvari v korenskega spleta, ki so potrebne, da postanejo mesto ali knjižnica. Zato, ko daš skupine dovoljenja samo za podmesto ali knjižnico, ki je zlom dedovanje dovoljenj, SharePoint samodejno bo omejen dostop do to skupino ali uporabnika na korenskega spleta.

To vprašanje prihaja zopet na MSDN forumih in sem vedno bil radoveden (vendar ne dovolj radoveden, da ugotovimo zunaj pred danes :)).

</namen>

Naročite se na moj blog.

Sledite mi na Cvrkutati na http://www.twitter.com/pagalvin

V znak, da socialne Računalništvo začenja vzlet s SharePointom, Vidim več mojega mesta vrsto vprašanj. Eno skupno vprašanje gre nekako takole:

"Jaz sem skrbnik in morate biti omogočen dostop do vse moje mesto. Kako to storiti?"

Trik tukaj je, da je vsako mesto svoje zbirke mest. SharePoint varnost je običajno upravlja na ravni zbirke mest in to potovanje gor veliko a SharePoint oskrbnik. Običajno, Ona je že konfigurirati varnost v glavnem"" Site zbirk in morda ne zavedaš, da to ne deluje samodejno za moje mesto.

Zbirke mest skupaj živeti znotraj večjo posodo, ki je spletni program. Kmetija administratorji lahko konfigurirajte varnostne ravni web app in to je, kako se administratorji sami lahko odobri dostop do vseh mest v spletnem programu. Ta blog vnos opisuje eno od moje osebne izkušnje z web uporabi pravila. Jaz jih nesreče opredeljuje ujeti uporaba politike: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Ujeti uporaba pravila lahko nevarno in predlagam, da jih uporabljajo zmerno. Če bi bil jaz admin (in hvala Bogu nisem), Bi ustvariti ločene oglas račun, imenovan nekaj podobnega "Web App skrbnikom SharePoint" in da en račun ujeti uporaba varnostno vlogo potrebuje. Ne bi oblikovati takšno stvar za redno kmetiji admin ali posamezna stran zbirka administratorji. To bo ponavadi skriti morebitne težave, ker web app vlogo preglasi vse nižja raven varnostne nastavitve.

</namen>

Naročite se na moj blog.

Sledite mi na Cvrkutati na http://www.twitter.com/pagalvin

POSODOBITEV (02/29/08): Ta novi projekt codeplex zdi, da zagotavlja način za zavarovanje posameznih stolpcev: http://www.codeplex.com/SPListDisplaySetting. Če imate kakšne izkušnje dela z njim, prosim, pustite komentar.

Forum plakatov pogosto zaprositi vprašanje, kot to: "Imam, da šef in in osebje pogled seznama. Kako varno upravitelj meni, da osebje ne more uporabiti?"

Tudi pogosto prosijo soroden vprašanje: "Želim varno specifičnih meta stolpec, tako da samo vodje lahko uredite stolpec, medtem ko drugi ne more niti videti."

Te odgovore, ki se uporablja za obe WSS 3.0 in MOSS:

• SharePoint ne podpirala out-of-the-box za zavarovanje ogledov.
• SharePoint ne podpirala out-of-the-box za varnost stolpcev.

Obstaja več tehnik eno lahko sledite za izpolnitev te vrste varnostnih zahtev. Tukaj je, kaj morem pretehtati od:

• Uporabite raven varnosti out-of-the-box element. Pogledi vedno čast element nastavitev ravni varnost. Dogodek sprejemniki in/ali potek dela lahko avtomatizirate dodelitve varnost.
• Uporabite osebne poglede, za "privilegiran" ogledov. To so dovolj preprosta, da nastavite. Vendar, zaradi svoje "osebni" narave, Ti morajo biti konfigurirani za vsakega uporabnika. Uporabite standardne varnostne konfiguracije, da preprečuje ustvarjanje osebni pogled.
• Uporabite spletni gradnik podatkovnega pogleda in izvajanje neke AJAXy varnosti obrezovanje raztopine.
• Roll vaš lasten seznam izložba smotrnost in vključi varnostno rezanje na ravni stolpca.
• Spremeniti obrazce za vnos podatkov in uporabite JavaScript v povezavi z varnostni model za izvajanje ravni stolpca varnostno rezanje.
• Z InfoPathovim obrazcem za vnos podatkov. Izvajanje ravni stolpca varnostno rezanje prek spletnih klicev storitve SharePoint in pogojno skriti polja po potrebi.
• Roll lastne ASP.NET podatkov vnos funkcija, ki izvaja stolpec ravni varnostno rezanje.

Nobeden od teh možnosti so res velik, vendar pa obstaja vsaj pot ubrati, če morate, čeravno je težko.

OPOMBA: Če greš navzdol vseh teh poti, ne pozabite na "ukrepov-> Odpiranje z raziskovalcem". Želite biti prepričani, da preskusite s to funkcijo se prepričajte, da ne deluje kot "zadnja vrata" in poraz vaš varnostni sistem.

Če imate druge ideje za ali izkušnje z zavarovanje stolpce ali ogledov, prosim email mi ali pustite komentar in bom posodobiti to objavljate kot primerno.

</namen>

Naročite se na moj blog.

POSODOBITEV: Sem objavil to vprašanje za MSDN tukaj (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) in Michael Washam Microsoft odgovoril z jedrnat odgovor.

Sem ustvaril spletne storitve v zakon kot a BDC prijazno fasado s seznamom SharePoint. Čas sem rabil to iz moje razvojno okolje, to obdelan lep. Ko sem to seliti se v nov strežnik, Sem naletel na to napako:

Tukaj je črta 69:

z uporabo (Mesto SPSite = nov SPSite("http://localhost/sandbox"))

Poskušal sem različne variacije na URL, vključno z uporabo strežnika pravo ime, svoj IP naslov, zaključnimi poševnicami na URL, itd. Vedno sem dobil to zmota.

Sem rabil Google v raziskovanje to. Veliko ljudi soočajo s tem vprašanjem, ali različic to, Toda nihče je zdelo, da so jo rešili.

Tricksy mah, ki tako podrobno napako, da ni prišlo do mene, da preverite na 12 panj dnevniki. Sčasoma, o 24 ur po moj kolega priporoča, da I to, Preveril sem na 12 panj poleno ter ustanavljati to:

Prišlo je do izjeme poskus pridobivanja lokalnih kmetij:
System.Security.SecurityException: Zahtevana registracija dostop ni dovoljen.
na System.ThrowHelper.ThrowSecurityException(ExceptionResource vir) na Microsoft.Win32.RegistryKey.OpenSubKey(Ime niza, Logična vrednost, ki se napiše) na Microsoft.Win32.RegistryKey.OpenSubKey(Ime niza) na Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() na Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() na Microsoft.SharePoint.Administration.SPFarm.FindLocal(Gruče SP& Kmetija, Logična vrednost& isJoined)
Na območju zbora, da ni bil:  MyComputer

To odpira nove možnosti za raziskovanje, tako se je vrnil v Google. Ki me je pripeljala do to forum post: http://forums.codecharge.com/Posts.php?post_id = 67135. Ni res mi pomaga, vendar je začetek, da me misliš, ni bilo zbirke podatkov in/ali varnost vprašanje. Sem soldiered in Andrew Connell objava končno sprožil misel, da sem se prepričajte, da identiteta skupine programov račun imeli ustreznega dostopa do zbirke podatkov. Sem mislil, že je. Vendar, moj kolega je šel in je dal app bazen identitete račun poln dostop do SQL.

Takoj, ko je naredila to spremembo, vse, kar je začel z delom.

Kaj se je zgodilo zdaj najboljši izrazimo kot a haiku pesem:

Naloga zgraditi svoj mornarji.
Swing in zakasnitev. poskusi znova.
Uspeh! Ampak kako? zakaj?

Ona ni želel zapustiti stvari sam takega, raje dati minimalno zahtevanega dovoljenja (in verjetno zaradi pisanje blog vpis; Sem jo premagal, da udariš, muhahahahaha!).

Ona odstrani zaporednih dovoljenj iz app račun skupine identitete do … ni bilo več koli izrecnega dovoljenja za račun app skupine identitete na vseh. Spletna storitev, še naprej dela v redu.

Smo šli ter rebooted strežniki. Vse še naprej deloval dobro.

Tako, Če želite Rekapitulacija: smo dal app bazen identitete popoln dostop in potem je to stran. Spletna storitev začela delati in nikoli prenehal delovati. Bizarno.

Če kdo ve, zakaj ki so delali, prosim, pustite komentar.

</namen>

Sem potreboval, da izpolnjujejo varnostne zahteve za InfoPathov obrazec danes. V tem primeru podjetja, relativno majhno število posameznikov je dovoljeno ustvariti nov obrazec programa InfoPath in veliko širše občinstvo lahko uredite. (To je nov najem za vkrcanje oblika že rabljen z človeški viri ki zažene potek dela).

Za izpolnitev tega cilja, Ustvaril sem ustvaril dve novi ravni dovoljenj ("ustvarite in posodobite" in "posodobi le"), zlomil dedovanje za knjižnice obrazcev in dodeljena dovoljenja za na "ustvarjanje, posodobitev" uporabnik in ločeno "posodobi le" uporabnik. Mehanika vse delal, vendar se je izkazalo, da je malo bolj vključujejo, kot sem pričakoval. (Če ste občutek malo Drhtav o SharePointovih dovoljenj, Check out to blog post). Zahtevane varnostne konfiguracije za raven dovoljenja ni očitno nabor granul dovoljenj. Tvoriti dovoljenje samo za posodobitev ravni za InfoPathov obrazec, Sem storil to:

1. Ustvarite novo raven dovoljenja.
2. Očistimo vse možnosti.
3. Izbrani le naslednje iz "Seznam dovoljenj":

• Urejanje elementov
• Ogled elementov
• Pogled uporabe strani

Izbor teh možnosti uporabnikom omogoča, da posodobite obrazec, ampak ne ustvari.

Trik je bil omogočiti "Pogled uporabe strani". Ni vse verbage raven dovoljenja, ki kaže, da je zahteva za posodobitev-samo InfoPathove obrazce, vendar izkazalo, da je.

Ustvarjanje in posodabljanje je bil tudi tujec. Jaz pripadnik iste korake, 1 skozi 3 zgoraj. Morala sem dodati posebej mesta dovoljenje"" možnost: "Uporabi funkcije integracije odjemalca". Znova, opis tam ne pomeni, da se zdi, kot bi moralo biti potrebna za InfoPathov obrazec, vendar pa je.

</namen>

POSODOBITEV 01/28/08: Ta projekt codeplex obravnava to vprašanje: http://www.codeplex.com/AccessChecker. Sem se ne uporabljajo, ampak izgleda obetavno, če je to vprašanje, jih morate naslov v vašem okolju.

POSODOBITEV 11/13/08: Joel Oleson napisal gor zelo dober post o večji varnosti upravljanje vprašanje tukaj: http://www.sharepointjoel.com/Lists/Posts/post.aspx?Seznam = 0cd1a63d % 2D183c % 2D4fc2 % 2 D 8320 % 2Dba5369008acb&ID = 113. Povezave do številnih drugih uporabnih virov.

Foruma uporabnikov in odjemalci pogosto vprašajte vprašanje vzdolž te proge: »Kako narediti ustvarim seznam vsi uporabniki z dostopom do mesta" ali "kako lahko I samodejno opozorilo vsem uporabnikom dostop do seznama o spremembah seznama?"

Ni nobenega dela je rešitev za to. Če vi pretehtati približno to za trenutek, ni težko razumeti, zakaj.

SharePoint varnost je zelo prilagodljiva. Obstajajo vsaj štiri glavne kategorije uporabnikov:

• Anonimni uporabniki.
• SharePoint uporabniki in skupine.
• Active Directory users.
• Obrazci glede preverjanja pristnosti (FBA) uporabniki.

Prožnost pomeni, da z vidika varnosti, katero koli spletno stran SharePoint bo dramatično drugačen od drugega. Da bi ustvarili seznam Accessovo poročilo, eden mora ugotoviti, kako je pritrjena na mestu, poizvedbe več uporabniškim profilom skladišč in ga predstavi v koristen način. To je težko problem rešiti generično.

Kako se organizacije ukvarjajo s to? Zelo radi slišali od vas v komentarje ali e-pošta.

</namen>

POSODOBITEV 12/18/07: Glej člen Paul Liebrand za nekatere tehnične posledice odstranjevanje ali Spreminjanje privzetega imena skupin (glejte njegov komentar spodaj tudi).

Pregled:

SharePoint varnost je enostaven za konfiguriranje in upravljanje. Vendar, dokazano je, da je težko za nekatere prvič skrbniki res zaviti roke okrog njega. Ne samo, da, Videl sem nekaj skrbniki se poudarek dodan v ponedeljek, le da so izgubili to do petka, ker niso imeli uganjati poljuben zunanja podoba v vmesnem času. (Moram priznati, da ima ta problem sam). Ta blog vnos upajmo, da zagotavlja koristen SharePoint varnost premaz in kaže proti nekaj najboljših praks varnostne konfiguracije.

Pomembna Opomba:

Ta opis temelji na polju SharePoint varnost. Moja osebna izkušnja je usmerjena k MOSS tako lahko pride do nekaj MOSS določene stvari tukaj, vendar menim, da je natančno za WSS. Upam, da kdorkoli videl kakršne koli napake ali izpustitve bodo opozorili da v komentarjih ali email mi. Bom se popravki objava naglica.

Osnove:

Za namene te pregled, Obstajajo štiri temeljne vidike varnosti: Uporabniki/skupine, mogoče zaščititi predmetov, ravni dovoljenj in dedovanje.

Uporabniki in skupine break navzdol, da:

• Posameznim uporabnikom: Potegnil iz active directory ali ustvarjeni neposredno v SharePoint.
• Skupine: Preslikan neposredno iz imenika active directory ali ustvarjenih v SharePoint. Skupine so zbirka uporabnikov. Skupine so globalno v zbirki mest. So nikoli "vezani" za posebne predmete.

Mogoče zaščititi predmetov break navzdol, da vsaj:

• Mesta
• Knjižnice dokumentov
• Posameznih postavk v sezname in knjižnice dokumentov
• Map
• Različne nastavitve BDC.

Obstajajo druge securable predmetov, šele vi zaslužiti slika.

Ravni dovoljenj: Snop granul / nizka raven pravic, ki vključujejo stvari, kot so ustvarjanje/branje/brisanje postavk v sezname.

Dedovanje: Privzeto subjekti podedujejo varnostne nastavitve iz njihovega obsegajočega objekta. Podmesta podedujejo dovoljenja od svojih nadrejenih mest. Knjižnice dokumentov podedujejo od kraja. Tako naprej in tako naprej.

Uporabniki in skupine, ki se nanašajo na securable predmetov prek ravni dovoljenj in dedovanje.

Najpomembnejša pravila varnosti razumeti, Ever 🙂 :

1. Skupine so preprosto zbirk uporabnikov.
2. Skupine so globalno v zbirki mest (i.e. obstaja taka stvar kot skupine, opredeljene na ravni mesta).
3. Ime skupine, ne glede, skupine ne, v mestu in samih, so vse posebne ravni varnosti.
4. Skupine so varnost v okviru posebne predmete.
5. Lahko dodelite različne ravni dovoljenj v isto skupino za vsak predmet.
6. Pravila uporabe spletnega adut, vse to (glej spodaj).

Skrbnikov varnosti, izgubljenih v morju uporabnikov in skupin uporabnikov oglasi se lahko vedno zanesete na teh aksiomi za upravljanje in razumeti njihove varnostne konfiguracije.

Skupnih pastem:

• Imena skupin lažno pomeni dovoljenje: Iz škatle, SharePoint določa skupine, katerih imena pomeni del raven varnosti. Razmislite o skupini "Darovalec". Ena poznajo SharePoint varnost lahko tudi pogled na to ime in predpostavimo, da vsak član te skupine lahko "prispevajo" na katero koli mesto/seznam/knjižnico v portalu. To lahko res, vendar ne zato, ker ime skupine se zgodi, da "darovalec". To je samo res iz škatle, ker skupina je bila zagotovljena raven dovoljenja, ki jih omogoča dodajanje/urejanje/brisanje vsebine v korensko mesto. Prek dedovanja, plačniki"" skupino lahko dodate/uredite/izbrišete vsebino na vsaki podstrani. Se lahko "break" dediščine verige in spremenite raven dovoljenj za sub-stran tako da člani tako imenovanih "prispeva" skupina ne more prispevati sploh, vendar le glasi (na primer). To ne bi bilo dobro, očitno, ker bi bilo zelo zmedeno.
• Skupine niso opredeljeni na ravni mesta. To je enostavno, da bi jih uporabnik vmesna ploskev. Microsoft zagotavlja priročno povezavo do uporabnika/skupine upravljanje prek vsakem mestu »ljudje in skupine" povezava. To je enostavno za domnevo, da ko sem v mestu "xyzzy" in ustvarim skupino skozi xyzzy na ljudi in skupine povezavo, ki ste pravkar ustvarili skupino, ki obstaja le v xyzzy. To ni tako. Dejansko sem ustvaril skupino za celotno mest.
• Članstvo v skupinah ne razlikuje po spletni strani (i.e. isto je povsod skupini se uporablja): Razmislite o skupini "lastnik" in dveh mestih, "HR" in "Logistika". Bi bilo normalno, da mislim, da bi dve ločeni posamezniki lastnik te strani — lastnik HR in lastnik logistike. Uporabniški vmesnik omogoča preprosto za varnostnega skrbnika ravnajte ta scenarij. Če nisem vedel bolje, Morda dostop do ljudi in skupin povezave preko HR strani, Izberite "lastniki" skupine in dodajte svoj HR lastnik skupine. Mesec dni kasneje, Logistiko priti na spletu. Sem dostop ljudi in skupin iz strani logistične, Dodaj pull up "lastniki" skupina. Glej HR lastnik tam in ji odstraniti, misleč, da sem jo odstranite iz lastniki na mestu logistike. v bistvu, Sem jo odstranite iz skupine globalni lastniki. Zabava poznamo.
• Če ne bo ime skupine, ki temelji na posebno vlogo: "Potrjevalce" skupina je odličen primer. Kaj lahko člani te skupine odobri? Kjer so lahko to odobri? Ali res želite ljudi logistika premoči odobritev dokumentov HR? Seveda ne. Vedno ime skupine glede na njihovo vlogo v organizaciji. To bo zmanjšalo tveganje, da je skupini dodeljeno neprimerno ravnjo za določen predmet. Ime skupine glede na njihovo predvideno vlogo. V prejšnjih HR/logistika scenarij, Jaz sem ustvaril dve novi skupini: "HR lastniki" in logistika lastniki"" in dodelite ravni dovoljenj smiselno za vsak in minimalni znesek, potreben za tiste uporabnike, da opravljajo svoje delo.

Drugih koristnih referenc:

• Spletna aplikacija politike imam: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Klirinški za SharePoint varnost: http://www.sharepointsecurity.com/
• Povezave iz Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Če ste to to daleč:

Prosim povej mi vaše misli prek pripombe ali email mi. Če poznate druge dobre reference, prosim delati isto!