คลังเก็บหมวดหมู่: ความปลอดภัยของ SharePoint

"Access Denied” การ Default.aspx บน SharePoint 2010 ไซต์ย่อย

ลูกค้าของหนึ่งไปกับ SharePoint ของพวกเขา 2010 วันนี้แวดล้อม  เราพบว่า กลุ่มของผู้ใช้ไม่สามารถเข้าถึงโฮมเพจ  SharePoint ที่มีการตอบสนอง ด้วย "Access Denied" และปกติ "หมายในฐานะผู้ใช้อื่น" หรือ "ร้องขอการเข้าถึง" ตอบสนอง 

เมื่อเราได้ใช้ฟังก์ชัน "ตรวจสอบ Access" เก๋ไก๋ ได้ยืนยันว่า ผู้ใช้จริง ๆ ไม่ได้เข้าได้  ยัง, พวกเขาไม่สามารถรับที่หน้า.

ฉันตามท้องถนนมากมายไปต่าง ๆ ตายสิ้นสุดจนกว่าฉันตัดสินใจที่จะเปรียบเทียบ web parts บนหน้าเสียต่อหน้าทำงานคล้ายคลึงกัน  ฉันไม่ว่า โดยการใส่หน้าในโหมดการบำรุงรักษาโดยการเพิ่ม"?เนื้อหา = 1 "ไปยังหน้า. ดังนั้น, มันดูเหมือน "http://server/subsite/subsite/default.aspx?เนื้อหา = 1 " 

นี้แสดงผมสองเว็บส่วนที่มีชื่อว่า "ผิดพลาด" กับคำอธิบายเหมือนกับ "ข้อผิดพลาด" ในหน้าเสียหาย  ฉันไม่ได้คิดว่า การใช้หมวกหน้าจอในขณะ.

เอาออกได้ และการที่แก้ไขปัญหา.

ผมได้เห็นคำถามเช่นนี้มาอัพในฟอรั่มในอดีต และฉันถูกแสนขี้สงสัยเกี่ยวกับ insistence โปสเตอร์ที่ว่า เขามีความปลอดภัยตั้งค่าอย่างถูกต้อง  ฉัน * ทราบ * มีความปลอดภัยตั้งค่าด้านขวา ยิ้ม  ครั้งต่อไป, จะเปิดขึ้น และน้อยขี้สงสัย.

</สิ้นสุด>

สมัครสมาชิกไปยังบล็อกของฉัน.

ทำตามฉันใน Twitter ที่ http://www.twitter.com/pagalvin

ใช้เวิร์กโฟลว์เพื่อจำลองการรักษาความปลอดภัยชนิดเนื้อหา

วันที่อื่น, ฟอรั่ม MSDN อีกแรงบันดาลใจจากการโพสต์.

คนถูกถามว่า พวกเขาไม่สามารถความปลอดภัยชนิดเนื้อหาซึ่งเมื่อผู้ใช้คลิกปุ่ม "ใหม่" ในรายการแบบกำหนดเอง, เฉพาะ ชนิดที่ซึ่งบุคคลนั้นมีให้เข้าถึงเนื้อหาจะปรากฏในรายการแบบหล่นลง  ตามที่เราทราบ, นี้ไม่ได้รับการสนับสนุนจากกล่อง.

คำถามนี้มาถึงตอนนี้แล้ว และเวลานี้, ผมมีความคิดใหม่  สมมติว่า เรามีสถานการณ์เช่นนี้:

  • เรามีฝ่ายระบบตั๋ว.
  • ฝ่ายจองตั๋วระบบอนุญาตให้ผู้ใช้ป้อนข้อมูลตั๋วปกติฝ่าย, เช่นตั้งปัญหา, ปัญหาสถานะ, ฯลฯ.
  • เราต้องการให้ผู้ใช้ "ซูเปอร์" ระบุการฟิลด์ "เร่งด่วน".
  • ผู้ใช้อื่นไม่สามารถเข้าถึง  ระบบจะกำหนดระดับความสำคัญระดับ "ปานกลาง" เสมอไปของพวกเขา.

สิ่งที่เราไม่ได้สร้างรายการ SharePoint ที่ต่างกันสองและสองเนื้อหาแตกต่างกัน, สำหรับผู้ใช้ "ซูเปอร์" และอื่น ๆ สำหรับคนอื่น ๆ.

ลำดับงานแต่ละรายการคัดลอกข้อมูลไปยังรายการหลัก (รายการตั๋วจริงฝ่าย) และการดำเนินการจาก.

วิธีการนี้อาจทำงานไหลชนิดของคอลัมน์ระดับปลอดภัยเช่นกัน 

ฉันไม่พยายามมัน, แต่ก็รู้สึกสมเหตุสมผล และทำให้ค่อนข้างง่าย, ถ้าหยาบสวย, เลือกใช้ชนิดของชนิดเนื้อหาและแม้แต่คอลัมน์ระดับปลอดภัย.

</สิ้นสุด>

สมัครสมาชิกไปยังบล็อกของฉัน.

ทำตามฉันใน Twitter ที่ http://www.twitter.com/pagalvin

การอนุมัติเนื้อหาเป็นชายยากจนโดยอัตโนมัติระดับรายการ

มีสถานการณ์สมมติทางธุรกิจทั่วไปกับแบบฟอร์มของ InfoPath  เราต้องยอมให้ผู้ใช้สามารถกรอกฟอร์มใน InfoPath และส่งพวกเขาไปยังไลบรารี  เราต้องการให้ mangers (และไม่มีใคร) การเข้าถึงแบบฟอร์มเหล่านั้น.

คำถามนี้มาอัพที่ใช้ในขณะนี้และจากนั้นบนแบบฟอร์ม (เช่น. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

เพื่อแก้ปัญหานี้คือการ เปิดใช้งานการอนุมัติเนื้อหาในไลบรารีฟอร์ม  ไปตั้งค่ารุ่นของไลบรารี และตั้งสูงมาก:

image 

คลิกที่ "ต้องการอนุมัติเนื้อหา" และการที่จะช่วยให้คุณสามารถเลือกค่าสำหรับความปลอดภัยของรายการฉบับร่าง.

มี counter-intuitive เล็กน้อยเนื่องจากเราไม่คิดว่า ในแง่ของ "อนุมัติเนื้อหา" เมื่อทั้งหมดเราต้องทำคือ ป้องกันไม่ให้คนเห็นฟอร์มของผู้ใช้อื่น  อย่างไรก็ตาม, ทำงานดี (ในประสบการณ์ของฉัน).  ไม่เพียงอนุมัติแบบฟอร์มเหล่านั้น และพวกเขาจะเสมอจะพิจารณา "ร่าง" 

ให้สิทธิ์กับคนที่ต้องการดูพวกเขาและคุณได้ปิดลูป.

นี้ไม่ใช่ข่าวใหญ่แน่นอน, แต่คำถามที่มากับความบาง, ดังนั้นฉันคิดว่า มันจะคุ้มค่าการลงรายการบัญชี.

</สิ้นสุด>

สมัครสมาชิกไปยังบล็อกของฉัน.

ทำตามฉันใน Twitter ที่ http://www.twitter.com/pagalvin

คือจำกัดเข้าอยู่ดี?

โปรแกรมปรับปรุง 11/03/08: ได้อ่านข้อคิดเห็นดี และรายละเอียดจาก Dessie Lunsford การลงรายการบัญชีนี้.

ฉันได้ทำงานในโครงการแก้ไขเทคนิคลับในการจองขึ้นมา และจะอ้างอิง รายการบล็อกนี้ โดยไทเลอร์คนในบล็อก MSDN ECM. นี่เป็นครั้งแรกที่ตัวอ่านคำนิยามที่ชัดเจนของความหมายของการเข้าถึงที่จำกัด. นี่คือเนื้อของคำนิยาม:

ใน SharePoint, ผู้ใช้ที่ไม่ระบุชื่อ’ สิทธิ์จะถูกกำหนด โดยระดับสิทธิ์การเข้าถึงที่จำกัด. จำกัดการเข้าถึงเป็นสิทธิพิเศษที่ไม่สามารถกำหนดผู้ใช้ หรือกลุ่มโดยตรง. เหตุผลที่มีอยู่เป็น เพราะถ้าคุณมีไลบรารีหรือไซต์ย่อย ที่มีเสียสืบทอดสิทธิ์, และคุณให้ถึงกลุ่มผู้ใช้เฉพาะที่ไลบรารี/ย่อย, เมื่อต้องดูเนื้อหา, ผู้ใช้/กลุ่มต้องเข้าถึงบางเว็บราก. มิฉะนั้น ผู้ใช้/กลุ่มจะสามารถเรียกดูไลบรารี/ย่อย, ถึงแม้ว่าพวกเขามีสิทธิมี, เนื่องจากมีสิ่งในเว็บรากที่ต้องทำเว็บไซต์หรือไลบรารี. ดังนั้น, เมื่อคุณให้สิทธิ์กลุ่มเฉพาะกับไซต์ย่อยหรือไลบรารีที่จะทำลายการสืบทอดสิทธิ์, SharePoint โดยอัตโนมัติให้เข้าไปที่กลุ่มผู้ใช้ในเว็บราก.

คำถามนี้มาถึงตอนนี้แล้วในฟอรั่ม MSDN และฉันได้รับเสมออยากรู้อยากเห็น (แต่ไม่อยากรู้อยากเห็นพอจะคิดออกก่อนวันนี้ :)).

</สิ้นสุด>

สมัครสมาชิกไปยังบล็อกของฉัน.

ทำตามฉันใน Twitter ที่ http://www.twitter.com/pagalvin

แท็กของ Technorati:

คำแนะนำด่วน: การตั้งค่าคอนฟิกความปลอดภัยเพื่ออนุญาตให้ผู้ดูแลระบบในการเข้าถึงเว็บไซต์ใด ๆ ของฉันใน SharePoint

ในเครื่องหมายที่สังคมคอมพิวเตอร์เริ่มถอดเสื้อกับ SharePoint, เห็นคำถามชนิดของไซต์ของฉันที่เพิ่มขึ้นจำนวน. หนึ่งคำถามทั่วไปบางอย่างเช่นนี้:

"ฉันดูแล และต้องสามารถเข้าถึงทุกเว็บไซต์ของฉัน. วิธีทำทำเช่นนั้น?"

เคล็ดลับที่นี่คือแต่ละไซต์ของฉัน ไซต์คอลเลกชันของตัวเอง. โดยปกติจัดการความปลอดภัยของ SharePoint ที่ระดับไซต์คอลเลกชัน และนี้ทริค่าหลายผู้ดูแล SharePoint. โดยปกติ, เธอได้เข้าถึงการตั้งค่าคอนฟิกความปลอดภัยหลัก"แล้ว" ไซต์คอลเลกชัน และอาจไม่ทราบว่า นี้ไม่ทำโดยอัตโนมัติงานสำหรับไซต์ของฉัน.

ไซต์คอลเลกชันโดยรวมอยู่ภายในภาชนะขนาดใหญ่, ซึ่งเป็นแอพลิเคชันเว็บ. ผู้ดูแลระบบฟาร์มสามารถสามารถกำหนดค่าความปลอดภัยระดับโปรแกรมประยุกต์เว็บ และนี่คือวิธีผู้ดูแลระบบสามารถอนุญาตให้ตัวเองเข้าถึงไซต์คอลเลกชันใด ๆ ในโปรแกรมประยุกต์เว็บ. รายการบล็อกนี้อธิบายถึงประสบการณ์ส่วนตัวกับเว็บแอพลิเคชันอย่างใดอย่างหนึ่ง. ฉันกำหนดนโยบายเว็บแอพลิเคชัน โดยบังเอิญ: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

เว็บแอพลิเคชันนโยบายอาจเป็นอันตราย และคำแนะนำว่า ให้ใช้เท่าที่จำเป็น. ถ้าผมเป็น admin (และขอบคุณ พระเจ้า ผมไม่), ฉันจะสร้างบัญชี AD แยกชื่อเหมือน "Web App ดูแล SharePoint" และให้ security role แอพลิเคชันเว็บก็บัญชีที่หนึ่ง. ฉันจะตั้งค่าคอนฟิกฟาร์มปกติ admin หรือผู้ดูแลระบบของคอลเลกชันไซต์แต่ละชนิดนี้. มันจะมักจะซ่อนปัญหาเนื่องจากบทบาท app เว็บแทนการตั้งค่าความปลอดภัยที่ระดับต่ำกว่า.

</สิ้นสุด>

สมัครสมาชิกไปยังบล็อกของฉัน.

ทำตามฉันใน Twitter ที่ http://www.twitter.com/pagalvin

มุมมองและคอลัมน์ในไลบรารีเอกสารและรายการไม่ปลอดภัย

โปรแกรมปรับปรุง (02/29/08): โครงการนี้ codeplex ใหม่น่าจะ ให้วิธีการรักษาความปลอดภัยในแต่ละคอลัมน์: http://www.codeplex.com/SPListDisplaySetting. ถ้าคุณมีประสบการณ์ทำงานกับมัน, กรุณาฝากความคิดเห็น.

ฟอรั่มโปสเตอร์มักถามคำถามดังนี้: "ฉันมีมุมมองผู้จัดการ และพนักงานมุมมองของรายการและ. วิธีทำฉันจองมองผู้จัดการเพื่อให้พนักงานสามารถใช้หรือไม่?"

พวกเขามักจะถามคำถามที่เกี่ยวข้อง: "อยากจะจองคอลัมน์เฉพาะ metadata เพื่อให้เฉพาะผู้จัดการอาจแก้ไขคอลัมน์ในขณะที่คนอื่นอาจมองไม่เห็นตัวมัน"

คำตอบเหล่านี้กับทั้ง WSS 3.0 และมอ:

  • SharePoint ให้การสนับสนุนออกกล่องสำหรับมุมมองการรักษาความปลอดภัย.
  • SharePoint ให้การสนับสนุนออกกล่องสำหรับคอลัมน์ความปลอดภัย.

มีหลายเทคนิคหนึ่งที่สามารถทำตามเพื่อตอบสนองความต้องการความปลอดภัยต่าง ๆ เหล่านี้. นี่คือสิ่งที่ผมสามารถคิดได้:

  • ใช้ความปลอดภัยระดับสินค้าออกของกล่อง. มุมมองเสมอเกียรติความปลอดภัยระดับโครง. ตัวรับเหตุการณ์หรือลำดับงานสามารถทำการกำหนดความปลอดภัย.
  • ใช้มุมมองส่วนบุคคล "ได้รับสิทธิพิเศษ" มุมมอง. เหล่านี้เป็นที่ตั้งที่ง่าย. อย่างไรก็ตาม, เนื่องจากตัวบุคคล"" ธรรมชาติ, ต้องการกำหนดค่าสำหรับแต่ละผู้ใช้. ใช้กำหนดค่ามาตรฐานความปลอดภัยเพื่อป้องกันผู้อื่นจากการสร้างมุมมองส่วนบุคคล.
  • ใช้ web part มุมมองข้อมูล และใช้บางชนิดของระบบความปลอดภัย AJAXy ตัดแต่ง.
  • ม้วนรายการงานของคุณเอง และรวมตัดแต่งความปลอดภัยในระดับคอลัมน์.
  • ปรับเปลี่ยนฟอร์มป้อนข้อมูล และใช้ JavaScript ร่วมกับรูปแบบการรักษาความปลอดภัยที่สามารถตัดแต่งความปลอดภัยระดับคอลัมน์.
  • ใช้แบบฟอร์มการ InfoPath สำหรับป้อนข้อมูล. ใช้ตัดแต่งความปลอดภัยระดับคอลัมน์ผ่านเรียกบริการเว็บ SharePoint และใส่ซ่อนฟิลด์ตามความจำเป็นที่.
  • ม้วนฟังก์ชันรายการของข้อมูล ASP.NET ที่ใช้ตัดแต่งความปลอดภัยระดับคอลัมน์.

ตัวเลือกเหล่านั้นไม่มีจริง ๆ ที่ดี, แต่มีน้อยเส้นทางตามถ้าคุณต้องการ, แม้มันจะยาก.

หมายเหตุ: ถ้าคุณไปลงของเส้นทางเหล่านี้, อย่าลืม "การดำเนินการ-> เปิด ด้วย Windows Explorer". คุณต้องให้แน่ใจว่าคุณทดสอบคุณลักษณะที่เพื่อให้แน่ใจว่า มันไม่ทำงานเป็นประตูหลัง"" และกำจัดแผนความปลอดภัยของคุณ.

ถ้าคุณคิดหรือประสบการณ์รักษาความปลอดภัยคอลัมน์หรือมุมมองอื่น ๆ, กรุณา อีเมล์ผม หรือความคิดเห็น และฉันจะปรับปรุงการลงรายการบัญชีนี้ตามความเหมาะสม.

</สิ้นสุด>

สมัครสมาชิกไปยังบล็อกของฉัน.

โซลูชั่น: System.IO.FileNotFoundException บน “SPSite = SPSite ใหม่(url)”

โปรแกรมปรับปรุง: ลงฉันรายการคำถามนี้ MSDN ที่นี่ (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) และ Michael Washam ของ Microsoft ตอบ ด้วยคำตอบที่กระชับ.

สร้างบริการเว็บเป็นการ ซุ้ม BDC เอื้อเฟื้อ ไปยังรายการ SharePoint. เมื่อฉันใช้นี้จากสภาพแวดล้อมการพัฒนาของฉัน, ทำงานดี. เมื่อฉันย้ายนี้ไปยังเซิร์ฟเวอร์ใหม่, ฉันพบข้อผิดพลาดนี้:

System.IO.FileNotFoundException: แอพลิเคชันเว็บที่ http://localhost/sandbox ไม่พบ. ตรวจสอบว่า คุณได้พิมพ์ URL ถูกต้อง. ถ้า URL ควรให้บริการเนื้อหาที่มีอยู่, ผู้ดูแลระบบอาจต้องเพิ่มการแมป URL ร้องขอใหม่ไปยังโปรแกรมประยุกต์ที่กำหนดไว้. ที่ Microsoft.SharePoint.SPSite ...ctor(ฟาร์ม SPFarm, Uri requestUri, ContextSite บูลีน, SPUserToken userToken) ที่ Microsoft.SharePoint.SPSite ...ctor(สตริ requestUrl) ที่ Conchango.xyzzy.GetExistingDocument(สตริ minId, สตริ maxId, สตริ titleFilter) ใน C:\เอกสารและ SettingsPaulMy DocumentsVisual 2005ProjectsxyzzyBDC_DocReviewBDC_DocReviewDocReviewFacade.asmx.cs สตูดิโอ:บรรทัด 69

นี่คือรายการ 69:

โดยใช้ (SPSite ไซต์ = SPSite ใหม่("http://localhost/sandbox"))

พยายามรูปแบบต่าง ๆ บน URL, รวมทั้งการใช้ชื่อจริงของเซิร์ฟเวอร์, อยู่ IP, เครื่องหมายทับต่อท้ายใน URL, ฯลฯ. จะมีข้อผิดพลาดที่.

ผมใช้ Google การวิจัยเรื่อง. หลายคนประสบปัญหานี้, หรือรูปแบบของมัน, แต่ไม่มีใครดูเหมือนจะแก้ไขได้.

มอ tricksy ให้ดังกล่าวเป็นรายละเอียดข้อผิดพลาดที่มันไม่ได้เกิดขึ้นให้ตรวจสอบการ 12 บันทึกกลุ่ม. ในที่สุด, เกี่ยวกับการ 24 ชั่วโมงหลังจาก เพื่อนร่วมงานของฉัน แนะนำให้ทำเช่นนั้น, ฉันได้ตรวจสอบออกแบบ 12 กลุ่มล็อก และพบ:

ข้อยกเว้นเกิดขึ้นขณะพยายามที่จะซื้อฟาร์มในท้องถิ่น:
System.Security.SecurityException: ไม่อนุญาตการเข้าถึงรีจิสทรีที่ร้องขอ.
ที่ System.ThrowHelper.ThrowSecurityException(ทรัพยากร ExceptionResource) ที่ Microsoft.Win32.RegistryKey.OpenSubKey(ชื่อสาย, บูลีนเขียน) ที่ Microsoft.Win32.RegistryKey.OpenSubKey(ชื่อสาย) ที่ Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() ที่ Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() ที่ Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& ฟาร์ม, บูลีน& isJoined)
โซนของแอสเซมบลีที่ล้มเหลวได้:  MyComputer

นี้เปิด avenues ใหม่ของการวิจัย, ดังนั้น ก็ไป Google. ที่นำฉันไป โพสต์ฟอรั่ม: http://forums.codecharge.com/posts.php?post_id = 67135. ที่ไม่ได้จริง ๆ ช่วยฉัน แต่มันเริ่มทำให้ฉันคิดว่า มีปัญหาฐานข้อมูลและ/หรือความปลอดภัย. ฉัน soldiered บน และ แอนดรู Connell ลงทริกเกอร์จนคิดว่า ฉันควรแน่ใจว่า บัญชีรหัสประจำตัวของพูลโปรแกรมประยุกต์มีราคาที่เหมาะสมเข้าถึงฐานข้อมูล. ฉันคิดว่า มันไม่ได้แล้ว. อย่างไรก็ตาม, เพื่อนร่วมงานของฉันไป และ app ตัวบัญชีเต็มรูปแบบสระให้ SQL.

ทันทีที่เธอทำที่การเปลี่ยนแปลง, ทุกอย่างเริ่มต้นทำงาน.

ต่อไปอะไรเกิดขึ้นสุดแสดงในรูป ไฮกู บทกวี:

ปัญหายกมือของพวกเขา.
คุณสวิงและนางสาว. ลองอีกครั้ง.
ความสำเร็จ! แต่วิธี? ทำไม?

เธอไม่ต้องการปล่อยให้สิ่งเดียวเช่นนั้น, ท่านที่ต้องการให้สิทธิ์ที่จำเป็นต่ำสุด (และอาจ คัดสรรเขียนรายการบล็อก; ฉันชนะเธอจะหมัด, muhahahahaha!).

เธอเอาสิทธิ์ต่อจากบัญชีประจำสระ app จน … มีไม่มีสิทธิ์ใด ๆ ชัดเจนสำหรับบัญชีประจำสระ app เลย. การบริการเว็บที่ยังคงทำงานเพียงแค่ปรับ.

เราไป และเริ่มระบบใหม่เซิร์ฟเวอร์. ทุกอย่างยังคงทำงานดี.

ดังนั้น, การปะยางรถ: เราให้ app ตัวเต็มสระแล้ว เอาไป. บริการเว็บเริ่มต้นการทำงาน และไม่เคยหยุดทำงาน. แปลกประหลาด.

ถ้าใครรู้เหตุที่ควรมีการทำงาน, กรุณาฝากความคิดเห็น.

</สิ้นสุด>

รักษาความปลอดภัยขั้นต่ำที่จำเป็นสำหรับฟอร์ม InfoPath

ฉันต้องการความปลอดภัยสำหรับฟอร์ม InfoPath วันนี้. ในสถานการณ์ทางธุรกิจนี้, ตัวเลขค่อนข้างเล็กของบุคคลที่ได้รับอนุญาตให้สร้างฟอร์ม InfoPath ใหม่ และผู้ชมกว้างมากสามารถแก้ไขได้. (นี่คือการจ้างงานใหม่บนประจำฟอร์มใช้ โดยทรัพยากรมนุษย์ที่เปิดเวิร์กโฟลว์).

เพื่อตอบสนองวัตถุประสงค์นั้น, สร้างสร้างสองใหม่ระดับของสิทธิ์ ("สร้าง และปรับปรุง" และ "ปรับปรุงเท่านั้น"), ยากจนสืบทอดสำหรับไลบรารีแบบฟอร์ม และกำหนดสิทธิ์ในการ "สร้าง, การปรับปรุง" ผู้ใช้และการแยก "ปรับปรุงเท่านั้น" ผู้ใช้. กลไกทั้งหมดที่ทำงาน, แต่มันกลายเป็นเกี่ยวข้องน้อยกว่า. (ถ้าคุณรู้สึกว่าเสียงสั่นเล็กน้อยบน SharePoint สิทธิ์, ตรวจสอบบทความบล็อกนี้). การกำหนดค่าความปลอดภัยที่จำเป็นสำหรับระดับสิทธิ์ไม่สิทธิ์เม็ดชุดชัดเจน. สร้างระดับการปรับปรุงเฉพาะสิทธิ์สำหรับฟอร์ม InfoPath, ค่ะต่อไปนี้:

  1. สร้างระดับสิทธิ์ใหม่.
  2. ล้างเก็บตัวเลือกทั้งหมด.
  3. เลือกเฉพาะต่อไปนี้จาก "อนุญาตรายการ":
    • แก้ไขรายการ
    • ดูสินค้า
    • ดูแอพลิเคชันหน้า

เลือกตัวเลือกเหล่านี้ช่วยให้ผู้ใช้สามารถปรับปรุงฟอร์ม, แต่ไม่สร้าง.

เคล็ดลับคือการ เปิดใช้งาน "หน้าดูแอพลิเคชัน". ไม่มี verbage ใด ๆ ในระดับสิทธิ์ที่แสดงว่า การปรับปรุงเฉพาะฟอร์ม InfoPath, แต่เปิดออกได้.

สร้าง--การปรับปรุง และถูกคนแปลกหน้าได้. ผมทำตามขั้นตอนเดียว, 1 ผ่าน 3 ข้างต้น. ผมจะเพิ่มสิทธิ์เว็บไซต์"โดยเฉพาะ" ตัวเลือก: "ใช้คุณลักษณะการรวมของไคลเอ็นต์". อีกครั้ง, มีคำอธิบายไม่ได้เหมือนมันควรจะเป็นสำหรับฟอร์ม InfoPath, แต่มี.

</สิ้นสุด>

SharePoint ไม่ได้ให้ “ผู้ที่สามารถเข้าถึง” รายงาน

โปรแกรมปรับปรุง 01/28/08: โครงการนี้ codeplex จัดการปัญหานี้: http://www.codeplex.com/AccessChecker. ฉันได้ใช้มัน, แต่มีลักษณะสัญญาถ้าเป็นปัญหาคุณจำเป็นต้องอยู่ในสภาพแวดล้อมของคุณ.

โปรแกรมปรับปรุง 11/13/08: Joel Oleson wrote ขึ้นประกาศในดีมากบนขนาดใหญ่รักษาความปลอดภัยการจัดการปัญหานี่: http://www.sharepointjoel.com/Lists/Posts/Post.aspx?รายการ = 0cd1a63d % 2D183c % 2D4fc2% 2 D 8320% 2Dba5369008acb&ID = 113. เชื่อมโยงกับหมายเลขทรัพยากรที่มีประโยชน์อื่น ๆ.

ผู้ใช้ forum และลูกค้ามักจะถามคำถามตามแนวเส้นเหล่านี้: "วิธีทำฉันสร้างรายชื่อของผู้ใช้ทั้งหมดมีการเข้าถึงไปยังไซต์" หรือ "วิธีสามารถฉันโดยอัตโนมัติเตือนผู้ใช้ทุกคนเข้าถึงรายการที่เกี่ยวกับการเปลี่ยนแปลงที่เกิดขึ้นในรายการ?"

มีไม่ออกของการแก้ปัญหากล่องนี้. หากคุณคิดเกี่ยวกับมันเลย, ไม่ยากที่จะเข้าใจเหตุผล.

ความปลอดภัยของ SharePoint มีความยืดหยุ่นมาก. มีอย่างน้อยสี่ประเภทที่สำคัญของผู้ใช้:

  • ผู้ใช้ที่ไม่ระบุชื่อ.
  • ผู้ใช้ของ SharePoint และกลุ่ม.
  • ผู้ใช้ไดเรกทอรีที่ใช้งานอยู่.
  • แบบฟอร์มโดยใช้การรับรองความถูกต้อง (FBA) ผู้ใช้.

ความคล่องตัวหมายความ ว่า จากมุมมองด้านความปลอดภัย, ไซต์ SharePoint กำหนดจะแตกต่างจากที่อื่นอย่าง. เพื่อสร้างรายงานรายการการเข้าถึง, หนึ่งต้องการสำรวจวิธีที่ไซต์การรักษาความปลอดภัย, สอบถามเก็บข้อมูลของโพรไฟล์ผู้ใช้ที่แตกต่างกันหลาย และปัจจุบันในประโยชน์. มีปัญหาหนักเพื่อแก้ปัญหาโดยทั่วไปใน.

อย่างไรเป็นองค์กรจัดการกับนี้? ฉันอยากได้ยินจากคุณในข้อคิดเห็น หรือ อีเมล.

</สิ้นสุด>

แนวทางสำหรับการเรียนขั้นพื้นฐานของ SharePoint ปลอดภัย / หลีกเลี่ยงการนี่ทั่วไป

โปรแกรมปรับปรุง 12/18/07: ดูบทความของ Paul Liebrand สำหรับผลทางด้านเทคนิคบางอย่างของเอาออก หรือปรับเปลี่ยนชื่อกลุ่มเป็นค่าเริ่มต้น (ดูความคิดเห็นของเขาด้านล่างเช่นกัน).

ภาพรวม:

ความปลอดภัยของ SharePoint จะง่ายต่อการตั้งค่าคอนฟิก และจัดการ. อย่างไรก็ตาม, มันได้พิสูจน์ให้เป็นเรื่องยากสำหรับผู้ดูแลบางครั้งแรกจริง ๆ ห่อมือรอบ ๆ. ไม่เฉพาะที่, ฉันได้เห็นผู้ดูแลมาเข้าใจสมบูรณ์วันจันทร์จะได้หายไปได้ภายในวันศุกร์เนื่องจากมีการกำหนดค่าใด ๆ ในเวลาอยู่ระหว่างกลาง. (ข้าพเจ้ายอมรับว่า มีปัญหานี้เอง). รายการบล็อกนี้ช่วยให้รองพื้นรักษาความปลอดภัยของ SharePoint มีประโยชน์ และหวังว่าชี้ไปทางบางความปลอดภัยกำหนดแนวทางปฏิบัติ.

หมายเหตุสำคัญ:

คำอธิบายนี้จะขึ้นอยู่กับความปลอดภัยของ SharePoint กล่อง. ประสบการณ์ส่วนตัวเป็นจุดเด่นมอดังนั้นอาจมีบางมอเฉพาะสิ่งที่นี่, แต่ผมเชื่อว่า มันถูกต้องสำหรับ WSS. หวังว่า ทุกคนที่เห็นข้อผิดพลาดหรือการละเว้นใด ๆ จะชี้ที่ออกในข้อคิดเห็น หรือ อีเมล์ผม. ผมจะทำการแก้ไขรีบลง.

ข้อมูลพื้นฐานของเดสก์ท็อป:

สำหรับวัตถุประสงค์ในภาพรวมนี้, มีลักษณะพื้นฐาน 4 การรักษาความปลอดภัย: กลุ่มผู้ใช้, วัตถุที่กำหนดสิทธิ์ได้, ระดับสิทธิ์และสืบทอด.

ผู้ใช้และกลุ่ม ทำลายลงไป:

  • แต่ละคน: ดึงจากที่ใช้งานอยู่ไดเรกทอรี หรือสร้างขึ้นโดยตรงใน SharePoint.
  • กลุ่ม: แมปโดยตรงจากไดเรกทอรีที่ใช้งานอยู่ หรือสร้างใน SharePoint. กลุ่มคือ กลุ่มของผู้ใช้. กลุ่มที่เป็นส่วนกลางในไซต์คอลเลกชัน. พวกเขาจะไม่ "ผูก" วัตถุที่กำหนดสิทธิ์ได้เฉพาะ.

วัตถุที่กำหนดสิทธิ์ได้ ทำลายลงไปน้อย:

  • เว็บไซต์
  • ไลบรารีเอกสาร
  • สินค้าแต่ละรายการในรายการและไลบรารีเอกสาร
  • โฟลเดอร์
  • การตั้งค่าต่าง ๆ ของ BDC.

มีวัตถุอื่น ๆ ที่กำหนดสิทธิ์ได้, แต่คุณได้รับรูปภาพ.

ระดับของสิทธิ์: Granular / สิทธิการเข้าถึงระดับต่ำสุดที่รวมสิ่งต่าง ๆ เช่นสร้าง/อ่าน/ลบรายการในรายการ.

สืบทอด: โดยเอนทิตีเริ่มต้นสืบทอดการตั้งค่าความปลอดภัยจากวัตถุที่มีความ. ไซต์ย่อยสืบทอดสิทธิ์จากวัตถุแม่ของพวกเขา. ไลบรารีเอกสารสืบทอดมาจากเว็บไซต์ของพวกเขา. อื่น ๆ และอื่น ๆ.

ผู้ใช้และกลุ่มที่เกี่ยวข้องกับวัตถุที่กำหนดสิทธิ์ได้ผ่านระดับสิทธิ์และสืบทอด.

กฎความปลอดภัยสำคัญที่สุดที่จะเข้าใจ, เคย🙂 :

  1. กลุ่มเป็นเพียงคอลเลกชันของผู้ใช้.
  2. กลุ่มเป็นส่วนกลางในไซต์คอลเลกชัน (อาทิ. ไม่มีสิ่งดังกล่าวเป็นกลุ่มที่กำหนดไว้ในระดับไซต์).
  3. ชื่อกลุ่มไม่ซิ, กลุ่มไม่, ใน และ ของตัวเอง, มีความปลอดภัยในระดับใด ๆ โดยเฉพาะ.
  4. กลุ่มมีความปลอดภัยในบริบทของวัตถุกำหนดสิทธิ์ได้.
  5. คุณอาจกำหนดระดับของสิทธิ์ที่แตกต่างกันในกลุ่มเดียวกันสำหรับทุกวัตถุที่กำหนดสิทธิ์ได้.
  6. เว็บแอพลิเคชันนโยบายทรัมพ์ทั้งหมดนี้ (ดูด้านล่าง).

หายไปในทะเลของรายการและกลุ่มผู้ใช้ผู้ดูแลระบบความปลอดภัยสามารถไว้ในสัจพจน์เหล่านี้เพื่อจัดการ และเข้าใจการตั้งค่าคอนฟิกความปลอดภัย.

ข้อผิดพลาดทั่วไป:

  • ชื่อกลุ่มแอบเป็นสิทธิ์แบบสิทธิ์: กล่อง, SharePoint กำหนดชุดของกลุ่มชื่อเป็นสิทธิ์แบบมีความปลอดภัยโดยธรรมชาติ. พิจารณากลุ่ม "ผู้สนับสนุน". ไม่คุ้นเคยกับความปลอดภัยของ SharePoint อาจดีดูชื่อ และคิดว่า สมาชิกของกลุ่มที่สามารถ "มีส่วนร่วม" ทุกไซต์/รายการ/ไลบรารีในเว็บไซต์. ที่อาจเป็นจริงแต่ไม่ได้ เพราะชื่อของกลุ่มเกิดขึ้น เป็น "ผู้สนับสนุน". ก็เฉพาะกล่องเนื่องจากกลุ่มมีการให้ระดับของสิทธิ์ที่ช่วยให้พวกเขาสามารถเพิ่ม/แก้ไข/ลบเนื้อหาที่ไซต์ราก. ผ่านการสืบทอด, ที่ "ผู้ให้การสนับสนุน" กลุ่มอาจจะเพิ่ม/แก้ไข/ลบเนื้อหาที่แต่ละไซต์ย่อย. หนึ่งสามารถ "แบ่ง" สายสืบทอดและเปลี่ยนระดับสิทธิ์ของย่อยไซต์ดังกล่าวให้สมาชิกที่เรียกว่า "ผู้สนับสนุน" กลุ่มไม่สนับสนุนเลย, แต่อ่าน (ตัวอย่างเช่น). นี้จะไม่เป็นความคิดที่ดี, เห็นได้ชัด, เนื่องจากมันจะสับสนมาก.
  • ไม่มีกำหนดกลุ่มที่ระดับไซต์. มีอินเทอร์เฟซผู้ใช้สับสน. Microsoft ให้การเชื่อมโยงที่สะดวกเพื่อการบริหารจัดการกลุ่มผู้ใช้ผ่านทางเว็บไซต์ทุก "คนและกลุ่ม" การเชื่อมโยง. ง่ายให้เชื่อได้ว่าเมื่อฉันที่เว็บไซต์ "xyzzy" ผมสร้างกลุ่มผ่านคนของ xyzzy และกลุ่มเชื่อมโยงที่ฉันเพิ่งได้สร้างกลุ่มที่มีอยู่ที่ xyzzy. เป็นกรณีไม่. เราได้สร้างกลุ่มสำหรับไซต์ทั้งหมดจริง.
  • สมาชิกกลุ่มไม่แตกต่างกันไปตามไซต์ (อาทิ. มันจะเหมือนกันทุกที่กลุ่มนี้จะใช้): พิจารณากลุ่มคำ "เจ้า" และสองไซต์, "HR" และ "โลจิสติกส์". มันจะปกติคิดว่า บุคคลสองแยกจะเป็นเจ้าของเว็บไซต์เหล่านั้น — เจ้าของ HR และเจ้าของโลจิสติกส์. อินเทอร์เฟซสำหรับผู้ใช้ทำให้ง่ายสำหรับผู้ดูแลระบบรักษาความปลอดภัยเพื่อ mishandle สถานการณ์นี้. ถ้าฉันไม่ได้รู้ดี, ฉันเข้าถึงการเชื่อมโยงคนและกลุ่มผ่านไซต์ HR, เลือกเจ้าของ"" กลุ่ม และเพิ่มเจ้าของฉันชั่วโมงกลุ่ม. หนึ่งเดือนต่อมา, โลจิสติกส์ที่มาบนบรรทัด. ฉันเข้าถึงประชาชนและกลุ่มจากเว็บไซต์โลจิสติกส์, เพิ่มดึงขึ้นมาเจ้า"" กลุ่ม. ผมเห็นเจ้าของ HR มี และเอาเธอ, คิดว่า ผมกำลังเอาเธอจากเจ้าของเว็บไซต์โลจิสติกส์. อันที่จริง, ผมกำลังเอาเธอจากกลุ่มเจ้าของโลก. Hilarity การ์ตูน.
  • เสียชื่อกลุ่มตามบทบาทเฉพาะ: อนุมัติ"" กลุ่มเป็นตัวอย่างที่สมบูรณ์แบบ. สิ่งที่สามารถสมาชิกของกลุ่มการอนุมัตินี้? ซึ่งสามารถที่อนุมัติหรือไม่? ฉันจริง ๆ ต้องคนแผนกโลจิสติกส์เพื่อให้สามารถอนุมัติเอกสาร HR? ไม่แน่นอน. ชื่อกลุ่มตามบทบาทของตนในองค์กรเสมอ. นี้จะช่วยลดความเสี่ยงที่กลุ่มกำหนดระดับการอนุญาตที่ไม่เหมาะสมสำหรับวัตถุที่กำหนดสิทธิ์ได้เฉพาะ. ชื่อกลุ่มตามบทบาทของตนกำหนดไว้. ในสถานการณ์ก่อนหน้านี้ HR/โล จิสติกส์, ฉันควรสร้างกลุ่มใหม่สอง: "เจ้าของ HR" และ "เจ้าของโลจิสติกส์" และกำหนดระดับของสิทธิ์ที่เหมาะสมสำหรับแต่ละรายการและยอดเงินต่ำสุดที่จำเป็นสำหรับผู้ใช้การทำงานของพวกเขา.

อ้างอิงที่เป็นประโยชน์อื่น ๆ:

ถ้าคุณได้ทำเรื่องนี้ไกล:

กรุณาแจ้งให้เราทราบว่าความคิดของคุณผ่านข้อคิดเห็น หรือส่ง. ถ้าคุณทราบอ้างอิงอื่น ๆ ดี, กรุณาทำอย่างเดียว!

แท็กของ Technorati: