GÜNCELLEŞTİRME 11/03/08: Mükemmel ve detaylı açıklamayı okuyun. Dessie'nin Lunsford Bu yazı için.

Gizli teknoloji düzenleme projesi için bir yukarı gelen kitap üzerinde çalışıyorum ve başvurduğu Tyler Butler tarafından MSDN ECM blog bu blog giriş. Şahsen sınırlı erişim anlamını net bir tanımı okuyun ilk kez bu. İşte et tanımı:

SharePoint'te, anonim kullanıcılar’ hakları sınırlı erişim izin düzeyi tarafından belirlenir.. Bir kullanıcıya atanamaz veya doğrudan grup özel izin düzeyi sınırlı erişimi olan. Bir kitaplık veya alt site varsa bu izinleri devralmayı bozuk var sebebi, ve sadece o kitaplığın/alt siteye kullanıcı/grup erişimi vermek, içeriğini görüntülemek için, Kullanıcı/Grup bazı kök web erişimi olmalıdır. Aksi takdirde kullanıcı/grup-ecek var olmak yapamaz-e doğru kitaplığı/alt site gözatmak için, Onlar orada hakları olmasına rağmen, Çünkü kök Web sitede veya kitaplıkta işlemek için gereken şeyler vardır. Bu nedenle, bir grup izinleri yalnızca bir alt siteyi veya kitaplık izinleri devralmayı kesiliyor verdiğinde, SharePoint otomatik olarak o grubun veya kullanıcının Kök Web için sınırlı erişim verir.

Bu soru zaman zaman MSDN forumlarında gelir ve her zaman merak etmişimdir (Ama bu bugün önce anlamaya yeterli merak etmiyor :)).

</sonunda>

Benim blog abone.

Heyecan beni izleyin http://www.twitter.com/pagalvin

Sosyal bilgisayar ile SharePoint almaya başlayan bir oturum açma, Sitem türü sorular artan sayıda görmek. Bir ortak soru böyle devam ediyor:

"Ben bir yönetici ve her Sitem erişmek gerekir. Nasıl iş??"

Püf her Sitem kendi site koleksiyonu olduğunu. SharePoint güvenlik normalde site koleksiyonu düzeyinde yönetilir ve bu kadar çok bir SharePoint yöneticisi geziler. Normalde, zaten "ana bir güvenlik erişim vardı" site koleksiyonları ve bu otomatik olarak Sitelerim için işe yaramazsa fark olabilir.

Site koleksiyonlarını, toplu olarak büyük bir konteyner içinde yaşamak, web uygulama hangisi. Çiftlik yöneticileri güvenlik web uygulaması düzeyinde yapılandırabilirsiniz ve bu nasıl yöneticileri kendilerini herhangi bir site koleksiyonu web uygulamasında erişim verebilirsiniz. Bu blog girişi bir web uygulama ilkeleri ile benim kişisel deneyimlerim açıklar. Kazara bir web uygulama ilkesi tanımlı: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web uygulama ilkeleri-ebilmek var olmak tehlikeli ve idareli kullanılmasını öneririz. Yerinizde olsam bir yönetici (Çok şükür ben değil), "SharePoint Web Uygulama Yöneticisi gibi bir şey adlı ayrı bir AD hesabı oluşturmak" ve o bir hesap ihtiyacı web uygulama güvenlik rolü vermek. Bu tür şeyler normal çiftlik admin veya tek tek site koleksiyonu yöneticileri için yapılandırmak değil. Web uygulama rolü herhangi bir alt düzey güvenlik ayarlarını geçersiz kılar çünkü olası sorunları gizleme eğiliminde olacaktır.

</sonunda>

Benim blog abone.

Heyecan beni izleyin http://www.twitter.com/pagalvin

GÜNCELLEŞTİRME (02/29/08): Bu yeni codeplex projesi tek tek sütunların güvenliğini sağlamak için bir yöntem sağlamak gibi görünüyor.: http://www.codeplex.com/SPListDisplaySetting. Bu modülle çalışmanın herhangi bir deneyiminiz varsa, yorum lütfen.

Forum poster, sık sık böyle bir soru sormak: "Ben bir Yöneticisi görünümü var ve ve personel listesinin bir görünümü yer bir. Böylece personel kullanabilirsiniz değil nasıl Yöneticisi görünümünü güvenli?"

Onlar da sık sık ilgili bir soru sorabilir: "Diğerleri bile göremeyebilirsiniz iken ancak yöneticiler bu sütunu düzenleyebilirsiniz böylece belirli meta veriler sütun güvenli istiyorum."

Bu cevaplar için her iki WSS uygulamak 3.0 ve yosun:

• SharePoint sayısı sağlamak için out-of--box destek sağlamaz.
• SharePoint güvenlik sütunlar için out-of--box destek sağlamaz.

Orada çeşitli teknikler bir bu tür güvenlik gereksinimlerini karşılamak için takip edebilirsiniz. İşte aklıma gelen:

• Out-of--box öğe düzeyinde güvenlik kullanın. Sayısı her zaman öğe düzeyi güvenlik yapılandırması onur. Olay alıcıları ve/veya iş akışı güvenlik atamasını otomatik hale getirebilirsiniz.
• "Ayrıcalıklı kişisel görünümleri kullanmak" Görünümler. Bunlar kurmak kolay.. Ancak, "kişisel" Doğa, Bunlar her kullanıcı için yapılandırılması gereken. Başkasının kişisel bir görünüm oluşturmasını engellemek için standart güvenlik yapılandırmasını kullan.
• Veri Görünümü web bölümü kullanın ve bir çeşit AJAXy güvenlik düzeltme çözümü uygulamak.
• Kendi liste görüntüleme işlevleri rulo ve sütun düzeyinde güvenlik düzeltme dahil.
• Veri girişi formları değiştirebilir ve sütun düzey güvenlik düzeltme uygulamak için güvenlik modeli ile birlikte JavaScript kullanın.
• Veri girişi için bir InfoPath formu kullanın. Sütun-düzey güvenlik düzeltme yoluyla web hizmeti çağrıları için SharePoint ve koşullu olarak gizleme alanları gerektiği gibi uygulamak.
• Sütun düzey güvenlik düzeltme uygulayan kendi ASP.NET veri girişi işlev rulo.

Bu seçeneklerden hiçbiri gerçekten harika, Ama istersen izlemek için en az bir yol, zor da olsa.

NOT: Eğer herhangi bir bu yollar aşağı gitmek, "eylemler hakkında - unutma> Windows Explorer ile Aç". Emin olmak için bir "arka kapı çalışmıyor emin olmak için bu özelliği ile test istiyorum" ve güvenlik planınız yenilgi.

Eğer sen-si olmak diğer fikirler için veya sütunları veya görünümler güvenliğini sağlama ile deneyimler, Lütfen bana e-posta ya da bir yorum bırakın ve ben uygun olarak bu posta güncelleriz.

</sonunda>

Benim blog abone.

GÜNCELLEŞTİRME: Burada MSDN için bu soruyu gönderdi. (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) ve Michael Washam Microsoft kısa bir cevap ile cevap verdi..

Bir web hizmeti olarak hareket için oluşturulan bir İVB dostu cephe bir SharePoint listesine. Ne zaman ı kullanılmış bu benim geliştirme ortamından, o amele para cezası. Ne zaman bu yeni sunucuya geçirilir., Bu hata ile karşılaştı.:

İşte çizgi 69:

kullanma (SPSite site yeni SPSite =("http://localhost/sandbox"))

URL üzerinde farklı varyasyonlar denedi., sunucunun gerçek adını kullanarak dahil, IP adresini, URL üzerinde sondaki eğik çizgi, vb. Ben her zaman bu hata var.

I kullanılmış Google Bu araştırma için. Bir sürü insan bu sorunu yüz, ya da o varyasyonları, Ama hiç kimse bunu çözdü gibi görünüyordu.

Üçkâğıtçı MOSS sağlanan ayrıntılı bir hata onu kontrol etmek aklıma gelmedi 12 kovan günlükleri. Sonunda, hakkında 24 saat sonra benim meslektaşım Ben bunu tavsiye, I ekose desenli 12 günlük yığını ve bunu buldum:

Yerel grupta elde bir özel durum oluştu:
System.Security.SecurityException: İstenen kayıt defteri erişim izin verilmez.
System.ThrowHelper.ThrowSecurityException(ExceptionResource kaynak) Microsoft.Win32.RegistryKey.OpenSubKey(Dize adı, Boolean yazılabilir) Microsoft.Win32.RegistryKey.OpenSubKey(Dize adı) Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& çiftlik, Boole değeri& isJoined)
Başarısız derlemenin bölgesi:  Bilgisayarım

Bu kadar araştırma yeni yollar açtı, Google'a geri öyleydi. Bu beni buna yol açan forum sonrası: http://forums.codecharge.com/posts.php?post_id 67135 =. Bu gerçekten bana yardım etmedi ama bir veritabanı ve/veya güvenlik sorunu olduğunu düşünmeme sebep başladı. Ben soldiered ve Andrew Connell'ın uygulama havuzunun kimliği hesabı veritabanına uygun erişimi vardı emin olmanız gerekir düşünce nihayet harekete geçirilen posta. Zaten yaptığını sandım. Ancak, arkadaşım gitti ve SQL için uygulama havuzu kimliği hesabı tam erişim verdi.

Bu değişiklik yaptığı gibi, Her şey çalışmaya başladı.

Sonra ne olduğunu en iyi olarak ifade edilen bir Haiku şiir:

Sorunları kendi el kaldırsın.
Eğer swing ve Bayan. Yeniden Deneyin.
Başarı! Ama nasıl? Neden?

İşler böyle yalnız bırakmak istemedi., minimum gerekli izni vermek için tercih (ve muhtemelen-göz ile bir blog girdisi yazma; Ona yumruk yendi, muhahahahaha!).

O uygulama havuzu kimliği hesabı kadar art arda gelen izinler kaldırıldı … vardı artık uygulama havuzu kimliği hesabı için açık herhangi bir izni hiç. Sorun çıkmaması web hizmeti devam.

Biz gittik ve sunucuları yeniden. Her şey iyi iş gibi devam etti.

Yani, Recap için: uygulama havuzu kimliği tam erişim verdi ve sonra götürdü. Web hizmeti çalışmaya başladı ve asla çalışmayı durdurdu. Tuhaf.

Herkes neden bu işe biliyorsa, yorum lütfen.

</sonunda>

InfoPath formu için bir güvenlik gereksinimi bugün karşılamak için gerekli. Bu iş durumda, bireyler nispeten az sayıda yeni bir InfoPath form oluşturmasına izin verilir ve daha geniş bir kitleye düzenlemek için izin verilir. (Bu iş akışını başlatan insan kaynakları tarafından kullanılan yeni Kiralık yatılı olarak biçimidir).

Amacı karşılamak için, Oluşturulan iki yeni izin düzeyleri hazırlandı ("oluşturma ve güncelleştirme" ve "sadece güncelleştirmek"), form kitaplığı için devralmayı kırdı ve izinleri atanmış "create a, güncelleştirme" güncelleştirmek"sadece kullanıcı ve ayrı bir" kullanıcı. Mekanik tüm çalıştı, Ama beklediğimden biraz daha ilgili olduğu ortaya çıktı. (Eğer SharePoint izinlerini biraz keyifsiz hissediyorum, Bu blog posta atın). İzin düzeyi için gerekli güvenlik yapılandırması açık parçalı izinler kümesi değildi. Yalnızca izin düzeyi için bir InfoPath formu oluşturmak için, Birini yaptım.:

1. Yeni izin düzeyi oluşturma.
2. Uzakta tüm seçenekleri temizleyin.
3. Yalnızca aşağıdaki "Liste izinleri" dan seçilmiş:

• Öğeleri düzenleme
• Öğeleri görüntüleme
• Uygulama sayfaları görüntüleme

Bu seçenekleri seçerek, bir formu güncelleştirmek kullanıcının izin verir, Ancak bu oluşturmaz.

"Uygulama sayfalarını görüntüle" etkinleştirmek için was belgili tanımlık hüner. Yalnızca InfoPath formları için gerekli gösterir izin düzeyi herhangi bir verbage değil, Ama o.

Oluşturma ve güncelleştirme bile yabancı. Aynı adımları takip, 1 aracılığıyla 3 yukarıda. Özellikle bir "Site izin eklemek zorunda kaldılar" seçenek: "İstemci tümleştirme özelliklerini kullanmak". Tekrar, Açıklama orada sanki bir InfoPath formu için gerekli olması gerektiği gibi yapmaz, Ama böyle işte.

</sonunda>

GÜNCELLEŞTİRME 01/28/08: Bu codeplex projesi bu sorunu ele almaktadır.: http://www.codeplex.com/AccessChecker. Bunu kullanmadıysanız, Ama bu, ortamınızda ilgilenmeniz gereken bir sorun ise bu umut verici görünüyor..

GÜNCELLEŞTİRME 11/13/08: Joel Oleson kadar çok iyi bir mesaj daha büyük güvenlik yönetimi konusunda burada yazdı.: http://www.sharepointjoel.com/Lists/Posts/Post.aspx?Liste 0cd1a63d % 2D183c % -4fc2 2 D &NO 113 =. Diğer yararlı kaynaklar bir dizi için Linkler.

Forum kullanıcıları ve istemciler genellikle bu satırlar boyunca bir soru sorabilir: "Nasıl ben bir siteye erişimi olan tüm kullanıcıların listesini yapmak oluşturmak" ya da "nasıl ben otomatik olarak tüm kullanıcılar listesine listeye yapılan değişiklikler hakkında uyarabilir?"

Çıkış kutusu çözüm bunun için yok. Eğer biraz düşünürsen, Bu yüzden anlamak zor değil.

SharePoint Güvenlik oldukça esnektir. Kullanıcılar en az dört büyük kategoriye ayrılır:

• Anonim kullanıcılar.
• SharePoint kullanıcıları ve grupları.
• Active Directory Kullanıcıları.
• Form tabanlı kimlik doğrulaması (FBA) kullanıcılar.

Güvenlik açısından anlamına gelir esnekliği, verilen herhangi bir SharePoint sitesinin birbirinden büyük ölçüde farklı olacaktır. Bir erişim listesi raporu oluşturmak için, bir site güvenliğinin nasıl sağlanacağını tespit gerekiyor, birden çok farklı kullanıcı profili depoları sorgulamak ve sonra yararlı bir biçimde sunmak. Bu genel olarak çözmek için sabit bir sorun.

Nasıl kuruluşların bununla ilgileniyor? Senden yorum duymak istiyorum veya E-posta.

</sonunda>

GÜNCELLEŞTİRME 12/18/07: Kaldırma veya değiştirme varsayılan grup adları bazı teknik sonuçlar Paul Liebrand'ın makalesine bakın (onun yorum de görmek).

Genel bakış:

SharePoint güvenliğini yapılandırmak ve yönetmek kolaydır. Ancak, Bu gerçekten ellerini etrafında sarmak bazı ilk Yöneticiler için zor olduğu ispatlanmıştır. Sadece bu değil, Bazı yöneticiler en aradan geçen zaman içinde herhangi bir yapılandırmaya gerek yoktu çünkü sadece Cuma günü kaybetmiş Pazartesi günü mükemmel bir anlayış gelmek gördün mü. (Kendimi having bu problem için kabul ediyorum.). Bu blog girişi Umarım yararlı bir SharePoint güvenlik astar sağlar ve bazı güvenlik yapılandırma en iyi yöntemler doğru puan.

Önemli Not:

Bu açıklama kutudan SharePoint güvenlik temel alır. Olabilir yüzden bazı MOSS belirli şeyler burada benim kişisel deneyim MOSS odaklı, Ama WSS için doğru olduğuna inanıyorum. Umarım kimse herhangi bir hata veya eksikliklerden görmek bu açıklamalarda gösterebilir misiniz ki veya bana e-posta. Ben acele sonrası düzeltmeler yapacağız.

Temelleri:

Bu genel amaçlar için, Güvenlik için dört temel yönleri vardır.: Kullanıcılar/Gruplar, güvenlik altına alınabilir nesnelerin, izin düzeyleri ve miras.

Kullanıcılar ve gruplar aşağı kesme:

• Bireysel kullanıcılar: Dizin veya doğrudan SharePoint oluşturulan etkin durumundan çekti.
• Grupları: Eşlenen doğrudan active Directory'den veya oluşturulan SharePoint. Gruplar Kullanıcılar topluluğu vardır. Grupları bir site koleksiyonunda geneldir. Asla "bağlılar" belirli bir güvenilir nesne için.

Güvenlik altına alınabilir nesnelerin kırmak için en az:

• Siteleri
• Belge kitaplıkları
• Öğeleri liste ve belge kitaplıkları
• Klasörler
• Çeşitli bdc ayarları.

Orada diğer güvenilir nesneler, ama resmi olsun.

İzin düzeyleri: Parçalı bohça / oluşturma/okuma/silme girişleri listelerinde olabilir düşük düzey erişim hakları.

Devralma: Varsayılan varlıklar tarafından güvenlik ayarlarını içeren kendi nesneden devralır.. Alt siteler izin onların ana öğeden devral.. Belge kitaplıkları kendi sitesinden devral. Benzeri ve benzeri.

Kullanıcı ve grup güvenlik altına alınabilir nesnelerin izin düzeyleri devralma yoluyla ilgili.

Anlamak için en önemli güvenlik kuralları, Hiç 🙂 :

1. Gruplarıdır sadece kullanıcıları topluluğu.
2. Site koleksiyonundaki genel gruplar (Yani. site düzeyinde tanımlanan Grup olarak böyle bir şey yok).
3. Grup adı değil dayanıklı, Grup yok, içinde ve kendilerini, belirli herhangi bir güvenlik düzeyine sahip.
4. Gruplarınız güvenlik belirli bir güvenilir nesne bağlamında.
5. Aynı gruba her güvenilir nesne için farklı izin düzeyleri atayabilirsiniz..
6. Web uygulama ilkeleri tüm bu koz (aşağıya bakınız).

Grup ve kullanıcı listelerinin bir deniz kayıp güvenlik yöneticileri güvenlik yapılandırmalarını anlamak ve yönetmek için bu aksiyomları her zaman güvenebilirsiniz.

Ortak tuzaklar:

• Grup adları, sahte izni taleplerini onayladığı anlamına: Kutunun dışında, SharePoint gruplarını doğal bir güvenlik düzeyi adları ima tanımlar. "Katılımcı" Grup düşünün. SharePoint güvenlik ile yabancı bir de bu isme bak ve o grubunun herhangi bir üyesi "katkıda bulunabilir olduğunu varsayalım" herhangi bir site/liste/kitaplığı için Portal. Doğru olabilir ama grubun adını "katılımcı" değil çünkü. Grup Ekle/Düzenle/Sil içeriğe kök sitesinde olanak tanıyan bir izin düzeyi sağlanan çünkü bu sadece kutudan doğrudur. Devralma yoluyla, "yazarlar" Grup Ayrıca, her alt site Ekle/Düzenle/Sil içerik olabilir. Bir "zarar verebilir" Böyle bir alt_site izin düzeyini değiştirme ve miras zincirinin bu sözde "katılımcı üye" Grup hiç katkıda bulunamaz, ama salt okunur (Örneğin). Bu iyi bir fikir olmaz, Açıkçası, çünkü o-cekti var olmak çok kafa karıştırıcı.
• Gruplar bir site düzeyinde tanımlı değil. Kullanıcı arabirimi tarafından karışık kolaydır. Microsoft her sitenin "kişi ve grupları yoluyla kullanıcı/grup yönetim uygun bir bağlantı sağlar" bağlantı. Site "xyzzy olduğum zaman inanmak kolaydır" ve xyzzy's insanlar aracılığıyla bir grup oluşturun ve gruplar sadece xyzzy yalnızca bulunan bir grubunu oluşturduğunuz bağlantı. Durum böyle değil. Ben aslında tüm site koleksiyonu için bir grup oluşturduk.
• Grup üyeliği sitede değişiklik (Yani. Bu grup kullanılan her yerde aynıdır): "Sahip grubunu düşünün" ve iki site, "HR" ve "Lojistik". İki ayrı bireyler bu siteler kendi düşünüyorum normal — bir İK sahibi ve lojistik sahibi. Belgili tanımlık kullanıcı arayüzey geçici o basit için bu senaryo mishandle için Güvenlik Yöneticisi. Eğer ben bilmeseydim, Kişiler ve gruplar bağlantıları İK sitesi üzerinden erişebilir., "sahipleri seçin" Grup ve benim İK sahibi bu gruba ekle. Bir ay sonra, Lojistik hattı üzerinde gelir. Kişiler ve gruplar lojistik sitesinden erişmek, "sahipleri yetişmek ekleme" Grup. İK sahibi orada görmek ve onu kaldırmak, Lojistik alanında sahiplerinden onu çıkarıyorum düşünme. Aslında, Onu genel sahipleri gruptan çıkarıyorum. Neşe ensues.
• Adı grupları belirli rolüne göre başarısız: "Onaylayanlar" Grup mükemmel bir örnektir. Ne bu grup Onayla üyeleri aşağıdakileri gerçekleştirebilir? Nerede onlar onaylayabilirsiniz? İK belgeleri onaylamak için insanlar Lojistik Departmanı istediğinizden emin misiniz? Tabii ki değil. Her zaman kendi rolünü kuruluş içindeki temel alan adı grupları. Bu grubun belirli bir güvenilir nesne için bir uygun olmayan izin düzeyi atanır riski azaltır. Onların hedeflenen rolüne göre adı grupları. Önceki İK/lojistik senaryoda, İki yeni grup oluşturmuş olmanız: "hr sahipleri" ve "lojistik sahipleri" ve her mantıklı izin düzeyleri ve kullanıcıların işlerini yapmak gerekli en az atama.

Diğer faydalı referanslar:

• Web uygulama ilkesi yakaladım'ın: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Clearinghouse'a SharePoint güvenlik: http://www.sharepointsecurity.com/
• Joel Oleson bağlantıları: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Eğer bu yaptığınız çok:

Bana düşüncelerinizi yorum yoluyla bildirin veya bana e-posta lütfen. Diğer iyi referansları biliyorsanız, Lütfen aynı şeyi!