Mga Archive ng kategorya: SharePoint Security

"Access denied” sa Default.aspx sa isang SharePoint 2010 Sub Site

Isa ng aking mga kliyente na nagpunta live na sa kanilang SharePoint 2010 kapaligiran ngayon.  Natuklasan namin na ang isang tiyak na grupo ng mga gumagamit ay hindi maaaring ma-access ang kanilang mga default na home page.  SharePoint ay tumugon sa "Access Tinanggihan" at ang karaniwang "sign in bilang ibang gumagamit" o "kahilingan access" na tugon. 

Kapag ginamit namin ang nakakatawang "Check Access" na function na ito ay nakumpirma na ang mga end user talagang may access.  Pa, hindi sila makakuha ng sa pahina ng.

Sinundan ko ng maraming ng mga kalsada sa iba't ibang mga patay dulo hanggang sa napagpasyahan ko upang ihambing ang mga bahagi ng web sa sirang pahina laban sa isang katulad na nagtatrabaho pahina.  Ko na sa pamamagitan ng paglagay sa pahina sa maintenance mode sa pamamagitan ng pagdaragdag "?nilalaman = 1 "sa pahina. Kaya, ito ay tumingin tulad ng "http://server / subsite / subsite / default.aspx?nilalaman = 1 ". 

Ito nagpakita sa akin ang dalawang bahagi ng web na pinangalanang "Error" na may isang paglalarawan tulad ng "Error" sa sirang pahina.  Hindi ko tingin sa isang screen cap sa oras.

Inalis ko sa kanila at na malutas ang problema.

Nakita ko na ng isang katanungan tulad nito na dumating sa ang forum sa nakaraan at ako ay lubos na may pag-aalinlangan tungkol sa paggigiit ng poster na siya ay seguridad-set up nang maayos.  Ko * alam * ko ay seguridad-set up ang karapatan ngiti  Susunod na, Kukunin ko na maging mas bukas at mas may pag-aalinlangan.

</dulo>

Mag-subscribe sa aking blog.

Sundin ako sa Twitter sa http://www.twitter.com/pagalvin

Gamitin ang daloy ng trabaho sa Gayahin Nilalaman Uri ng Security

Isa pang araw, isa pang MSDN-inspirasyon sa mga forum post.

May isang tao ay nagtatanong kung sila ay maaaring secure ang isang uri ng nilalaman tulad na kapag nag-click sa "bagong" na button sa isang pasadyang listahan, lamang ang mga uri ng nilalaman na kung saan ang taong iyon ay nabigyan ng access na nais na lumitaw sa drop-down na listahan.  Tulad ng alam namin, ito ay hindi suportado sa labas ng kahon.

Ang katanungan na ito ay up ngayon at pagkatapos at oras na ito, Ako ay nagkaroon ng isang bagong ideya.  Ipagpalagay nating mayroon kaming sitwasyong ganito:

  • Mayroon kaming isang helpdesk ticketing system ng.
  • Ang sistema ng helpdesk ticketing nagbibigay-daan sa mga gumagamit upang ipasok ang regular helpdesk ticket info, tulad ng mga problema sa lugar, problema katayuan, at iba pa.
  • Gusto naming payagan ang "sobrang" mga gumagamit upang tukuyin ang isang "pangangailangan ng madaliang pagkilos" field.
  • Iba pang mga gumagamit ay hindi magkaroon ng access sa patlang na iyon.  Ang sistema ay palaging magtalaga ng "medium" antas ng priority sa kanilang mga kahilingan.

Ano ang maaari naming gawin ay lumikha ng dalawang magkahiwalay na mga listahan ng SharePoint at dalawang magkaibang mga uri ng nilalaman, isa para sa "sobrang" user at ang iba pang para sa lahat.

Daloy ng trabaho sa bawat listahan kinokopya ang data sa listahan ng master (ang aktwal na helpdesk ticket listahan) at ang proseso naaayos mula doon.

Diskarte na ito ay maaaring gumana dumaloy isang uri ng haligi na antas ng seguridad rin. 

Hindi ko pa sinubukan ito, ngunit ito nararamdaman makatwirang at nagbibigay ng isang medyo simple, kung medyo magaspang, pagpipilian upang ipatupad ang uri ng nilalaman na uri at kahit haligi antas ng seguridad.

</dulo>

Mag-subscribe sa aking blog.

Sundin ako sa Twitter sa http://www.twitter.com/pagalvin

Approval ng nilalaman bilang Awtomatikong Security Item Mahina Man ng Antas

Mayroong isang karaniwang sitwasyon ng negosyo na may mga form InfoPath.  Gusto naming payagan ang mga tao upang punan ang mga form InfoPath at isumite ang mga ito sa isang library.  Gusto naming mangers (at walang ibang tao) upang magkaroon ng access sa mga form.

Ang katanungan na ito ay up ngayon at pagkatapos ay sa mga form (e.g. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

Ang isang mabilis na paraan upang malutas ito ay upang paganahin ang pag-apruba ng nilalaman sa library form.  Pumunta setting bersyon ng library at i-set up ito tulad ng ipinapakita:

image 

Mag-click sa "Hilingin ang pag-apruba ng nilalaman" at na magbibigay-daan sa iyo upang pumili ng isang halaga para sa Draft Item Security.

Ito ay isang maliit na counter-intuitive dahil hindi namin iniisip sa mga tuntunin ng "apruba ng nilalaman" kapag ang lahat ng gusto naming gawin ay pigilan ang mga tao na makita ang iba pang mga gumagamit 'mga form.  Gayunman, ito ay mahusay na gumagana (sa aking karanasan).  Lang huwag aprubahan ang mga forms at ang mga ito ay palaging ituring na "draft". 

Bigyan ang mga karapatan pag-apruba sa mga tao kung sino ang dapat ma-makita ang mga ito at na iyong isinara ang loop.

Ito ay hindi eksakto malaking balita, ngunit ang tanong ay dumating up na may ilang mga kaayusan, kaya naisip ko na magiging nagkakahalaga ng pag-post.

</dulo>

Mag-subscribe sa aking blog.

Sundin ako sa Twitter sa http://www.twitter.com/pagalvin

Ano ang Limited Access Pa Rin?

I-UPDATE 11/03/08: Maging sigurado na basahin ang mga mahuhusay at detalyadong mga komento mula sa Dessie Lunsford sa post na ito.

Ako pinagsusumikapan ng isang lihim na tech na pag-edit ng proyekto para sa isang up-darating na libro at ito mga sanggunian ang blog na ito sa pamamagitan ng entry Tyler Butler sa MSDN ECM blog. This is the first time I personally read a clear definition of the meaning of Limited Access. Here’s the meat of the definition:

Sa SharePoint, anonymous user’ karapatan ay natutukoy sa pamamagitan ng antas Limited Access pahintulot. Limitadong Access ay isang espesyal na antas ng pahintulot na hindi maaaring italaga sa isang gumagamit o grupo nang direkta. Ang dahilan kung bakit umiiral na ito ay dahil sa kung mayroon kang isang library o subsite na pinaghiwa pahintulot inheritance, at bibigyan ka ng isang user / group ng access sa lamang na library / subsite, upang tingnan ang mga nilalaman nito, ang user / group ay dapat magkaroon ng ilang mga pag-access sa web ugat. Kung hindi man ang user / group ay hindi magagawang i-browse ang library / subsite, kahit na mayroon silang karapatan doon, dahil may mga bagay sa web na ugat ay kailangan upang i-render ang site o library. Samakatwid, kapag magbibigay sa iyo ng pahintulot na pangkat lamang sa isang subsite o library na paghiwa-hiwalayin ang mga pahintulot inheritance, SharePoint awtomatikong magbibigay Limited Access sa pangkat na iyon o user sa web ugat.

Ang katanungan na ito ay up ngayon at pagkatapos ay sa MSDN forums at palagi ko pa mausisa (ngunit hindi kataka-taka sapat upang malaman ito bago ngayon :)).

</dulo>

Mag-subscribe sa aking blog.

Sundin ako sa Twitter sa http://www.twitter.com/pagalvin

Technorati Tags:

Quick Tip: I-configure ang Security sa Payagan ang mga Admin na I-access ang anumang Aking Site sa SharePoint

Sa isang senyas na ang Social compute ay nagsisimula na kumuha ng off sa SharePoint, I see an increased number of My Site type questions. One common question goes something like this:

"I am an administrator and I need to be able to access every My Site. How do I do that?"

The trick here is that each My Site is its own site collection. SharePoint security is normally administered at the site collection level and this trips up many a SharePoint administrator. Normal, she already has access to configure security in the "main" site collections and may not realize that this doesn’t automatically work for My Sites.

Site collections collectively live inside a larger container, which is the web application. Farm admins can can configure security at the web app level and this is how admins can grant themselves access to any site collection in the web application. This blog entry describes one of my personal experiences with web application policies. I defined a web application policy by accident: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web application policies can be dangerous and I suggest that they be used sparingly. If I were an admin (and thank goodness I am not), I would create a separate AD account named something like "SharePoint Web App Administrator" and give that one account the web application security role it needs. I would not configure this kind of thing for the regular farm admin or individual site collection admins. It will tend to hide potential problems because the web app role overrides any lower level security settings.

</dulo>

Mag-subscribe sa aking blog.

Sundin ako sa Twitter sa http://www.twitter.com/pagalvin

Technorati Tags: ,

Pananaw at Mga Hanay sa Mga Listahan ng Dokumento at Mga Aklatan Hindi Ma-secure

I-UPDATE (02/29/08): Ang bagong proyekto codeplex tila na magbigay ng isang pamamaraan para sa pag-secure ng mga indibidwal na mga haligi: http://www.codeplex.com/SPListDisplaySetting. If you have any experience working with it, mangyaring mag-iwan ng komento.

Forum ng poster madalas magtanong ganito: "I have a manager view and and a staff view of a list. How do I secure the manager view so that staff can not use it?"

Sila din ang mga madalas itanong sa isang kaugnay na katanungan: "I want to secure a specific metadata column so that only managers may edit that column while others may not even see it."

These answers apply to both WSS 3.0 at Moss:

  • SharePoint ay hindi nagbibigay ng mga out-of-the-box na suporta para sa pag-secure ng mga tanawin.
  • SharePoint ay hindi nagbibigay ng mga out-of-the-box na suporta para sa mga haligi ng seguridad.

There are several techniques one can follow to meet these kinds of security requirements. Here’s what I can think of:

  • Use out-of-the-box item level security. Views always honor item level security configuration. Event receivers and/or workflow can automate security assignment.
  • Use personal views for "privileged" mga tanawin. These are easy enough to set up. Gayunman, due to their "personal" kalikasan, these need to be configured for each user. Use standard security configuration to prevent anyone else from creating a personal view.
  • Gumamit ng view ng data na bahagi ng web at ipatupad ang ilang mga uri ng AJAXy solusyon seguridad pinaggupitan.
  • Roll ang iyong sariling listahan display andar at isama ang seguridad pagbabawas sa antas ng haligi.
  • Baguhin ang anyo ng data entry at gamitin JavaScript sa pagsama ng mga modelo ng seguridad na ipapatupad haligi sa antas ng seguridad pinaggupitan.
  • Use an InfoPath form for data entry. Implement column-level security trimming via web service calls to SharePoint and conditionally hide fields as needed.
  • Roll ang iyong sariling ASP.NET data entry function na ipinapatupad ng haligi antas ng seguridad pinaggupitan.

Wala sa mga pagpipilian ay talagang mahusay na, ngunit mayroong hindi bababa sa isang landas sa sundin kung kailangan mong, kahit na mahirap.

Tandaan: Kung kang pumunta down na ng anuman sa mga path, don’t forget about "Actions -> Open with Windows Explorer". You want to be sure that you test with that feature to make sure that it doesn’t work as a "back door" at talunin ang iyong seguridad scheme.

Kung mayroon kang iba pang mga ideya para sa o mga karanasan sa pag-secure ng mga haligi o tanawin, pakiusap email sa akin o mag-iwan ng komento at kukunin ko na i-update ito sa pag-post bilang naaangkop.

</dulo>

Mag-subscribe sa aking blog.

Technorati Tags:

Solusyon: System.IO.FileNotFoundException sa “SPSite = bagong SPSite(url)”

I-UPDATE: I-post ang tanong na ito sa MSDN dito (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) and Michael Washam of Microsoft responded with a concise answer.

Lumikha ako ng serbisyo sa web upang kumilos bilang isang BDC-friendly harapan to a SharePoint list. When I used this from my development environment, ito ay nagtrabaho fine. Kailan ko migrate na ito sa isang bagong server, Nakatagpo ako ng error na ito:

System.IO.FileNotFoundException: Ang mga Web application sa http://localhost/sandbox ay hindi mahanap. Pinapatunayan na ikaw ay tama ang URL. Kung ang URL ay dapat na naghahain ng umiiral na nilalaman, ang system administrator ay maaaring kailangan upang magdagdag ng bagong kahilingan URL pagmamapa sa nilalayon application. sa Microsoft.SharePoint.SPSite .. ctor(SPFarm bukid, Uri requestUri, Boolean contextSite, SPUserToken userToken) sa Microsoft.SharePoint.SPSite .. ctor(String requestUrl) sa Conchango.xyzzy.GetExistingDocument(String minId, String maxId, String pamagat filter) sa C:\Documents and Settings Paul My Documents Visual Studio 2005 Proyekto xyzzy BDC_DocReview BDC_DocReview DocReviewFacade.asmx.cs:linya 69

Narito ang linya 69:

paggamit (SPSite site = bagong SPSite("http://localhost/sandbox"))

Sinubukan kong iba't-ibang mga pagkakaiba-iba sa mga URL, kabilang ang paggamit ng tunay na pangalan ng server, nito IP address, trailing slashes sa URL, at iba pa. I always got that error.

Ginamit ko Ang Google to research it. Lots of people face this issue, o mga pagkakaiba-iba ng mga ito, ngunit walang isa tila na ito malulutas.

Makisig Moss ibinigay tulad ng isang detalyadong error na hindi ito mangyayari sa akin upang suriin ang 12 hive logs. Eventually, tungkol sa 24 oras matapos aking kasamahan Inirerekumenda gagawin ko kaya, I-check out ang 12 kaharian ng mga laywan log at natagpuan na ito:

Exception naganap na error habang sinusubukang upang makuha ang mga lokal na bukid:
System.Security.SecurityException: Hiniling na registry access ay hindi pinapayagan.
sa System.ThrowHelper.ThrowSecurityException(ExceptionResource mapagkukunan) sa
(String pangalan, Boolean writable) sa
(String pangalan) sa
() sa
() sa
(SPFarm& bukid, Boolean& isJoined)
Ang Zone ng assembly na nabigo noon ay:  MyComputer

Ito ay nagbukas ng mga bagong avenues ng pananaliksik, kaya ito ay bumalik sa Ang Google. Na humantong sa akin na ito forum post: http://forums.codecharge.com / posts.php?post_id = 67,135. That didn’t really help me but it did start making me think there was a database and/or security issue. I soldiered on and Andrew Connell ni post finally triggered the thought that I should make sure that the application pool’s identity account had appropriate access to the database. I thought it already did. Gayunman, aking kasamahan nagpunta at ibinigay ang app na pool pagkakakilanlan account ganap na access sa SQL.

Sa sandali na siya ay ginawa ang pagbabagong iyon, everything started working.

Ano ang nangyari susunod ay pinakamahusay na ipinahiwatig bilang isang hayku tula:

Problema sa itaas ang kanilang mga kamay.
You swing and miss. Try again.
Tagumpay! But how? Bakit?

Hindi niya ay nais na mag-iwan mga bagay tulad ng nag-iisa na, preferring upang bigyan ang minimum na kinakailangang pahintulot (at marahil ay may isang mata sa pagsusulat ng isang blog entry; Matalo ko siya sa mga pamutas, muhahahahaha!).

Inalis niya ang sunud-sunod na pahintulot mula sa app account pool pagkakakilanlan hanggang sa … there was no longer any explicit permission for the app pool identity account at all. The web service continued to work just fine.

We went and rebooted the servers. Everything continued to work fine.

Kaya, sa paglalagom: we gave the app pool identity full access and then took it away. The web service started working and never stopped working. Bizarre.

Kung sinuman ang nakakaalam kung bakit na dapat nakapagtrabaho, mangyaring mag-iwan ng komento.

</dulo>

Technorati Tags:

Minimum na Kinakailangan Security Para sa InfoPath Form

I needed to meet a security requirement for an InfoPath form today. In this business situation, a relatively small number of individuals are allowed to create a new InfoPath form and a much wider audience are allowed to edit it. (This is new-hire on-boarding form used by Human Resources that launches a workflow).

To meet that objective, I created created two new permission levels ("create and update" and "update only"), broke inheritance for the form library and assigned permissions to a "create, update" user and a separate "update only" gumagamit. The mechanics all worked, but it turned out to be a little more involving than I expected. (If you feel a little shaky on SharePoint permissions, check out this blog post). The required security configuration for the permission level was not the obvious set of granular permissions. To create an update-only permission level for an InfoPath form, I did the following:

  1. Create a new permission level.
  2. Clear away all options.
  3. Selected only the following from "List permissions":
    • Edit Items
    • View Items
    • View Application Pages

Selecting these options allows a user to update a form, but not create it.

The trick was to enable the "View Application Pages". There isn’t any verbage on the permission level that indicates that’s required for update-only InfoPath forms, but turns out it is.

Create-and-Update was even stranger. I followed the same steps, 1 through 3 sa itaas. I had to specifically add a "Site Permission" option: "Use client integration features". Muli, the description there does not make it seem like it ought to be required for an InfoPath form, but there it is.

</dulo>

Technorati Tags: ,

SharePoint ba Hindi Magbigay ng “Sino May Access” Mga Ulat

I-UPDATE 01/28/08: Ito codeplex proyekto address ang isyu na ito: http://www.codeplex.com/AccessChecker. I have not used it, pero mukhang may pag-asa kung ito ay isang isyu na kailangan mong tugunan sa iyong environment.

I-UPDATE 11/13/08: Joel Oleson sinulat up ng isang napakagandang post sa mas malaking isyu sa seguridad ng pamamahala dito: http://www.sharepointjoel.com / Mga Listahan / Post / Post.aspx?List=0cd1a63d-183c-4fc2-8320-ba5369008acb&ID = 113. It links to a number of other useful resources.

Forum ng mga gumagamit at mga kliyente madalas magtanong kasama ang mga linyang ito: "How do I generate a list of all users with access to a site" or "How can I automatically alert all users with access to list about changes made to the list?"

There is no out of the box solution for this. If you think about it for a moment, ito ay hindi mahirap na maunawaan kung bakit.

SharePoint security is very flexible. There are at least four major categories of users:

  • Anonymous mga gumagamit.
  • SharePoint mga gumagamit at mga Grupo.
  • Active Directory mga gumagamit.
  • Forms Based Authentication (FBA) mga gumagamit.

Ang kakayahang umangkop ay nangangahulugan na mula sa isang pananaw sa seguridad, any given SharePoint site will be dramatically different from another. In order to generate an access list report, Kailangan ng isa upang alamin kung paano ang site ay secure, query multiple different user profile repositories and then present it in a useful fashion. That’s a hard problem to solve generically.

Paano kinakalkula ang mga organisasyon pagharap sa mga ito? I’d love to hear from you in comments or email.

</dulo>

SharePoint Security Fundamentals Unang / Iwasan ang mga karaniwang Pitfalls

I-UPDATE 12/18/07: Tingnan Paul Liebrand ng artikulo para sa ilang mga teknikal na mga kahihinatnan ng pag-alis o pagbabago ng default na pangalan ng grupo (tingnan ang kanyang mga komento sa ibaba pati na rin).

Pangkalahatang-ideya ng:

SharePoint security is easy to configure and manage. Gayunman, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Umamin ako sa pagkakaroon ng problemang ito sa aking sarili). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Mahalagang Paunawa:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or email sa akin. I’ll make corrections post haste.

Fundamentals:

Para sa mga layunin ng pangkalahatang-ideya na ito, mayroong apat na pangunahing mga aspeto upang seguridad: user / group, securable bagay, mga antas ng pahintulot at mana.

Mga gumagamit at mga Grupo masira sa:

  • Indibidwal na mga gumagamit: Nakuha mula sa mga aktibong direktoryo o nilikha nang direkta sa SharePoint.
  • Groups: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" sa isang tiyak na securable bagay.

Securable bagay masira sa hindi bababa sa:

  • Mga site
  • Dokumento library
  • Indibidwal na mga item sa listahan at dokumento aklatan
  • Folder
  • Iba't ibang mga setting ng BDC.

May iba pang mga bagay securable, ngunit makuha mo ang mga larawan.

Pahintulot ng mga antas: Ang isang bundle ng mga butil-butil / low level access rights that include such things as create/read/delete entries in lists.

Pamana: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Mga user at pangkat nauugnay sa securable bagay sa pamamagitan ng mga antas ng pahintulot at mana.

Ang Karamihan Mahalaga Security Panuntunan Upang Intindihin, Ever 🙂 :

  1. Groups ay mga simpleng mga koleksyon ng mga gumagamit.
  2. Groups ay global sa loob ng isang koleksyon site (i.e. walang ganoong bagay bilang isang grupo na tinukoy sa isang antas site).
  3. Ang pangalan ng grupo ay hindi withstanding, mga pangkat ay hindi, in at ng kanilang mga sarili, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. Maaari kang magtalaga ng iba't ibang mga antas ng pahintulot sa parehong group para sa bawat securable bagay.
  6. Web application patakaran tramp ang lahat ng ito (tingnan sa ibaba).

Seguridad ng mga administrator nawala sa isang dagat ng pangkat at mga listahan ng gumagamit ay maaaring laging umaasa sa mga axioms upang pamahalaan at maunawaan ang kanilang seguridad configuration.

Mga Karaniwang Pitfalls:

  • Grupo ng mga pangalan ng maling magpahiwatig pahintulot: Sa labas ng kahon sa, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" grupo ay hindi maaaring mag-ambag sa lahat, ngunit lamang basahin (halimbawa). This would not be a good idea, nang walang alinlangan, dahil magiging lubhang nakalilito.
  • Groups ay hindi natukoy sa isang antas site. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" link. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Grupo ng pagiging miyembro hindi nag-iiba ayon sa site (i.e. ito ay pareho sa lahat ng dako ang grupo ay ginamit): Consider the group "Owner" at dalawang mga site, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Maaari ko ma-access ang mga tao at mga Grupo sa pamamagitan ng mga link sa site HR, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. Sa katunayan, I’m removing her from the global Owners group. Hilarity ensues.
  • Bagsak upang pangalanan ang pangkat batay sa mga tiyak na papel: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Ang dapat kong nalikha dalawang bagong mga grupo: "HR Owners" and "Logistics Owners" at magtalaga ng makabuluhang mga antas ng pahintulot para sa bawat isa at ang minimum na halaga na kinakailangan para sa mga gumagamit na iyon upang gawin ang kanilang mga trabaho.

Iba pang kapaki-pakinabang na sanggunian:

Kung nagawa mo na ito ito malayo:

Please let me know your thoughts via the comments or email me. If you know other good references, mangyaring gawin ang parehong!

Technorati Tags: