Danh mục lưu trữ: SharePoint an ninh

"Truy cập bị từ chối” để Default.aspx ngày một SharePoint 2010 Phụ trang web

Một trong những khách hàng của tôi đã sống với họ SharePoint 2010 môi trường ngày hôm nay.  Chúng tôi phát hiện ra rằng một nhóm người dùng không thể truy cập vào trang chủ mặc định của họ.  SharePoint đáp trả bằng "Truy cập từ chối" và bình thường "đăng nhập như người dùng khác" hoặc "yêu cầu truy cập" phản ứng. 

Khi chúng tôi sử dụng chức năng "Kiểm tra truy cập" tiện lợi này xác nhận rằng các người dùng cuối thực sự đã có thể truy cập.  Được, họ có thể không nhận được để trang.

Tôi theo sau nhiều con đường để kết thúc chết khác nhau cho đến khi tôi quyết định để so sánh các bộ phận web trên trang bị hỏng chống lại một trang làm việc tương tự.  Tôi đã làm điều đó bằng cách đặt trang trong chế độ bảo dưỡng bằng cách thêm"?nội dung = 1 "trang. Vì vậy, nó trông giống như "http://Server/Subsite/Subsite/Default.aspx?nội dung = 1 ". 

Điều này cho thấy tôi hai web phần tên là "Lỗi" với một mô tả như "Lỗi" trên trang bị hỏng.  Tôi không nghĩ rằng có một nắp màn hình lúc.

Tôi gỡ bỏ chúng và có giải quyết được vấn đề.

Tôi đã nhìn thấy một câu hỏi như này đến lên trên các diễn đàn trong quá khứ và tôi đã rất hoài nghi về các áp phích khăng khăng rằng ông đã có bảo mật thiết lập đúng.  Tôi * biết * tôi có bảo mật thiết lập quyền Nụ cười  Tiếp theo thời gian, Tôi sẽ được rộng mở hơn và ít không tin.

</kết thúc>

Đăng ký vào blog của tôi.

Theo tôi trên Twitter lúc http://www.twitter.com/pagalvin

Sử dụng quy trình làm việc để mô phỏng các loại nội dung an ninh

Một ngày khác, diễn đàn MSDN khác lấy cảm hứng từ bài.

Ai đó đã yêu cầu cho dù họ có thể bảo đảm một loại nội dung như vậy khi người dùng nhấp vào nút "mới" trên một danh sách tùy chỉnh, chỉ loại nội dung mà người đó được cấp quyền truy cập sẽ xuất hiện trong danh sách thả xuống.  Như chúng ta biết, Điều này không được hỗ trợ ra khỏi hộp.

Câu hỏi này đi lên bây giờ và sau đó và thời gian này, Tôi đã có một ý tưởng mới.  Giả sử rằng chúng tôi có các tình huống như thế này:

  • Chúng tôi có một bộ phận trợ giúp vé hệ thống.
  • Bàn trợ giúp vé hệ thống cho phép người dùng nhập bộ phận trợ giúp thường xuyên lo vé thông tin, chẳng hạn như vùng sự cố, tình trạng vấn đề, vv.
  • Chúng tôi muốn để cho phép "siêu" dùng để chỉ định một lĩnh vực "khẩn cấp".
  • Khác người dùng không có quyền truy cập đến lĩnh vực đó.  Hệ thống sẽ luôn luôn gán ưu tiên cấp "trung bình" của họ yêu cầu.

Những gì chúng tôi có thể làm là tạo ra hai danh sách SharePoint riêng biệt và hai loại nội dung, một cho người sử dụng "siêu" và khác cho tất cả mọi người khác.

Quy trình làm việc trên danh sách mỗi sao dữ liệu vào danh sách chủ (danh sách vé thực tế helpdesk) và quá trình tiền từ đó.

Cách tiếp cận này có thể làm việc chảy một loại cột cấp bảo mật là tốt. 

Tôi đã không thử nó, nhưng nó cảm thấy hợp lý và cung cấp cho một khá đơn giản, Nếu khá thô, tùy chọn để thực hiện một loại kiểu nội dung và thậm chí cột cấp bảo mật.

</kết thúc>

Đăng ký vào blog của tôi.

Theo tôi trên Twitter lúc http://www.twitter.com/pagalvin

Phê duyệt nội dung là người nghèo tự động mục cấp bảo mật

Đó là một tình huống kinh doanh phổ biến với InfoPath hình thức.  Chúng tôi muốn cho phép mọi người để điền vào biểu mẫu InfoPath và gửi chúng vào thư viện.  Chúng tôi muốn chủ (và không có ai khác) để có quyền truy cập vào các hình thức.

Câu hỏi này đi lên bây giờ và sau đó trên các hình thức (Ví dụ như. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

Một cách nhanh chóng để giải quyết điều này là để cho phép nội dung phê duyệt trên các thư viện mẫu.  Đi của thư viện Phiên bản cài đặt và thiết lập nó lên như hiển thị:

image 

Click vào "Yêu cầu nội dung phê chuẩn" và đó sẽ cho phép bạn chọn một giá trị cho dự thảo mục bảo mật.

Nó là một chút counter-intuitive bởi vì chúng tôi không suy nghĩ về "nội dung phê duyệt" khi tất cả chúng ta muốn làm là ngăn chặn người từ nhìn thấy hình thức của người dùng khác.  Tuy nhiên, nó hoạt động tốt (Theo kinh nghiệm của tôi).  Chỉ cần không chấp nhận các hình thức và họ sẽ luôn luôn được coi là "bản thảo". 

Quyền phê duyệt cung cấp cho những người có thể nhìn thấy chúng và bạn đã đóng vòng lặp.

Đây không phải là chính xác tin tức lớn, nhưng câu hỏi đặt ra với một số đều đặn, Vì vậy tôi nghĩ rằng nó sẽ có giá trị gửi bài.

</kết thúc>

Đăng ký vào blog của tôi.

Theo tôi trên Twitter lúc http://www.twitter.com/pagalvin

Những gì là hạn chế truy cập không?

CẬP NHẬT 11/03/08: Hãy chắc chắn để đọc bình luận rất tốt và chi tiết từ Dessie Lunsford Bài này.

Tôi đã làm việc trên một dự án bí mật công nghệ biên tập cho một cuốn sách sắp tới và nó tham chiếu blog entry này bởi Tyler Butler trên blog MSDN ECM. Đây là lần đầu tiên tôi cá nhân đọc một định nghĩa rõ ràng về ý nghĩa của giới hạn truy cập. Đây là thịt của định nghĩa:

Trong SharePoint, người dùng vô danh’ quyền được xác định bởi mức độ quyền truy cập hạn chế. Truy cập hạn chế là một cấp phép đặc biệt mà không thể được gán cho người dùng hoặc nhóm trực tiếp. Lý do nó tồn tại là bởi vì nếu bạn có một thư viện hoặc subsite đó đã phá vỡ quyền thừa kế, và bạn cung cấp cho một truy cập người dùng/nhóm để chỉ mà thư viện/subsite, để xem nội dung của nó, người dùng/nhóm phải có một số quyền truy cập vào các trang web gốc. Nếu không người dùng/nhóm sẽ không thể duyệt thư viện/subsite, mặc dù họ có quyền có, bởi vì có những điều trong các trang web gốc là cần thiết để render các trang web hoặc thư viện. Do đó, Khi bạn cung cấp cho một quyền nhóm chỉ để một subsite hoặc thư viện là phá vỡ quyền thừa kế, SharePoint tự động sẽ cung cấp cho truy cập hạn chế để mà nhóm hoặc người dùng trên các trang web gốc.

Câu hỏi này đi lên bây giờ và sau đó trên các diễn đàn MSDN và tôi đã luôn luôn được tò mò (nhưng không phải tò mò, đủ để con số nó ra trước khi ngày hôm nay :)).

</kết thúc>

Đăng ký vào blog của tôi.

Theo tôi trên Twitter lúc http://www.twitter.com/pagalvin

Technorati Tags:

Mẹo nhanh: Cấu hình bảo mật để cho phép quản trị viên để truy cập vào bất kỳ trang web của tôi trong SharePoint

Trong một dấu hiệu cho thấy điện toán xã hội đang bắt đầu cất cánh với SharePoint, Tôi thấy một số lượng tăng lên của các trang web của tôi loại câu hỏi. Một câu hỏi phổ biến đi một cái gì đó như thế này:

"Tôi là người quản trị và tôi cần để có thể truy cập mỗi trang web của tôi. Làm thế nào để làm điều đó?"

The trick ở đây là rằng mỗi trang web của tôi là bộ sưu tập trang web riêng của mình. SharePoint an ninh thường được quản lý ở cấp bộ sưu tập trang web và điều này chuyến đi lên rất nhiều quản trị viên SharePoint. Bình thường, cô đã có quyền truy cập vào cấu hình bảo mật trong chính"" Các bộ sưu tập trang web và có thể không nhận ra rằng điều này không tự động hoạt động cho trang web của tôi.

Các bộ sưu tập trang web chung sống bên trong một container lớn hơn, đó là các ứng dụng web. Quản trị viên trang trại có thể có thể cấu hình an ninh ở mức độ ứng dụng web và điều này là làm thế nào quản trị viên có thể cấp mình quyền truy cập vào bất kỳ bộ sưu tập trang web trong ứng dụng web. Blog entry này mô tả một trong kinh nghiệm cá nhân của tôi với chính sách ứng dụng web. Tôi xác định một chính sách ứng dụng web do tai nạn: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web ứng dụng chính sách có thể nguy hiểm và tôi đề nghị rằng họ được sử dụng ít. Nếu tôi là là quản trị viên (và cảm ơn lòng tốt tôi không), Tôi sẽ tạo ra một tài khoản quảng cáo riêng biệt được đặt theo tên một cái gì đó như "SharePoint Web ứng dụng quản trị" và cung cấp cho một tài khoản đó vai trò bảo mật ứng dụng web cần thiết. Tôi sẽ không cấu hình loại điều cho quản trị thường xuyên trang trại hoặc quản trị viên bộ sưu tập trang web cá nhân. Nó sẽ có xu hướng để ẩn các vấn đề tiềm năng bởi vì vai trò ứng dụng web ghi đè lên bất kỳ thiết lập mức độ bảo mật thấp.

</kết thúc>

Đăng ký vào blog của tôi.

Theo tôi trên Twitter lúc http://www.twitter.com/pagalvin

Technorati Tags: ,

Xem và cột vào danh sách và thư viện tài liệu không thể được bảo đảm

CẬP NHẬT (02/29/08): Dự án này mới của codeplex dường như cung cấp một phương pháp để bảo vệ cột cá nhân: http://www.codeplex.com/SPListDisplaySetting. Nếu bạn có bất kỳ kinh nghiệm làm việc với nó, Xin vui lòng để lại một thảo luận.

Diễn đàn áp phích thường xuyên đặt câu hỏi như thế này: "Tôi có một cái nhìn quản lý và và một cái nhìn nhân viên của một danh sách. Làm thế nào tôi an toàn giao diện quản lý do đó nhân viên có thể không sử dụng nó?"

Họ cũng thường yêu cầu một câu hỏi liên quan: "Tôi muốn bảo đảm một cột cụ thể siêu dữ liệu để quản lý chỉ có thể chỉnh sửa cột trong khi những người khác có thể không thậm chí nhìn thấy nó."

Những câu trả lời áp dụng cho cả hai WSS 3.0 và MOSS:

  • SharePoint không cung cấp out-of-the-box hỗ trợ cho bảo vệ lượt xem.
  • SharePoint không cung cấp out-of-the-box hỗ trợ cho bảo mật cột.

Có một số kỹ thuật một có thể làm theo để đáp ứng các loại yêu cầu bảo mật. Dưới đây là những gì tôi có thể nghĩ về:

  • Sử dụng out-of-the-box mục cấp bảo mật. Số lần xem luôn luôn tôn vinh mục cấu hình cấp bảo mật. Sự kiện máy thu và/hoặc quy trình làm việc có thể tự động chuyển nhượng bảo mật.
  • Sử dụng quan điểm cá nhân cho "đặc quyền" Số lần xem. Đây là những dễ dàng, đủ để thiết lập. Tuy nhiên, do cá nhân"của họ" Thiên nhiên, những cần phải được cấu hình cho mỗi người dùng. Sử dụng cấu hình tiêu chuẩn bảo mật để ngăn chặn bất cứ ai khác từ việc tạo ra một cái nhìn cá nhân.
  • Sử dụng một phần web xem dữ liệu và thực hiện một số loại giải pháp trang trí AJAXy bảo mật.
  • Cuộn chức năng hiển thị danh sách riêng của bạn và kết hợp bảo mật trang trí ở mức cột.
  • Sửa đổi các hình thức nhập dữ liệu và sử dụng JavaScript kết hợp với mô hình bảo mật để thực hiện trang trí cột cấp bảo mật.
  • Sử dụng một hình thức InfoPath để nhập dữ liệu. Thực hiện trang trí cột cấp an ninh thông qua các cuộc gọi Dịch vụ web đến SharePoint và có điều kiện là lĩnh vực ẩn khi cần thiết.
  • Cuộn mình ASP.NET dữ liệu nhập hàm thực hiện cột cấp bảo mật trang trí.

Không có những lựa chọn là thực sự là tuyệt vời, nhưng có ít nhất một con đường để làm theo nếu bạn cần phải, ngay cả khi nó là khó khăn.

LƯU Ý: Nếu bạn đi xuống bất kỳ của các đường dẫn, Đừng quên về các "hành động-> Mở Windows Explorer". Bạn muốn chắc chắn rằng bạn kiểm tra với tính năng để đảm bảo rằng nó không làm việc như một cánh cửa của trở lại"" và đánh bại chương trình bảo mật của bạn.

Nếu bạn có ý tưởng cho khác hoặc kinh nghiệm với bảo vệ cột hoặc lượt xem, Vui lòng gửi email cho tôi hoặc để lại một bình luận và tôi sẽ cập nhật này gửi bài phù hợp.

</kết thúc>

Đăng ký vào blog của tôi.

Technorati Tags:

Giải pháp: System.io.FileNotFoundException trên “SPSite = mới SPSite(URL)”

CẬP NHẬT: Tôi đăng câu hỏi này để MSDN ở đây (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) và Michael Washam của Microsoft phản hồi với một câu trả lời ngắn gọn.

Tôi tạo ra một dịch vụ web để hoạt động như một BDC-thân thiện với tiền một danh sách SharePoint. Khi tôi sử dụng này từ môi trường phát triển của tôi, nó hoạt động tốt. Khi tôi di chuyển này đến một máy chủ mới, Tôi gặp phải lỗi này:

System.io.FileNotFoundException: Các ứng dụng Web tại http://localhost/sandbox không tìm thấy. Kiểm chứng rằng bạn đã gõ URL chính xác. Nếu URL nên phục vụ nội dung hiện tại, người quản trị hệ thống có thể cần phải thêm một bản đồ URL yêu cầu mới để ứng dụng dự định. tại Microsoft.SharePoint.SPSite.Victor(SPFarm farm, URI requestUri, Boolean contextSite, SPUserToken userToken) tại Microsoft.SharePoint.SPSite.Victor(Chuỗi requestUrl) lúc Conchango.xyzzy.GetExistingDocument(Chuỗi minId, Chuỗi maxId, Chuỗi titleFilter) trong c:\Tài liệu và SettingsPaulMy DocumentsVisual Studio 2005ProjectsxyzzyBDC_DocReviewBDC_DocReviewDocReviewFacade.asmx.cs:dòng 69

Đây là dòng 69:

bằng cách sử dụng (SPSite trang web = mới SPSite("http://localhost/sandbox"))

Tôi đã thử các biến thể khác nhau về URL, bao gồm cả bằng cách sử dụng tên thật của máy chủ, Địa chỉ IP của nó, dấu slashes trong URL, vv. Tôi luôn luôn nhận lỗi đó.

Tôi đã sử dụng Google để nghiên cứu nó. Rất nhiều người dân đối mặt với vấn đề này, hoặc các biến thể của nó, nhưng không có ai dường như có nó giải quyết.

Tricksy MOSS cung cấp các chi tiết một lỗi mà nó đã không xảy ra với tôi để kiểm tra các 12 bản ghi tổ ong. Cuối cùng, về 24 giờ sau khi đồng nghiệp của tôi khuyến khích tôi làm như vậy, Tôi đã kiểm tra các 12 hive đăng nhập và tìm thấy điều này:

Một ngoại lệ đã xảy ra trong khi cố gắng để có được các trang trại địa phương:
System.Security.SecurityException: Truy cập được yêu cầu đăng ký không được phép.
tại System.ThrowHelper.ThrowSecurityException(ExceptionResource tài nguyên) tại Microsoft.Win32.RegistryKey.OpenSubKey(Tên Chuỗi, Boolean có thể ghi được) tại Microsoft.Win32.RegistryKey.OpenSubKey(Tên Chuỗi) tại Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() tại Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() tại Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& Trang trại, Boolean& isJoined)
Vùng của Hội đồng mà không:  MyComputer

Điều này mở ra con đường mới của nghiên cứu, do đó, nó đã trở lại The Google. Đó đã dẫn tôi đến đây diễn đàn đăng bài: http://forums.codecharge.com/Posts.php?post_id = 67135. Điều đó không thực sự giúp tôi nhưng nó đã bắt đầu làm cho tôi nghĩ rằng có một vấn đề cơ sở dữ liệu và/hoặc bảo mật. Tôi rạng và Andrew Connell đăng bài được kích hoạt cuối cùng suy nghĩ rằng tôi nên chắc chắn rằng hồ bơi ứng dụng nhận dạng tài khoản có quyền truy cập thích hợp vào cơ sở dữ liệu. Tôi nghĩ rằng nó đã làm. Tuy nhiên, đồng nghiệp của tôi đã đi và đã cung cấp ứng dụng hồ bơi nhận dạng tài khoản toàn quyền truy cập cho SQL.

Ngay sau khi cô thực hiện thay đổi đó, Tất cả mọi thứ bắt đầu làm việc.

Tốt nhất là những gì đã xảy ra tiếp diễn tả như một Haiku bài thơ:

Vấn đề nâng cao tay của họ.
Bạn swing và bỏ lỡ. Thử lại.
Thành công! Nhưng làm thế nào? Tại sao?

Cô ấy không muốn để lại những điều một mình như vậy, thích để cho phép yêu cầu tối thiểu (và có lẽ với văn bản một blog entry; Tôi đánh bại của mình để đục lỗ, muhahahahaha!).

Cô gỡ bỏ quyền kế tiếp từ tài khoản nhận dạng hồ bơi ứng dụng cho đến khi … có đã không còn bất kỳ sự cho phép rõ ràng cho tài khoản nhận dạng hồ bơi ứng dụng ở tất cả. Dịch vụ web tiếp tục làm việc chỉ phạt.

Chúng tôi đã đi và khởi động lại các máy chủ. Tất cả mọi thứ vẫn tiếp tục làm việc tốt.

Vì vậy, để recap: chúng tôi đã cung cấp ứng dụng nhận dạng đầy đủ lối ra Hồ bơi và sau đó đã lấy nó đi. Dịch vụ web bắt đầu làm việc và không bao giờ ngừng làm việc. Kỳ lạ.

Nếu có ai biết tại sao mà nên đã làm việc, Xin vui lòng để lại một thảo luận.

</kết thúc>

Technorati Tags:

Bảo mật tối thiểu cần thiết cho các hình thức InfoPath

Tôi cần thiết để đáp ứng một yêu cầu an ninh cho một hình thức InfoPath vào ngày hôm nay. Trong tình huống kinh doanh này, một số lượng tương đối nhỏ các cá nhân được phép để tạo ra một hình thức InfoPath mới và một đối tượng rộng hơn nhiều được phép chỉnh sửa nó. (Điều này là mới thuê ngày lên máy bay mẫu được sử dụng bởi nguồn nhân lực mà ra mắt một công việc).

Để đáp ứng mục tiêu đó, Tôi tạo ra tạo cấp phép mới hai ("tạo và Cập Nhật" và "Cập Nhật chỉ"), đã phá vỡ các thừa kế cho thư viện mẫu và gán quyền cho một "tạo, Cập Nhật" người sử dụng và một riêng biệt "Cập Nhật chỉ" người dùng. Cơ học tất cả làm việc, nhưng nó bật ra nhiều hơn một chút liên quan đến hơn tôi mong đợi. (Nếu bạn cảm thấy một chút run rẩy SharePoint quyền, kiểm tra đăng bài blog này). Cấu hình yêu cầu bảo mật cho cấp phép đã không thiết lập rõ ràng chi tiết quyền. Để tạo ra một mức độ quyền chỉ Cập Nhật cho một hình thức InfoPath, Tôi đã làm những điều sau đây:

  1. Tạo cấp phép mới.
  2. Xóa đi tất cả tùy chọn.
  3. Chọn chỉ sau đây từ "Danh sách cho phép":
    • Chỉnh sửa mục
    • Xem các mục
    • Xem ứng dụng trang

Chọn các tùy chọn này cho phép người dùng để cập nhật một hình thức, nhưng không tạo ra nó.

The trick là để cho phép "Xem ứng dụng trang". Không có bất kỳ verbage ở cấp độ quyền mà chỉ ra rằng cần thiết cho bản Cập Nhật chỉ InfoPath hình thức, nhưng lần lượt ra nó là.

Tạo và Update là thậm chí người lạ. Tôi theo các bước tương tự, 1 thông qua 3 ở trên. Tôi đã phải đặc biệt thêm một "trang web quyền" tùy chọn: "Sử dụng khách hàng tích hợp tính năng". Một lần nữa, Mô tả có không làm cho nó có vẻ như nó nên được yêu cầu cho một hình thức InfoPath, nhưng nó kìa.

</kết thúc>

Technorati Tags: ,

SharePoint không cung cấp “Những người có quyền truy cập” Báo cáo

CẬP NHẬT 01/28/08: Dự án codeplex này địa chỉ vấn đề này: http://www.codeplex.com/AccessChecker. Tôi đã không sử dụng nó, nhưng có vẻ đầy hứa hẹn nếu điều này là một vấn đề mà bạn cần đến địa chỉ trong môi trường của bạn.

CẬP NHẬT 11/13/08: Joel Oleson đã viết lên một bài rất tốt về vấn đề quản lý bảo mật lớn hơn ở đây: http://www.sharepointjoel.com/ Lists/Posts/Post.aspx?Danh sách = 0cd1a63d % 2D183c % 2D4fc2 %2 D 8320% 2Dba5369008acb&ID = 113. Nó liên kết với một số tài nguyên hữu ích khác.

Diễn đàn người sử dụng và khách hàng thường yêu cầu một câu hỏi dọc theo những dòng này: "Làm thế nào để tôi tạo ra một danh sách tất cả người dùng với quyền truy cập vào một trang web" hoặc "cảnh làm thế nào có thể tôi tự động báo tất cả người dùng có quyền truy cập vào danh sách về những thay đổi được thực hiện cho danh sách?"

Có là không có trong số các giải pháp hộp này. Nếu bạn nghĩ về nó cho một thời điểm, nó không phải là khó hiểu lý do tại sao.

SharePoint bảo mật là rất linh hoạt. Có ít nhất bốn loại chính của người dùng:

  • Người dùng vô danh.
  • Nhóm và người dùng SharePoint.
  • Người dùng thư mục hoạt động.
  • Dựa trên hình thức xác thực (FBA) người dùng.

Sự linh hoạt có nghĩa là từ một góc độ an ninh, bất kỳ trang web SharePoint nhất định sẽ đáng kể khác nhau từ khác. Để tạo ra một báo cáo danh sách truy cập, một trong những cần phải xác định làm thế nào các trang web được bảo vệ, truy vấn nhiều các kho phần mềm hồ sơ người dùng khác và sau đó trình bày trong một thời trang hữu ích. Đó là một vấn đề khó khăn để giải quyết tổng quát.

Làm thế nào tổ chức đang đối phó với điều này? Tôi rất muốn nghe từ bạn trong ý kiến hoặc thư điện tử.

</kết thúc>

Technorati Tags: ,

SharePoint bảo mật cơ bản mồi / Tránh những cạm bẫy phổ biến

CẬP NHẬT 12/18/07: Xem bài viết của Paul Liebrand cho một số hậu quả kỹ thuật loại bỏ hoặc sửa đổi tên nhóm mặc định (xem bình luận của ông dưới đây cũng).

Tổng quan:

SharePoint bảo mật là dễ dàng để cấu hình và quản lý. Tuy nhiên, nó đã chứng minh là khó khăn cho một số quản trị viên thời gian đầu tiên để thực sự quấn tay của họ xung quanh nó. Không chỉ vậy, Tôi đã thấy một số quản trị viên đến một sự hiểu biết hoàn hảo về thứ hai chỉ đến đã thất bại bởi thứ sáu vì họ không phải làm bất kỳ cấu hình trong thời gian can thiệp. (Tôi thừa nhận để có vấn đề này bản thân mình). Blog entry này hy vọng cung cấp một SharePoint hữu ích an ninh mồi và điểm hướng tới một số cấu hình an ninh thực tiễn tốt nhất.

Lưu ý quan trọng:

Mô tả này được dựa trên ra khỏi hộp bảo mật SharePoint. Kinh nghiệm cá nhân của tôi hướng xung quanh thành phố MOSS do đó có thể có một số công cụ MOSS cụ thể ở đây, nhưng tôi tin rằng nó là chính xác cho WSS. Tôi hy vọng rằng bất cứ ai nhìn thấy bất kỳ lỗi hoặc thiếu sót sẽ chỉ mà ra trong ý kiến hoặc gửi email cho tôi. Tôi sẽ làm cho chỉnh đăng sự vội vàng.

Nguyên tắc cơ bản:

Cho các mục đích của Tổng quan này, có bốn khía cạnh cơ bản để bảo mật: người dùng/nhóm, securable đối tượng, các cấp phép và thừa kế.

Nhóm và người dùng phá vỡ xuống để:

  • Người dùng cá nhân: Kéo từ hoạt động thư mục hoặc tạo trực tiếp trong SharePoint.
  • Nhóm: Ánh xạ trực tiếp từ hoạt động thư mục hoặc tạo ra trong SharePoint. Nhóm là một bộ sưu tập của người dùng. Nhóm được toàn cầu trong một bộ sưu tập trang web. Họ không bao giờ "gắn" với một đối tượng cụ thể securable.

Securable đối tượng phá vỡ xuống để tối thiểu:

  • Các trang web
  • Thư viện tài liệu
  • Các mặt hàng cá nhân trong danh sách và thư viện tài liệu
  • Thư mục
  • Cài đặt khác nhau BDC.

Có khác các đối tượng securable, nhưng bạn nhận được hình ảnh.

Cấp phép: Một bó của hạt / quyền truy cập cấp thấp bao gồm những thứ như tạo/đọc/xóa mục trong danh sách.

Thừa kế: Theo mặc định thực thể thừa kế thiết đặt bảo mật từ đối tượng có chứa. Các trang web tiểu thừa kế quyền từ cha mẹ của họ. Thư viện tài liệu kế thừa từ trang web của họ. Vv và vv..

Người dùng và nhóm liên quan đến các đối tượng securable thông qua các cấp phép và thừa kế.

Các quy tắc bảo mật quan trọng nhất để hiểu, Ever 🙂 :

  1. Nhóm là chỉ đơn giản là bộ sưu tập của người dùng.
  2. Nhóm được toàn cầu trong vòng một bộ sưu tập trang web (tức là. có is không thing như vậy là một nhóm được xác định ở cấp độ trang web).
  3. Tên nhóm không chịu, Nhóm không, Tại và của chính họ, có bất kỳ mức độ cụ thể của bảo mật.
  4. Nhóm có an ninh trong bối cảnh của một đối tượng cụ thể securable.
  5. Bạn có thể gán cấp phép khác nhau cho cùng một nhóm cho mọi đối tượng securable.
  6. Chính sách ứng dụng web trump tất cả điều này (Xem dưới đây).

Quản trị viên bảo mật bị mất trong một biển của các danh sách nhóm và người dùng có thể luôn luôn dựa vào các tiên đề quản lý và hiểu của cấu hình bảo mật.

Cạm bẫy:

  • Tên nhóm sai bao hàm sự cho phép: Ra khỏi hộp, SharePoint định nghĩa một tập của nhóm có tên ngụ ý một mức vốn có bảo mật. Xem xét nhóm "Đóng góp". Một không quen với SharePoint an ninh cũng có thể nhìn vào đó tên và giả định rằng bất kỳ thành viên của nhóm đó có thể "đóng góp" để bất kỳ trang web/danh sách/thư viện trong cổng. Đó có thể đúng, nhưng không phải vì tên của nhóm sẽ xảy ra là "đóng góp". Đây là chỉ thực sự ra khỏi hộp vì đội đã được cung cấp một mức độ quyền mà cho phép họ để thêm/chỉnh sửa/xóa nội dung ở trang web gốc. Thông qua thừa kế, "đóng góp" Nhóm cũng có thể thêm/chỉnh sửa/xóa nội dung ở mỗi trang web phụ. Ai có thể "phá vỡ" thừa kế chuỗi và thay đổi cấp phép của một phụ trang web như vậy là thành viên của cái gọi là "đóng góp" Nhóm không thể đóng góp ở tất cả, nhưng chỉ đọc (Ví dụ). Điều này sẽ không là một ý tưởng tốt, rõ ràng, kể từ khi nó sẽ là rất khó hiểu.
  • Nhóm không được xác định ở cấp độ trang web. Nó là dễ dàng để được bối rối bởi giao diện người dùng. Microsoft cung cấp một liên kết tiện lợi cho người dùng/nhóm quản lý thông qua mỗi trang web "những người và nhóm" liên kết. Nó là dễ dàng để tin rằng khi tôi đang ở trang web "xyzzy" tôi tạo ra một nhóm thông qua xyzzy của những người và nhóm liên kết mà tôi đã chỉ tạo ra một nhóm chỉ tồn tại tại xyzzy. Đó không phải là trường hợp. Tôi đã thực sự tạo ra một nhóm cho bộ sưu tập toàn bộ trang web.
  • Thành viên nhóm không thay đổi tùy theo trang web (tức là. nó là như nhau ở khắp mọi nơi đội được sử dụng): Xem xét nhóm "chủ sở hữu" và hai trang web, "NHÂN SỰ" và "Hậu cần". Nó sẽ là bình thường để nghĩ rằng hai cá nhân riêng biệt nào sở hữu các trang web đó — một chủ nhân sự và một chủ sở hữu Logistics. Giao diện làm cho nó dễ dàng cho người quản trị an ninh máy mishandle kịch bản này. Nếu tôi không biết tốt hơn, Tôi có thể truy cập vào các liên kết những người và nhóm thông qua trang web HR, chọn "chủ nhân" Nhóm và thêm của tôi chủ sở hữu HR vào nhóm đó. Một tháng sau, Hậu cần đến trên dòng. Tôi truy cập vào những người và nhóm từ trang web Logistics, Thêm kéo lên "chủ nhân" Nhóm. Tôi thấy chủ nhân sự có và loại bỏ của mình, suy nghĩ rằng tôi loại bỏ cô ấy từ chủ sở hữu tại địa điểm hậu cần. Thực tế, Tôi loại bỏ cô ấy từ nhóm chủ sở hữu toàn cầu. Vui nhộn nảy sinh.
  • Không thực hiện tên nhóm dựa trên vai trò cụ thể: "Approvers" Nhóm là một ví dụ hoàn hảo. Những gì có thể thành viên của nhóm này phê chuẩn? Nơi họ có thể chấp nhận nó? Tôi thực sự muốn bộ phận hậu cần người để có thể chấp nhận tài liệu HR? Tất nhiên là không. Luôn luôn tên nhóm dựa trên vai trò của họ trong tổ chức. Điều này sẽ làm giảm nguy cơ nhóm được chỉ định một mức độ không thích hợp cho phép cho một đối tượng cụ thể securable. Tên nhóm dựa trên vai trò dự định của họ. Trong trường hợp nhân sự/hậu cần trước, Tôi nên đã tạo ra hai nhóm mới: "Nhân sự chủ sở hữu." và "hậu cần chủ sở hữu." và chỉ định hợp lý quyền cấp cho mỗi và số tiền tối thiểu cần thiết cho những người sử dụng để làm công việc của họ.

Tài liệu tham khảo hữu ích khác:

Nếu bạn đã làm điều này đến nay:

Xin vui lòng cho tôi biết suy nghĩ của bạn thông qua các ý kiến hoặc gửi email cho tôi. Nếu bạn biết các tài liệu tham khảo tốt, Xin vui lòng làm như vậy!

Technorati Tags: