Category Archives: SharePoint безпеки

"Немає доступу” Щоб ASPX на SharePoint 2010 Південь сайті

Один з моїх клієнтів відправився жити з їх SharePoint 2010 середовище сьогодні.  Ми виявили, що певну групу користувачів не могли отримати доступ до свою домашню сторінку за промовчанням.  SharePoint відповіло: "Немає доступу" і на звичайний "увійти під іншим ім'ям" або "запит доступу" відповідь. 

Коли ми використовували функцію nifty "Перевірити доступ" він підтвердив, що кінцеві користувачі насправді мали доступ.  Ще, вони не можуть отримати до сторінки.

Я слідував багато доріг до різних тупиків до я вирішив порівняти веб-частин на сторінці сломанной проти схожі сторінки робочий.  Я це зробив, поставивши на сторінку у режимі супроводу, додавши"?вміст = 1 "на сторінку. Так, Це виглядало як "http://Server/subsite/subsite/default.aspx?вміст = 1 ". 

Це показав мені два веб-частин, названий "Помилка" з описом як "Помилка" на сломанной сторінці.  Я не думаю, щоб взяти знімок екрана під час.

Я видалив їх, і що вирішити проблеми.

Я бачив на питання, як цей прийшов до на форумах в минулому, і я був надзвичайно скептично ставляться до плаката наполяганням, що у нього настроювання безпеки.  Я * знати * я мав безпеки налаштований неправильно посмішка  Наступного разу, Я буду більш відкритою і менш скептично.

</кінець>

Підписатися на мій блог.

Йди за мною на Twitter в http://www.twitter.com/pagalvin

Використання робочого процесу для імітації безпеки типу вмісту

Ще один день, інший MSDN-форумах надихнув пост.

Хтось питав, чи вони здатні забезпечити типу вмісту, така, що коли користувач натискає на кнопку "створити" за настроюваним списком, типи вмісту, до якого доступ надається ця особа буде з'являтися тільки в розкривному списку.  Як ми знаємо, Це не підтримується з коробки.

Це виникає питання раз і на цей раз, Я знав, що новий.  Давайте припустимо, що у нас є сценарій, як це:

  • У нас є служби підтримки квитки систему.
  • До служби підтримки квитки систему, дозволяє користувачам вводити регулярні helpdesk квитка інформація, такі як проблемну ділянку, проблема статус, д.
  • Ми хочемо, щоб дозволити користувачам «супер» вкажіть "гостроти" поле.
  • Інші користувачі не мають доступу до цього поля.  Система завжди буде призначати рівня пріоритету "середній" для їх прохання.

Те, що ми могли б зробити, це створити два окремі списки SharePoint і два різних типи вмісту, один для "Супер" користувачів а інший для всіх інших.

Робочий процес на кожному списку скопіює дані до зведеного списку (Список квиток фактичної служби підтримки) і цей процес протікає звідти.

Такий підхід може спрацювати потік свого роду стовпець рівні безпеки, а. 

Я не пробував, але вона відчуває себе розумними і дає досить простою, Якщо досить грубо, можливість здійснювати свого роду типу вмісту і навіть стовпець рівня безпеки.

</кінець>

Підписатися на мій блог.

Йди за мною на Twitter в http://www.twitter.com/pagalvin

Затвердження вмісту як Бідна людина автоматичного елемент рівня безпеки

Існує загальний сценарій бізнес у формах InfoPath.  Ми хочемо, дозволити користувачам заповнювати форми InfoPath і представити їх до бібліотеки.  Ми хочемо, щоб менеджери (і ніхто інший) мати доступ до цих форм.

Це питання приходить час від часу на бланках (Наприклад. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

Швидкий спосіб вирішити цю проблему полягає у наданні затвердження вмісту на бібліотеки форм.  Йти параметри версії бібліотеки і встановіть його до, як показано:

image 

Натисніть на "Потрібне затвердження вмісту" і що дозволить вам вибрати значення для безпеки чорнового елемента.

Це трохи нелогічним тому, що ми не думаю, що з точки зору "затвердження вмісту" коли всі ми хочемо зробити це запобігти особами форми інших користувачів.  Однак, вона добре працює (з мого досвіду).  Просто не схвалити цих форм, і вони завжди будуть вважатися «чернетки». 

Дати затвердження права на людей, які повинні бути в змозі бачити їх і ви нещодавно закрили петлі.

Це не точно велика новина, Але питання виступити з певною регулярністю, так що я думав, що варто було б проводки.

</кінець>

Підписатися на мій блог.

Йди за мною на Twitter в http://www.twitter.com/pagalvin

Що таке обмежений доступ інакше?

ОНОВЛЕННЯ 11/03/08: Не забудьте прочитати відмінні і детальний коментар від Dessie Лансфордом до цього посту.

Я працюю на таємне tech редагування проекту для майбутні книги, і він посилається Цей запис у блозі, Тайлер Батлер на блозі MSDN ECM. Це перший раз, що я особисто читати чітке визначення значення обмежений доступ. Ось м'ясо визначення:

У SharePoint, анонімні користувачі’ права визначаються рівень дозволу обмежений доступ. Обмеженим доступом є рівень спеціальних дозволів, який не можна призначити для користувачів або групи безпосередньо. Тому, що вона існує, тому що за наявності бібліотеки або дочірній сайт який зламав успадкування, і ви даєте користувача або групи доступ до тільки що бібліотека/підсайт, для того, щоб переглянути його вміст, користувач або група повинні мати деякі доступу до кореневого веб. В іншому випадку користувач або група не зможуть переглядати бібліотека/підсайт, Незважаючи на те, що вони мають права є, тому, що є речі кореневого веб-вузла, які необхідні для візуалізації, сайту або бібліотеки. Тому, Коли ви даєте Група дозволи тільки для дочірнього сайту або бібліотеки, яка порушує успадкування, SharePoint автоматично дасть обмежений доступ до цієї групи або користувача root Інтернеті.

Це питання приходить час від часу на форумах MSDN і я завжди був цікавий (але не цікаво досить фігури його до сьогодні :)).

</кінець>

Підписатися на мій блог.

Йди за мною на Twitter в http://www.twitter.com/pagalvin

Бірки Technorati:

Швидкий Підказка: Конфігурацію безпеки для адміністраторів, що дозволяє отримати доступ до будь-якого мій сайт у SharePoint

В знак того, що соціальних обчислень починає знімати з SharePoint, Я бачу зростання кількості мого сайту тип питання. Одне загальне питання йде щось на зразок цього:

"Я є адміністратором і мені потрібно, щоб мати можливість отримати доступ до кожної мого сайту. Як мені це зробити?"

Хитрість тут в тому, що кожен мій сайт є свої власні колекції сайтів. SharePoint безпеки зазвичай здійснюється на рівні колекції сайтів, і це поїздки до багатьох адміністратора SharePoint. Зазвичай, вона вже має доступ до настроювання безпеки в основному"" сайт колекцій і не може зрозуміти, що це автоматично не працює для моїх сайтів.

Колекцій сайтів колективно мешкають у великій ємності, що таке веб-застосунку. Адміністратори ферми можуть налаштувати безпеки на рівні web app, і це, як адміністратори можуть надавати себе доступ до будь-якої колекції сайтів у веб-застосунку. Цей запис у блозі описує один з мого особистого досвіду з політикою веб-застосунку. Я визначив web застосування політики випадково: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web застосування політики може бути небезпечно, і я пропоную, що вони використовуватися економно. Якщо б я був адміністратора (і слава Богу я не), Я хотів би створити окремий рахунок оголошення імені щось на зразок "SharePoint Web App адміністратора" і надання певного облікового запису веб додатків безпеки ролі він повинен. Я б не настроєно такого роду речі для регулярних ферми адміністратора або окремий сайт адміністратори колекції. Вона буде, як правило, приховати потенційні проблеми, оскільки роль web app скасовує будь-які нижнього рівня безпеки параметри.

</кінець>

Підписатися на мій блог.

Йди за мною на Twitter в http://www.twitter.com/pagalvin

Погляди і стовпців у списках і бібліотеках документів не можуть бути забезпечені

ОНОВЛЕННЯ (02/29/08): Цей новий проект codeplex забезпечує здається способом кріплення окремих стовпчиків: http://www.codeplex.com/SPListDisplaySetting. Якщо у вас є будь-який досвід роботи з ним, будь ласка, залиште коментар.

Форум плакати часто Задавайте питання, як цей: "У мене є подання керівника та і персонал подання списку. Як убезпечити подання керівника, щоб співробітники не можете використовувати його?"

Вони також часто задавайте пов'язане з цим питання: Я хочу, щоб забезпечити конкретні метаданих стовпця, щоб лише керівники можуть редагувати цього стовпця, у той час як інші можуть навіть не бачили його."

Ці відповіді застосувати до обох WSS 3.0 та ЛИШАЙНИК:

  • SharePoint не надають поза коробки для забезпечення переглядів.
  • SharePoint не надають поза коробки для безпеки стовпців.

Є кілька методів один можна стежити, щоб задовольнити ці види вимоги безпеки. Ось те, що я можу думати про:

  • Використання поза коробки елемент рівня безпеки. Вид завжди честь елемент рівня безпеки конфігурації. Подія приймачів і/або робочого процесу можна автоматизувати безпекою завдання.
  • Використовувати особисті погляди, бо "привілейованих" переглядів. Це досить легко налаштувати. Однак, Завдяки своїм особистим"" Природа, вони повинні бути налаштована для кожного користувача. Використання стандарту безпеки конфігурації запобігти створенню особисте подання з.
  • Використання веб-частині подання даних та реалізації свого роду обрізки рішення AJAXy безпеки.
  • Рол свій власний список функцій дисплея і включити фільтрування за ролями безпеки на рівні стовпців.
  • Змінення форми для вводу даних і використовувати JavaScript в поєднанні з модель безпеки здійснити фільтрування за ролями безпеки рівня стовпця.
  • За допомогою форми InfoPath для введення даних. Здійснити фільтрування за ролями безпеки рівня стовпця через web викликів служби SharePoint і умовно приховати поля, якщо необхідно.
  • Рол свій ASP.NET даних запис функція, яка реалізує фільтрування за ролями безпеки рівня стовпця.

Жодне з цих варіантів не є дійсно такі великі, але є щонайменше шлях, щоб слідувати, якщо вам потрібно, навіть якщо це важко.

ПРИМІТКА: Якщо ви зійдіть на будь-який з цих шляхів, не забувайте про "дії-> Відкрити за допомогою провідника Windows". Ви хочете бути впевнені, що ви перевірити в цю функцію, щоб переконатися, що він не працює як "задні двері" і перемогти безпеки схема.

Якщо у вас є інші ідеї для або досвід роботи із забезпечення стовпців або переглядів, Будь ласка Напишіть мені або залишити свій коментар, і я буду оновлювати цей коментар відповідно.

</кінець>

Підписатися на мій блог.

Бірки Technorati:

Рішення: System.io.FileNotFoundException на “SPSite = новий SPSite(URL-адреса)”

ОНОВЛЕННЯ: Я написав це питання на MSDN тут (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) і відповів Michael Washam Microsoft з короткою відповідь.

Я створив веб-сервіс, виступати з Фасад каталогу бізнес-даних для роздруку до списку SharePoint. Коли я використав це з моєї середовище розробки, вона працювала добре. Коли я це перенесено на новий сервер, Я помилка сталася:

System.IO.FileNotFoundException: У веб-застосунку в http://localhost/sandbox не знайдено. Переконайтеся, що ви ввели URL правильно. Якщо URL-адреса повинна бути вказує на наявний вміст, системному адміністратору, можливо, потрібно додати нове зіставлення URL-адреси запиту з потрібним застосунком. на Microsoft.SharePoint.SPSite...ctor(Ферму SPFarm, Урі requestUri, Булеві contextSite, SPUserToken userToken) на Microsoft.SharePoint.SPSite...ctor(Рядок requestUrl) на Conchango.xyzzy.GetExistingDocument(Рядок minId, Рядок maxId, Рядок titleFilter) у C:\Документи та SettingsPaulMy DocumentsVisual студії 2005ProjectsxyzzyBDC_DocReviewBDC_DocReviewDocReviewFacade.asmx.cs:лінія 69

Ось лінія 69:

за допомогою (SPSite сайту = новий SPSite("http://localhost/sandbox"))

Я пробував різні варіації на URL-адресу, включаючи використання реального імені сервера, її IP-адреса, косу риску на URL-адресу, д. Я завжди отримувала цю помилку.

Я використав Google аналітично. Багато людей загрожувати цього питання, чи варіації, але ніхто, здавалося це вирішена.

Tricksy ЛИШАЙНИК за умови такий детальний помилка, що вона не приходила мені в голову перевірити на 12 вулик журнали. Врешті-решт, про 24 годин після мій колега рекомендується, я роблю так, Я перевірив на 12 вулик вхід і знайшов це:

Під час спроби отримати локальну ферму стався виняток:
System.Security.SecurityException: Запитаний реєстру доступ заборонено.
на System.ThrowHelper.ThrowSecurityException(ExceptionResource ресурсу) на Microsoft.Win32.RegistryKey.OpenSubKey(Рядок назви, Логічне значення для запису) на Microsoft.Win32.RegistryKey.OpenSubKey(Рядок назви) на Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() на Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() на Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& ферми, Логічне значення& isJoined)
Зона зборів, які не вдалося був:  MyComputer

Це відкриває нові напрямки досліджень, так було повернутися на Google. Що привело мене до цього на форумі: http://forums.codecharge.com/Posts.php?post_id = 67135. Що дійсно не допомогли мені, але вона почала змушує мене думати, було бази даних і/або безпеки питання. Я відмовлявся і Ендрю Коннелл опублікувати нарешті спрацьовує від думки, що мені слід переконатися, що ідентичність обліковий запис пулу застосунків мав належний доступ до бази даних. Я думав, що він вже зробив. Однак, мій колега пішов і дав app басейн ідентичності рахунок повний доступ до SQL.

Як тільки вона здійснив цю зміну, все, почав працювати.

Що сталося далі має кращий вигляд на Haiku вірш:

Проблеми, підняти руки.
Гойдалки і пропустити. Спробуй ще раз.
Успіх! Але як? Чому?

Вона не хотіла залишити все поодинці так, вважаючи за краще дати мінімальний необхідний дозвіл (і напевно віч-писати в блозі; Я бити нею до удару, muhahahahaha!).

Вона зняла послідовних дозволи від app басейн ідентичності обліковий запис до … вже не було будь-якого дозволу app басейн посвідчення облікового запису на всіх. Веб-служба продовжували працювати нормально.

Ми пішли і перезавантаження сервери. Все, що продовжує працювати нормально.

Так, Нагадаємо: Ми дали app басейн identity повний доступ і потім забрав його. Веб-служба почав працювати і ніколи не перестав працювати. Bizarre.

Якщо хто-небудь знає, чому, працювати, будь ласка, залиште коментар.

</кінець>

Бірки Technorati:

Мінімальна безпеки, необхідні для форми InfoPath

Мені потрібно, щоб зустрітися з безпеки вимога для форми InfoPath сьогодні. У цій ситуації бізнес, відносно невелику кількість приватних осіб дозволено створення нової форми InfoPath і набагато більш широкої аудиторії дозволено редагувати його. (Це нова Прокат автомобілів на інтернат форму використовуються людських ресурсів, запускає робочий процес).

Для задоволення цієї мети, Я створив створено два рівні дозволів ("створити й оновити" і "оновити лише"), зламав успадкування для бібліотеки форм і призначити дозволи на на "створити, оновлення" користувач і окремі "оновити лише" користувач. Механіка всі працювали, але він виявився більш за участю, ніж я очікував. (Якщо ви відчуваєте трохи невпевнено на SharePoint дозволи, перевірити це повідомлення в блозі). Конфігурація вимог безпеки для рівня дозволів не було очевидно набором прав, зерниста. Щоб створити дозвіл тільки на оновлення рівні для форми InfoPath, Я виконав наступне:

  1. Створити новий рівень дозволів.
  2. Прибрати всі параметри.
  3. Вибрано такі від "Дозволи списку":
    • Редагування елементів
    • Перегляд елементів
    • View сторінки застосунків

Використання цих параметрів дозволяє користувачу оновлювати форми, але не створює його.

Трюк був включення "Подання заявки сторінки". Є не будь-якого verbage на рівня дозволів, вказує на те, що потрібно для оновлення лише для форм InfoPath, але виявляється, то є.

Створення та оновлення було ще більш дивною. Я стежив за ті ж кроки, 1 через 3 вище. Я повинен був спеціально додати "сайту дозвіл" параметр: "Використання можливостей інтеграції клієнт". Знову, Опис там, не роблять це здаватися, що повинно бути необхідні для форми InfoPath, але він існує.

</кінець>

Бірки Technorati: ,

SharePoint не надає “Хто має доступ” Звіти

ОНОВЛЕННЯ 01/28/08: Цей проект codeplex вирішує цю проблему: http://www.codeplex.com/AccessChecker. Я не використовував його, але вона виглядає багатообіцяючим, якщо це питання вам необхідно звернутися у вашому середовищі.

ОНОВЛЕННЯ 11/13/08: Джоел Oleson написав до дуже хороший пост з більшої безпеки управління питання тут: http://www.sharepointjoel.com/ Lists/Posts/Post.aspx?Список = 0cd1a63d % 2D183c % 2D4fc2 %2 D 8320% 2Dba5369008acb&ID = 113. У ньому посилання на цілий ряд інших корисних ресурсів.

Форум користувачів та клієнтів часто задати питання по цих лініях: "Як я генерувати список всіх користувачам доступ до сайту" або "як може я автоматично попередити всіх користувачам доступ до списку про зміни, внесені до списку?"

Немає не поза коробки рішення для цього. Якщо ви думаєте про це на мить, Це не важко зрозуміти, чому.

SharePoint безпеки є дуже гнучким. Є принаймні чотири основні категорії користувачів:

  • Анонімні користувачі.
  • SharePoint користувачі та групи.
  • Active Directory – користувачі.
  • Форми на основі автентифікації (FBA) користувачі.

Гнучкість означає, що з точки зору безпеки, будь-який даний сайт SharePoint буде різко відрізняється від іншої. Для того, щоб генерувати звіт access список, необхідно, щоб з'ясувати, як закріплений сайт, запит численних репозиторіїв профіль іншого користувача і потім запропонували це корисно моди. Що це важка проблема вирішити загальному.

Як організації мають справу з цим? Мені б дуже хотілося почути від вас у коментарі або Електронна пошта.

</кінець>

Бірки Technorati: ,

Грунтовка основи безпеки SharePoint / Уникнути поширених помилок

ОНОВЛЕННЯ 12/18/07: Paul Liebrand у статті деякі технічні наслідки про видалення або модифікації імена груп за промовчанням (Переглянути свій коментар нижче, а також).

Огляд:

Безпеки SharePoint є легко налаштувати і керувати. Однак, Вона виявилася важким для деяких вперше адміністратори дійсно обернути руки навколо нього. Не тільки це, Я бачив деякі адміністратори прийти досконалим розуміння на понеділок тільки до втратив його п'ятницю, тому що вони не мають виконувати ніяких додаткових налаштувань в проміжний час. (Я визнаю себе з цією проблемою). Цей запис у блозі, сподіваюся, забезпечує корисну грунтовка безпеки SharePoint і вказує на деякі конфігурації кращі методи додержання безпеки.

Важливе зауваження:

Такий Опис базується на з коробки SharePoint безпеки. Мій особистий досвід орієнтованих навколо МОСС, так що там можуть бути деякі МОХ конкретні речі тут, але я вважаю, що це точні для WSS. Я сподіваюся, що хто-небудь бачачи, будь-які помилки або упущення відзначають, що в коментарях або Напишіть мені. Я зроблю корекції пост haste.

Основи:

Для цілей цього огляд, є чотири основних аспектів безпеки: користувачів і групи, захищені об'єкти, рівні дозволів і спадкування.

Користувачі та групи розбити вниз, щоб:

  • Окремі користувачі: Витяг з активним Довідник "або" створено безпосередньо в SharePoint.
  • Групи: Підключеного безпосередньо з active directory або створеним у SharePoint. Групи є колекція користувачів. Групи мають глобальний характер в колекції сайтів. Вони ніколи не "зв'язали" до конкретних захищеного об'єкта.

Захищені об'єкти розбити вниз, щоб принаймні:

  • Сайти
  • Бібліотеки документів
  • Окремих елементів у списках і бібліотеках документів
  • Папки
  • Різні параметри служби ПБД.

Є інші захищені об'єкти, але ви отримаєте картинку.

Рівні дозволів: Пучок гранульований / низький рівень доступу прав, які включають такі речі, як створити/читання/видалення записів у списках.

Успадкування: За замовчуванням осіб успадковують параметри безпеки їх містять об'єкт. Дочірніх сайтів успадковують дозволи від своїх батьківських. Успадковувати бібліотек документів з їх сайту. Так далі і тому подібне.

Користувачі та групи ставляться до захищеного об'єктів через рівні дозволів і спадкування.

Найбільш важливі правила безпеки зрозуміти, Ever 🙂 :

  1. Групи є просто колекції користувачів.
  2. Групи є глобальний в межах колекції сайтів (тобто. Існує немає такого поняття, як група, визначені на рівні сайту).
  3. Ім'я групи не витримати, групи не роблять, у та себе, мати будь-якої конкретної рівень безпеки.
  4. Групи мають безпеки у контексті конкретних захищеного об'єкта.
  5. Можна призначити рівні різних дозволів в ту ж групу для кожного захищеного об'єкта.
  6. Web застосування політики Трамп все це (див нижче).

Безпеки адміністратори втратила в море Група і користувач списки завжди можете покластися на ці аксіом, управляти і розуміти їх конфігурація безпеки.

Поширених помилок:

  • Імена груп помилково передбачають дозвіл: З коробки, SharePoint визначає набір груп, назви яких має на увазі властиві рівень безпеки. Розглянемо групи "Учасник". Незнайомі з безпеки SharePoint можна також подивитися на це ім'я і припустити, що будь-який член групи може "сприяти" для будь-якого сайту/списку/бібліотека на порталі. Це може бути правдою, але не тому, що назва трапляється бути "Учасник". Це тільки так з коробки, тому що групі була надана рівень дозволів, що дає їм можливість додавати/редагувати/видаляти вміст в корінь сайту. Через успадкування, Автори"" Група також може додавати/редагувати/видаляти вміст в суб-сайтів. "Зруйнувати" ланцюжка наслідування і змінити рівень дозволів на дочірній сайт, такі що члени так звані "учасник" Група не може працювати на всіх, але тільки читати (Наприклад). Це не було б непогано, Очевидно, оскільки було б дуже заплутаною.
  • Групи не визначено на рівні сайту. Це легко можна сплутати інтерфейсу користувача. Корпорація Майкрософт надає зручний посилання користувач/Група управління через кожен сайт "людей і груп" посилання. Легко вважати, що, коли я на сайті "xyzzy" і створити групу через xyzzy, людей і груп, що я тільки що створили групу, яка існує тільки в xyzzy сайт. Це не випадок. Я насправді створив групу для збору весь сайт.
  • Членство в групах і не змінюється на сайті (тобто. Це та ж скрізь Група використовується): Група "власник розглянемо" і два сайти, "УПРАВЛІННЯ ПЕРСОНАЛОМ" і «Логістика». Це було б нормально думати, що два окремих героїв буде володіти цими сайтами — HR власника та власника логістики. Користувальницький інтерфейс робить її легкою для безпеки адміністратора, щоб погано звертатися такий сценарій. Якщо я не знаю краще, Може отримати доступ до людей і груп посилання через HR-сайт, Виберіть "власників" групувати та додати мій HR власника до цієї групи. Через місяць, Логістика поставляється на лінії. Доступ до користувачів і групи з логістики сайту, додати підтягти "власників" Група. Я бачу власник HR і видалити її, думаючи, що я перебуваю видалення її з власників на сайті логістики. Насправді, Я впевнений, видалення її з глобальної власники групи. Настає розваг.
  • В іншому випадку для іменування груп на основі конкретних роль: "Затверджувачів" Група є прекрасним прикладом. Що може членів цієї групи затвердити? Де вони можуть затверджувати? Я дійсно хочу, люди логістичному відділі для того, щоб затвердити Кадрової документації? Звичайно, не. Завжди іменування груп на основі їх роль в рамках організації. Це дозволить скоротити ризик, що група отримує недоречним дозволу рівня на певному захищеному об'єкті. Іменування груп на основі їх призначенням ролі. У попередній сценарій HR/логістики, Я повинен створив дві нові групи: "Управління Персоналом власників" і "логістика власників" і призначити рівні розумної дозволів для кожного і мінімальна сума, необхідна для тих користувачів, щоб зробити їх роботу.

Інші корисні посилання:

Якщо ви вже зробили це набагато:

Будь ласка, дайте мені знати ваші думки через коментарі або напишіть мені. Якщо ви знаєте інші хороші посилання, будь ласка, зробити те ж саме!

Бірки Technorati: