GÜNCELLEŞTİRME 12/18/07: Kaldırma veya değiştirme varsayılan grup adları bazı teknik sonuçlar Paul Liebrand'ın makalesine bakın (onun yorum de görmek).
Genel bakış:
SharePoint güvenliğini yapılandırmak ve yönetmek kolaydır. Ancak, Bu gerçekten ellerini etrafında sarmak bazı ilk Yöneticiler için zor olduğu ispatlanmıştır. Sadece bu değil, Bazı yöneticiler en aradan geçen zaman içinde herhangi bir yapılandırmaya gerek yoktu çünkü sadece Cuma günü kaybetmiş Pazartesi günü mükemmel bir anlayış gelmek gördün mü. (Kendimi having bu problem için kabul ediyorum.). Bu blog girişi Umarım yararlı bir SharePoint güvenlik astar sağlar ve bazı güvenlik yapılandırma en iyi yöntemler doğru puan.
Önemli Not:
Bu açıklama kutudan SharePoint güvenlik temel alır. Olabilir yüzden bazı MOSS belirli şeyler burada benim kişisel deneyim MOSS odaklı, Ama WSS için doğru olduğuna inanıyorum. Umarım kimse herhangi bir hata veya eksikliklerden görmek bu açıklamalarda gösterebilir misiniz ki veya bana e-posta. Ben acele sonrası düzeltmeler yapacağız.
Temelleri:
Bu genel amaçlar için, Güvenlik için dört temel yönleri vardır.: Kullanıcılar/Gruplar, güvenlik altına alınabilir nesnelerin, izin düzeyleri ve miras.
Kullanıcılar ve gruplar aşağı kesme:
- Bireysel kullanıcılar: Dizin veya doğrudan SharePoint oluşturulan etkin durumundan çekti.
- Grupları: Eşlenen doğrudan active Directory'den veya oluşturulan SharePoint. Gruplar Kullanıcılar topluluğu vardır. Grupları bir site koleksiyonunda geneldir. Asla "bağlılar" belirli bir güvenilir nesne için.
Güvenlik altına alınabilir nesnelerin kırmak için en az:
- Siteleri
- Belge kitaplıkları
- Öğeleri liste ve belge kitaplıkları
- Klasörler
- Çeşitli bdc ayarları.
Orada diğer güvenilir nesneler, ama resmi olsun.
İzin düzeyleri: Parçalı bohça / oluşturma/okuma/silme girişleri listelerinde olabilir düşük düzey erişim hakları.
Devralma: Varsayılan varlıklar tarafından güvenlik ayarlarını içeren kendi nesneden devralır.. Alt siteler izin onların ana öğeden devral.. Belge kitaplıkları kendi sitesinden devral. Benzeri ve benzeri.
Kullanıcı ve grup güvenlik altına alınabilir nesnelerin izin düzeyleri devralma yoluyla ilgili.
Anlamak için en önemli güvenlik kuralları, Hiç 🙂 :
- Gruplarıdır sadece kullanıcıları topluluğu.
- Site koleksiyonundaki genel gruplar (Yani. site düzeyinde tanımlanan Grup olarak böyle bir şey yok).
- Grup adı değil dayanıklı, Grup yok, içinde ve kendilerini, belirli herhangi bir güvenlik düzeyine sahip.
- Gruplarınız güvenlik belirli bir güvenilir nesne bağlamında.
- Aynı gruba her güvenilir nesne için farklı izin düzeyleri atayabilirsiniz..
- Web uygulama ilkeleri tüm bu koz (aşağıya bakınız).
Grup ve kullanıcı listelerinin bir deniz kayıp güvenlik yöneticileri güvenlik yapılandırmalarını anlamak ve yönetmek için bu aksiyomları her zaman güvenebilirsiniz.
Ortak tuzaklar:
- Grup adları, sahte izni taleplerini onayladığı anlamına: Kutunun dışında, SharePoint gruplarını doğal bir güvenlik düzeyi adları ima tanımlar. "Katılımcı" Grup düşünün. SharePoint güvenlik ile yabancı bir de bu isme bak ve o grubunun herhangi bir üyesi "katkıda bulunabilir olduğunu varsayalım" herhangi bir site/liste/kitaplığı için Portal. Doğru olabilir ama grubun adını "katılımcı" değil çünkü. Grup Ekle/Düzenle/Sil içeriğe kök sitesinde olanak tanıyan bir izin düzeyi sağlanan çünkü bu sadece kutudan doğrudur. Devralma yoluyla, "yazarlar" Grup Ayrıca, her alt site Ekle/Düzenle/Sil içerik olabilir. Bir "zarar verebilir" Böyle bir alt_site izin düzeyini değiştirme ve miras zincirinin bu sözde "katılımcı üye" Grup hiç katkıda bulunamaz, ama salt okunur (Örneğin). Bu iyi bir fikir olmaz, Açıkçası, çünkü o-cekti var olmak çok kafa karıştırıcı.
- Gruplar bir site düzeyinde tanımlı değil. Kullanıcı arabirimi tarafından karışık kolaydır. Microsoft her sitenin "kişi ve grupları yoluyla kullanıcı/grup yönetim uygun bir bağlantı sağlar" bağlantı. Site "xyzzy olduğum zaman inanmak kolaydır" ve xyzzy's insanlar aracılığıyla bir grup oluşturun ve gruplar sadece xyzzy yalnızca bulunan bir grubunu oluşturduğunuz bağlantı. Durum böyle değil. Ben aslında tüm site koleksiyonu için bir grup oluşturduk.
- Grup üyeliği sitede değişiklik (Yani. Bu grup kullanılan her yerde aynıdır): "Sahip grubunu düşünün" ve iki site, "HR" ve "Lojistik". İki ayrı bireyler bu siteler kendi düşünüyorum normal — bir İK sahibi ve lojistik sahibi. Belgili tanımlık kullanıcı arayüzey geçici o basit için bu senaryo mishandle için Güvenlik Yöneticisi. Eğer ben bilmeseydim, Kişiler ve gruplar bağlantıları İK sitesi üzerinden erişebilir., "sahipleri seçin" Grup ve benim İK sahibi bu gruba ekle. Bir ay sonra, Lojistik hattı üzerinde gelir. Kişiler ve gruplar lojistik sitesinden erişmek, "sahipleri yetişmek ekleme" Grup. İK sahibi orada görmek ve onu kaldırmak, Lojistik alanında sahiplerinden onu çıkarıyorum düşünme. Aslında, Onu genel sahipleri gruptan çıkarıyorum. Neşe ensues.
- Adı grupları belirli rolüne göre başarısız: "Onaylayanlar" Grup mükemmel bir örnektir. Ne bu grup Onayla üyeleri aşağıdakileri gerçekleştirebilir? Nerede onlar onaylayabilirsiniz? İK belgeleri onaylamak için insanlar Lojistik Departmanı istediğinizden emin misiniz? Tabii ki değil. Her zaman kendi rolünü kuruluş içindeki temel alan adı grupları. Bu grubun belirli bir güvenilir nesne için bir uygun olmayan izin düzeyi atanır riski azaltır. Onların hedeflenen rolüne göre adı grupları. Önceki İK/lojistik senaryoda, İki yeni grup oluşturmuş olmanız: "hr sahipleri" ve "lojistik sahipleri" ve her mantıklı izin düzeyleri ve kullanıcıların işlerini yapmak gerekli en az atama.
Diğer faydalı referanslar:
- Web uygulama ilkesi yakaladım'ın: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Clearinghouse'a SharePoint güvenlik: http://www.sharepointsecurity.com/
- Joel Oleson bağlantıları: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Eğer bu yaptığınız çok:
Bana düşüncelerinizi yorum yoluyla bildirin veya bana e-posta lütfen. Diğer iyi referansları biliyorsanız, Lütfen aynı şeyi!