Цатегори Арцхивес: СхареПоинт безбедности

"Приступ одбијен” да дефаулт.аспк на СхареПоинт 2010 Под сајта

Један од мојих клијената је отишао живи са СхареПоинт 2010 окружење данас.  Открили смо да је одређена група корисника не могу да добију своје подразумеване почетне странице.  СхареПоинт одговорила са "Приступ забрањен" и уобичајеног "пријавите као други корисник" или "захтева приступ" одговор. 

When we used the nifty “Check Access” function it confirmed that the end users really did have access.  Још, they could not get to the page.

I followed a lot of roads to various dead ends until I decided to compare the web parts on the broken page against a similar working page.  I did that by putting the page in maintenance mode by adding “?contents=1” to the page. Тако, it looked like “http://server/subsite/subsite/default.aspx?contents=1”. 

This showed me two web parts named “Error” with a description like “Error” on the broken page.  I didn’t think to take a screen cap at the time.

I removed them and that solved the problem.

I’ve seen a question like this come up on the forums in the past and I was extremely skeptical about the poster’s insistence that he had security set up properly.  I *know* I had security set up right Осмех  Next time, I’ll be more open and less skeptical.

</крај>

Претплатите се на мој блог.

Следите ме на Туиттер на http://www.twitter.com/pagalvin

Коришћење тока посла за симулацију безбедност тип садржаја

Још један дан, још један МСДН-блог пост инспирисан.

Неко је питао да ли могу да обезбеде тип садржаја тако да када корисник кликне на "новој" дугме на прилагођеној листи, само типови садржаја на које је то лице одобрен приступ ће се појавити у падајућем менију.  Као што знамо, ово није подржан из кутије.

Ово питање се сада и онда и овај пут, Имао сам нову идеју.  Претпоставимо да имамо овакав сценарио:

  • Имамо хелпдеск улазница систем.
  • Служба за помоћ тицкетинг систем омогућава корисницима да унесете редовно хелпдеск улазница информација, као што су проблематиком, Проблем статуса, итд.
  • Желимо да дозволи "супер" корисницима да одредите "хитност" поље.
  • Други корисници немају приступ том пољу.  Систем ће увек доделити "средњи" ниво приоритета у својим захтевима.

Оно што можемо да урадимо је да створи две одвојене листе СхареПоинт и два различита типова садржаја, један за "супер" корисницима, а друга за све остале.

Ток рада на свакој листи копира податке на главном списку (стварна хелпдеск улазница листа) и процес се наставља одатле.

Овај приступ може радити тече неку врсту сигурности колону нивоу. 

Нисам пробао, али се осећа разумно и даје прилично једноставан, ако је доста тешко, опција да спроведе неку врсту типа садржаја, па чак и колона ниво безбедности.

</крај>

Претплатите се на мој блог.

Следите ме на Туиттер на http://www.twitter.com/pagalvin

Одобравање садржаја као аутоматску артикла сиромашног човека нивоа безбедности

Постоји заједнички пословни сценарио са ИнфоПатх образаца.  Желимо омогућавају људима да попуне ИнфоПатх обрасце и доставља их у библиотеку.  Желимо менаџери (и нико други) да имају приступ тим формама.

Ово питање се сада и онда на обрасцима (e.g. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

A quick way to solve this is to enable content approval on the form library.  Go the library’s version settings and set it up as shown:

image 

Click on “Require content approval” and that will allow you to pick a value for Draft Item Security.

It’s a little counter-intuitive because we don’t think in terms of “content approval” when all we want to do is prevent people from seeing other users’ forms.  Међутим, it works well (по мом искуству).  Just don’t approve those forms and they’ll always be considered “drafts”. 

Give approval rights to the people who should be able to see them and you’ve closed the loop.

This isn’t exactly big news, but the question does come up with some regularity, so I thought it would be worth posting.

</крај>

Претплатите се на мој блог.

Следите ме на Туиттер на http://www.twitter.com/pagalvin

Шта је уопште Ограничени приступ?

УПДАТЕ 11/03/08: Будите сигурни да прочитате одличан и детаљан коментар од Дессие Лунсфорд на овај пост.

Ја сам радио на тајном пројекту технологије за уређивање за предстојећа књигу и референце Овај блог унос од Тајлер Батлер на МСДН ЕЦМ блогу. This is the first time I personally read a clear definition of the meaning of Limited Access. Here’s the meat of the definition:

У СхареПоинт, анонимни корисник’ права одређује ниво приступа ограниченом дозволом. Ограничени приступ је посебан ниво дозвола који не може бити додељена кориснику или групи директно. Разлог за то је зато што постоји ако имате библиотеку или Подлокација који је сломљен дозволама баштину, и дати упутство / група приступ само да библиотека / подлокација, да би видели њен садржај, корисник / група мора да има неки приступ роот Интернету. У супротном, корисник / група ће бити у могућности да претражујете библиотеку / Подлокација, иако они имају права да, јер постоје ствари у корену Интернету које су потребне да донесе сајт или библиотеку. Стога, када доделио дозволе само на подлокацију или библиотеци која је разбијање дозволама баштину, СхареПоинт ће аутоматски дати ограничен приступ те групе или корисника на роот Интернету.

Ово питање се сада и онда на МСДН форумима и увек сам био радознао (али не довољно радознали да га схватим до данас :)).

</крај>

Претплатите се на мој блог.

Следите ме на Туиттер на http://www.twitter.com/pagalvin

Тецхнорати Тагс:

Брзо Савет: Конфигурисање безбедности у Дозволи Админи да приступите Моја локација на СхареПоинт

In a sign that Social Computing is beginning to take off with SharePoint, I see an increased number of My Site type questions. One common question goes something like this:

"I am an administrator and I need to be able to access every My Site. How do I do that?"

The trick here is that each My Site is its own site collection. SharePoint security is normally administered at the site collection level and this trips up many a SharePoint administrator. Нормално, she already has access to configure security in the "main" site collections and may not realize that this doesn’t automatically work for My Sites.

Site collections collectively live inside a larger container, which is the web application. Farm admins can can configure security at the web app level and this is how admins can grant themselves access to any site collection in the web application. This blog entry describes one of my personal experiences with web application policies. I defined a web application policy by accident: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web application policies can be dangerous and I suggest that they be used sparingly. If I were an admin (and thank goodness I am not), I would create a separate AD account named something like "SharePoint Web App Administrator" and give that one account the web application security role it needs. I would not configure this kind of thing for the regular farm admin or individual site collection admins. It will tend to hide potential problems because the web app role overrides any lower level security settings.

</крај>

Претплатите се на мој блог.

Следите ме на Туиттер на http://www.twitter.com/pagalvin

Тецхнорати Тагс: ,

Погледи и колоне за листе и библиотеке докумената не може обезбедити

УПДАТЕ (02/29/08): Овај нови пројекат ЦодеПлек изгледа да обезбеди начин за обезбеђивање појединачне колоне: http://www.codeplex.com/SPListDisplaySetting. If you have any experience working with it, оставите коментар.

Форум постери често питам овако: "I have a manager view and and a staff view of a list. How do I secure the manager view so that staff can not use it?"

They also frequently ask a related question: "I want to secure a specific metadata column so that only managers may edit that column while others may not even see it."

These answers apply to both WSS 3.0 и маховине:

  • SharePoint does not provide out-of-the-box support for securing views.
  • SharePoint does not provide out-of-the-box support for security columns.

There are several techniques one can follow to meet these kinds of security requirements. Here’s what I can think of:

  • Use out-of-the-box item level security. Views always honor item level security configuration. Event receivers and/or workflow can automate security assignment.
  • Use personal views for "privileged" погледа. These are easy enough to set up. Међутим, due to their "personal" nature, these need to be configured for each user. Use standard security configuration to prevent anyone else from creating a personal view.
  • Use a data view web part and implement some kind of AJAXy security trimming solution.
  • Roll your own list display functionality and incorporate security trimming at the column level.
  • Modify the data entry forms and use JavaScript in conjunction with the security model to implement column-level security trimming.
  • Use an InfoPath form for data entry. Implement column-level security trimming via web service calls to SharePoint and conditionally hide fields as needed.
  • Roll your own ASP.NET data entry function that implements column level security trimming.

None of those options are really that great, but there is at least a path to follow if you need to, even if it’s hard.

НАПОМЕНА: If you go down any of these paths, don’t forget about "Actions -> Open with Windows Explorer". You want to be sure that you test with that feature to make sure that it doesn’t work as a "back door" and defeat your security scheme.

If you have other ideas for or experiences with securing columns or views, please пошаљи ми or leave a comment and I’ll update this posting as appropriate.

</крај>

Претплатите се на мој блог.

Тецхнорати Тагс:

Решење: Систем.ИО.ФилеНотФоундЕкцептион на “СПСите = нови СПСите(УРЛ)”

УПДАТЕ: Сам поставила ово питање на МСДН овде (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) and Michael Washam of Microsoft responded with a concise answer.

Креирао сам веб сервис да се понаша као БДЦ-пријатељски фасада to a SharePoint list. When I used this from my development environment, је радила добро. Када сам ово мигрирали на нови сервер, Сам наишао на ову грешку:

Систем.ИО.ФилеНотФоундЕкцептион: Веб апликација на http://localhost/sandbox није могао бити пронађен. Проверите да ли сте исправно унели УРЛ. Ако УРЛ адреса треба да се служи постојећи садржај, систем администратор ће можда морати да додате нови захтев УРЛ за мапирање намењену примену. на Мицрософт.СхареПоинт.СПСите .. цтор(СПФарм фарма, Ури рекуестУри, Булова цонтектСите, СПУсерТокен усерТокен) на Мицрософт.СхареПоинт.СПСите .. цтор(Стринг рекуестУрл) на Цонцханго.киззи.ГетЕкистингДоцумент(Стринг миниД, Стринг макИд, Стринг титлеФилтер) у Ц:\Доцументс анд Сеттингс Паул Ми Доцументс Висуал Студио 2005 Пројецтс киззи БДЦ_ДоцРевиев БДЦ_ДоцРевиев ДоцРевиевФацаде.асмк.цс:линија 69

Овде је линија 69:

коришћење (СПСите сајт = нев СПСите("http://localhost/sandbox"))

Покушао сам различите варијације на УРЛ, укључујући и право коришћења имена сервера, му је ИП адреса, пратећи косе црте на УРЛ адресу, итд. I always got that error.

Користио сам Гоогле to research it. Lots of people face this issue, или варијације тога, али нико није чинило се да је решен.

Удешен Мос обезбедио тако детаљан грешку да није ми пало на памет да провери 12 hive logs. Коначно, око 24 сати након мој колега препоручио да то уради, Проверио сам 12 кошница и сматра да је овај дневник:

Изузетак грешке при покушају да стекну локалну фарму:
Систем.Сецурити.СецуритиЕкцептион: Тражени регистар приступ није дозвољен.
на Систем.ТхровХелпер.ТхровСецуритиЕкцептион(ЕкцептионРесоурце ресурс) у
(Стринг, Булова писати) у
(Стринг) у
() у
() у
(СПФарм& фарма, Булова& исЈоинед)
Зона скупштине који није био:  MyComputer

То је отворило нове путеве истраживања, тако да је било вратити се на Гоогле. То ме је довело до овог порука на форуму: хттп://форумс.цодецхарге.цом / постс.пхп?пост_ид = 67135. That didn’t really help me but it did start making me think there was a database and/or security issue. I soldiered on and Ендрју је Цоннелл post finally triggered the thought that I should make sure that the application pool’s identity account had appropriate access to the database. I thought it already did. Међутим, мој колега је отишао и дао апликације базена идентитета рачун пун приступ СКЛ.

Чим је урадио измену, everything started working.

Шта се даље десило је најбоље изражен као хаику песма:

Проблеми подигну руку.
You swing and miss. Try again.
Успех! But how? Зашто?

Она није хтела да остави ствари сам тако, више воле да дају минималну потребну дозволу (и вероватно са намером да пишем блог унос; Ја ју је дотукао, мухахахахаха!).

Скинула узастопне дозволе из Апп рачуна базен идентитет док … there was no longer any explicit permission for the app pool identity account at all. The web service continued to work just fine.

We went and rebooted the servers. Everything continued to work fine.

Тако, да поновимо: we gave the app pool identity full access and then took it away. The web service started working and never stopped working. Bizarre.

Ако неко зна зашто би то радили, оставите коментар.

</крај>

Тецхнорати Тагс:

Минимална безбедности Обавезно за ИнфоПатх Формс

I needed to meet a security requirement for an InfoPath form today. In this business situation, a relatively small number of individuals are allowed to create a new InfoPath form and a much wider audience are allowed to edit it. (Ово је нови-запосли на укрцавање форма користи кадрове који покреће ток посла).

To meet that objective, I created created two new permission levels ("create and update" and "update only"), broke inheritance for the form library and assigned permissions to a "create, update" user and a separate "update only" корисник. The mechanics all worked, but it turned out to be a little more involving than I expected. (If you feel a little shaky on SharePoint permissions, check out this blog post). The required security configuration for the permission level was not the obvious set of granular permissions. To create an update-only permission level for an InfoPath form, Сам урадио следеће:

  1. Create a new permission level.
  2. Clear away all options.
  3. Selected only the following from "List permissions":
    • Edit Items
    • View Items
    • View Application Pages

Selecting these options allows a user to update a form, but not create it.

The trick was to enable the "View Application Pages". There isn’t any verbage on the permission level that indicates that’s required for update-only InfoPath forms, but turns out it is.

Create-and-Update was even stranger. I followed the same steps, 1 through 3 изнад. I had to specifically add a "Site Permission" option: "Use client integration features". Поново, the description there does not make it seem like it ought to be required for an InfoPath form, but there it is.

</крај>

СхареПоинт не пружа “Ко има приступ” Извештаји

УПДАТЕ 01/28/08: Овај ЦодеПлек пројекат се бави овим питањем: http://www.codeplex.com/AccessChecker. I have not used it, али изгледа обећавајуће, ако је ово питање потребно је да се обрати у вашем окружењу.

УПДАТЕ 11/13/08: Џоел Олесон написао горе веома добар пост на ширем питању управљања безбедношћу овде: хттп://ввв.схарепоинтјоел.цом / Листе / Постови / Пост.аспк?List=0cd1a63d-183c-4fc2-8320-ba5369008acb&ID=113. It links to a number of other useful resources.

Forum users and clients often ask a question along these lines: "How do I generate a list of all users with access to a site" or "How can I automatically alert all users with access to list about changes made to the list?"

There is no out of the box solution for this. If you think about it for a moment, it’s not hard to understand why.

SharePoint security is very flexible. There are at least four major categories of users:

  • Anonymous users.
  • SharePoint Users and Groups.
  • Active Directory users.
  • Обрасци потврда идентитета заснована на (ФБА) корисници.

The flexibility means that from a security perspective, any given SharePoint site will be dramatically different from another. In order to generate an access list report, one needs to ascertain how the site is secured, query multiple different user profile repositories and then present it in a useful fashion. That’s a hard problem to solve generically.

How are organizations dealing with this? I’d love to hear from you in comments or е-маил.

</крај>

СхареПоинт Безбедност Основи Прајмер / Избегавајте уобичајене замке

УПДАТЕ 12/18/07: Погледајте Пола Лиебранд је чланак за неке техничке последица уклањања или мењања подразумеваних имена групе (види свој коментар испод, као и).

Преглед:

SharePoint security is easy to configure and manage. Међутим, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Признајем да имају овај проблем сам). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Важна напомена:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or пошаљи ми. I’ll make corrections post haste.

Основи:

За потребе овог прегледа, постоје четири основна аспекта безбедности: Корисници / групе, сецурабле објекти, нивое дозвола и наслеђивање.

Корисници и групе разбити на:

  • Појединачни корисници: Повукао из активног директоријума или створио директно у СхареПоинт.
  • Групе: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" на одређени сецурабле објекта.

Сецурабле објекти разбити на најмање:

  • Сајтови
  • Библиотеке докумената
  • Појединачне ставке у листама и библиотекама докумената
  • Фолдери
  • Разни БДЦ подешавања.

Постоје други објекти сецурабле, али добијате слику.

Нивое дозвола: Скуп зрнастог / low level access rights that include such things as create/read/delete entries in lists.

Наслеђе: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Корисници и групе односе се на објекте преко сецурабле нивоима дозвола и наслеђа.

Најважнијих безбедносних правила да би се схватило, евер 🙂 :

  1. Групе су једноставно колекције корисника.
  2. Групе су глобални унутар колекције локација (и.е. не постоји таква ствар као што је група дефинисана на нивоу локације).
  3. Назив групе не издржи, група не, у себе и, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. Можете да доделите различите нивое дозвола у истој групи за сваки објекат сецурабле.
  6. Веб апликација политика адут све ово (види доле).

Безбедносне администратори изгубљени у мору групе и корисничке уносе могу увек ослонити на ових аксиома да управљају и разумели своју безбедносну конфигурацију.

Уобичајене замке:

  • Група имена лажно имплицира дозволу: Оут оф тхе бок, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" група не може да допринесе уопште, али само чита (на пример). This would not be a good idea, очигледно, јер би било веома збуњујуће.
  • Групе нису дефинисани на нивоу локације. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" веза. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Групе чланство не зависе од локације (и.е. она је свуда иста група се користи): Consider the group "Owner" и две локације, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Можда ћу приступ људи и група линкова преко ХР сајту, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. Заправо, I’m removing her from the global Owners group. Hilarity ensues.
  • Неуспех да именује групе на основу специфичне улоге: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Требао сам створио две нове групе: "HR Owners" and "Logistics Owners" и доделите разумне нивое дозвола за сваког и минималног износа потребног за оним корисницима да раде свој посао.

Остале Корисни Референце:

Уколико сте направили овај је далеко:

Please let me know your thoughts via the comments or email me. If you know other good references, молим те исти!

Тецхнорати Тагс: