POSODOBITEV 12/18/07: Glej člen Paul Liebrand za nekatere tehnične posledice odstranjevanje ali Spreminjanje privzetega imena skupin (glejte njegov komentar spodaj tudi).
Pregled:
SharePoint varnost je enostaven za konfiguriranje in upravljanje. Vendar, dokazano je, da je težko za nekatere prvič skrbniki res zaviti roke okrog njega. Ne samo, da, Videl sem nekaj skrbniki se poudarek dodan v ponedeljek, le da so izgubili to do petka, ker niso imeli uganjati poljuben zunanja podoba v vmesnem času. (Moram priznati, da ima ta problem sam). Ta blog vnos upajmo, da zagotavlja koristen SharePoint varnost premaz in kaže proti nekaj najboljših praks varnostne konfiguracije.
Pomembna Opomba:
Ta opis temelji na polju SharePoint varnost. Moja osebna izkušnja je usmerjena k MOSS tako lahko pride do nekaj MOSS določene stvari tukaj, vendar menim, da je natančno za WSS. Upam, da kdorkoli videl kakršne koli napake ali izpustitve bodo opozorili da v komentarjih ali email mi. Bom se popravki objava naglica.
Osnove:
Za namene te pregled, Obstajajo štiri temeljne vidike varnosti: Uporabniki/skupine, mogoče zaščititi predmetov, ravni dovoljenj in dedovanje.
Uporabniki in skupine break navzdol, da:
- Posameznim uporabnikom: Potegnil iz active directory ali ustvarjeni neposredno v SharePoint.
- Skupine: Preslikan neposredno iz imenika active directory ali ustvarjenih v SharePoint. Skupine so zbirka uporabnikov. Skupine so globalno v zbirki mest. So nikoli "vezani" za posebne predmete.
Mogoče zaščititi predmetov break navzdol, da vsaj:
- Mesta
- Knjižnice dokumentov
- Posameznih postavk v sezname in knjižnice dokumentov
- Map
- Različne nastavitve BDC.
Obstajajo druge securable predmetov, šele vi zaslužiti slika.
Ravni dovoljenj: Snop granul / nizka raven pravic, ki vključujejo stvari, kot so ustvarjanje/branje/brisanje postavk v sezname.
Dedovanje: Privzeto subjekti podedujejo varnostne nastavitve iz njihovega obsegajočega objekta. Podmesta podedujejo dovoljenja od svojih nadrejenih mest. Knjižnice dokumentov podedujejo od kraja. Tako naprej in tako naprej.
Uporabniki in skupine, ki se nanašajo na securable predmetov prek ravni dovoljenj in dedovanje.
Najpomembnejša pravila varnosti razumeti, Ever 🙂 :
- Skupine so preprosto zbirk uporabnikov.
- Skupine so globalno v zbirki mest (i.e. obstaja taka stvar kot skupine, opredeljene na ravni mesta).
- Ime skupine, ne glede, skupine ne, v mestu in samih, so vse posebne ravni varnosti.
- Skupine so varnost v okviru posebne predmete.
- Lahko dodelite različne ravni dovoljenj v isto skupino za vsak predmet.
- Pravila uporabe spletnega adut, vse to (glej spodaj).
Skrbnikov varnosti, izgubljenih v morju uporabnikov in skupin uporabnikov oglasi se lahko vedno zanesete na teh aksiomi za upravljanje in razumeti njihove varnostne konfiguracije.
Skupnih pastem:
- Imena skupin lažno pomeni dovoljenje: Iz škatle, SharePoint določa skupine, katerih imena pomeni del raven varnosti. Razmislite o skupini "Darovalec". Ena poznajo SharePoint varnost lahko tudi pogled na to ime in predpostavimo, da vsak član te skupine lahko "prispevajo" na katero koli mesto/seznam/knjižnico v portalu. To lahko res, vendar ne zato, ker ime skupine se zgodi, da "darovalec". To je samo res iz škatle, ker skupina je bila zagotovljena raven dovoljenja, ki jih omogoča dodajanje/urejanje/brisanje vsebine v korensko mesto. Prek dedovanja, plačniki"" skupino lahko dodate/uredite/izbrišete vsebino na vsaki podstrani. Se lahko "break" dediščine verige in spremenite raven dovoljenj za sub-stran tako da člani tako imenovanih "prispeva" skupina ne more prispevati sploh, vendar le glasi (na primer). To ne bi bilo dobro, očitno, ker bi bilo zelo zmedeno.
- Skupine niso opredeljeni na ravni mesta. To je enostavno, da bi jih uporabnik vmesna ploskev. Microsoft zagotavlja priročno povezavo do uporabnika/skupine upravljanje prek vsakem mestu »ljudje in skupine" povezava. To je enostavno za domnevo, da ko sem v mestu "xyzzy" in ustvarim skupino skozi xyzzy na ljudi in skupine povezavo, ki ste pravkar ustvarili skupino, ki obstaja le v xyzzy. To ni tako. Dejansko sem ustvaril skupino za celotno mest.
- Članstvo v skupinah ne razlikuje po spletni strani (i.e. isto je povsod skupini se uporablja): Razmislite o skupini "lastnik" in dveh mestih, "HR" in "Logistika". Bi bilo normalno, da mislim, da bi dve ločeni posamezniki lastnik te strani — lastnik HR in lastnik logistike. Uporabniški vmesnik omogoča preprosto za varnostnega skrbnika ravnajte ta scenarij. Če nisem vedel bolje, Morda dostop do ljudi in skupin povezave preko HR strani, Izberite "lastniki" skupine in dodajte svoj HR lastnik skupine. Mesec dni kasneje, Logistiko priti na spletu. Sem dostop ljudi in skupin iz strani logistične, Dodaj pull up "lastniki" skupina. Glej HR lastnik tam in ji odstraniti, misleč, da sem jo odstranite iz lastniki na mestu logistike. v bistvu, Sem jo odstranite iz skupine globalni lastniki. Zabava poznamo.
- Če ne bo ime skupine, ki temelji na posebno vlogo: "Potrjevalce" skupina je odličen primer. Kaj lahko člani te skupine odobri? Kjer so lahko to odobri? Ali res želite ljudi logistika premoči odobritev dokumentov HR? Seveda ne. Vedno ime skupine glede na njihovo vlogo v organizaciji. To bo zmanjšalo tveganje, da je skupini dodeljeno neprimerno ravnjo za določen predmet. Ime skupine glede na njihovo predvideno vlogo. V prejšnjih HR/logistika scenarij, Jaz sem ustvaril dve novi skupini: "HR lastniki" in logistika lastniki"" in dodelite ravni dovoljenj smiselno za vsak in minimalni znesek, potreben za tiste uporabnike, da opravljajo svoje delo.
Drugih koristnih referenc:
- Spletna aplikacija politike imam: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Klirinški za SharePoint varnost: http://www.sharepointsecurity.com/
- Povezave iz Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Če ste to to daleč:
Prosim povej mi vaše misli prek pripombe ali email mi. Če poznate druge dobre reference, prosim delati isto!