SharePoint të Sigurimit Bazat e parë / Shmangni kurthet e përbashkët

UPDATE 12/18/07: Shih artikullin Paul Liebrand për disa pasoja teknike të hequr apo modifikuar emrat e grupit parazgjedhura (shih komentin e tij poshtë si).

Përmbledhje:

SharePoint security is easy to configure and manage. Megjithatë, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Unë e pranoj për të pasur këtë problem veten). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Shënim i rëndësishëm:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or email mua. I’ll make corrections post haste.

Bazat:

Për qëllimet e këtij shqyrtimi, ekzistojnë katër aspekte themelore të sigurisë: përdoruesit / grupe, objekte securable, Nivelet leje dhe trashëgimia.

Përdoruesit dhe Grupet prishen për:

  • Përdoruesit individualë: Nxorrën nga directory aktive apo krijuar drejtpërdrejtë në SharePoint.
  • Grupet: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" në një objekt specifik securable.

Objekte Securable prishen në të paktën:

  • Sites
  • Document bibliotekat
  • Zërat individualë në listat dhe bibliotekat dokument
  • Dosjet
  • Settings ndryshme QZHB.

Ka objekte të tjera securable, por ju merrni foto.

Nivelet leje: Një pako e grimcuar / low level access rights that include such things as create/read/delete entries in lists.

Trashëgim: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Përdoruesit dhe grupet lidhen me objekte securable nëpërmjet niveleve leje dhe trashëgimia.

Rregullat më të rëndësishme për të kuptuar Siguri, Ever 🙂 :

  1. Grupet janë thjesht koleksionet e përdoruesve.
  2. Grupet janë globale brenda një site collection (i.e. nuk ka asnjë gjë të tillë si një grup i caktuar në një nivel të faqes).
  3. Emri i grupit nuk qëndrojnë, grupe nuk, në vetvete, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. Ju mund të caktojë nivele të ndryshme leje për grupin e njëjtë për çdo objekt securable.
  6. Aplikimi Web politikat atu e gjithë kjo (shih më poshtë).

Administratorët Siguri humbura në një det të grupit dhe lista e përdoruesve gjithmonë mund të mbështeten në këto aksiomat për të menaxhuar dhe për të kuptuar konfigurimin e tyre të sigurisë.

Grackë e përbashkëta:

  • Emrat e grupeve rrejshëm nënkupton leje: Nga kutia, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" grup nuk mund të kontribuojë në të gjitha, por vetëm lexuar (për shembull). This would not be a good idea, qartë, pasi ajo do të jetë shumë konfuze.
  • Grupet nuk janë të definuara në një nivel të faqes. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" lidhje. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Grupet anëtarësimi nuk do të ndryshojnë nga faqja (i.e. ajo është e njëjtë kudo Grupi është përdorur): Consider the group "Owner" dhe dy vende, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Unë mund të hyni në njerëzit dhe grupet lidhjet nëpërmjet faqes së Burimeve Njerëzore, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. Në të vërtetë, I’m removing her from the global Owners group. Hilarity ensues.
  • Dështimin për të përmendur grupe të bazuara mbi rolin specifik: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Unë duhet të ketë krijuar dy grupe të reja: "HR Owners" and "Logistics Owners" dhe të caktojë nivele të ndjeshme leje për secilin dhe shuma minimale e nevojshme për ata përdorues që të bëjnë punën e tyre.

Referencat e tjera të dobishme:

Nëse ju keni bërë deri tani:

Please let me know your thoughts via the comments or email me. If you know other good references, ju lutemi të bëjë të njëjtën!

Technorati Tags:

8 mendime mbi "SharePoint të Sigurimit Bazat e parë / Shmangni kurthet e përbashkët

  1. Perri

    Më shumë grackave:

    * Nuk janë lejet e disa të veçanta në dispozicion gjetkë në SSP dhe nuk është e dukshme në njerëz dhe grupe seksion: "Personalization services permissions"and "Business Data Catalog permissions"

    * Unë kam lexuar se ka edhe lejet speciale SharePoint Designer në dispozicion në disa XML misterioze varrosur brenda html diku.

    * Administratorët fillore dhe të mesme për një koleksion Site mbahen gjetkë në mjediset site collection, dhe nuk janë të dukshme në njerëzit dhe grupet seksion.

    * Llogaritë e caktuara kanë magjike (i veçantë) aftësitë pavarësisht nga ajo që ju shihni në njerëz dhe grupe zonë: Anëtarët e ndërtuar në grupin e administratorëve në serverat e web, dhe Shërbimi Farm llogari.

    (PS: Fshirjes së komenteve spam-do të përmirësojë lexueshmërinë këtu.)

  2. Jean Wright
    Kjo është një post shumë i mirë. Unë kam rënë në këtë kurth në disa raste. Sigurimit të menaxhimit mund të merrni ndërlikuar kur ju filloni metodat përzierjen legalizuara dhe metoda të ndryshme e grupit të sigurisë. Kjo duhet të konsiderohet si pjesë e procesit të planifikimit dhe nuk duhet të neglizhohet.
  3. Mark Miller shkroi:
    (Shënim nga Pali: Mark pyeti mua për të bërë një ndryshim të vogël në komentin e tij, por unë nuk mund të modifikoni hapësira jetojnë komentet kështu që unë kam shtuar atë përsëri këtu me ndryshimin dhe fshihet origjinale).
    Paul,
    Qasja përmbledhje për të paraqitur këtë informacion erdhi shumë mirë. I especially liked the "Pitfalls" seksion, që unë kam rënë në një pakice prej atyre vetja.
    Një tjetër gjë që ju tha goditi në shtëpi: mësuarit të hënën nuk do të thotë domosdoshmërisht që ju do të mbani mend atë të premten. I’m glad someone besides me is using their blog as a "tickler" Sistemi kritike për ato gjëra që nuk janë bërë në një bazë të rregullt.
    Good work.
    Të fala,
    Shënoje
    EndUserSharePoint.com

    Nëntor 27 9:04 PD
    (http://www.EndUserSharePoint.com)

  4. Paul Galvin
    Unë mendoj se kjo është ndoshta një ide e mirë për të hequr ato grupe parazgjedhura, especially Contributor and Owner. They are overbroad and easily confused. I prefer to use "All Authenticated Users" in place of a "Visitor" group as well. If a specific set of users should only read-only access then I’d recommend creating an AD group or SharePoint group with an appropriately descriptive name, e.g. "Logistics Visitors".
    –Paul G
  5. No name
    Kjo tingëllon si gjëja e parë që ju duhet të bëni është vetëm hale vizitori, Kontribues dhe grupet pronar dhe t'i zëvendësojë ato me grupet e veta logjike tuaja. Kjo do të kishte kuptim për të bërë?

Lini një Përgjigju

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar *