קאַטעגאָריע אַרטשיוועס: שאַרעפּאָינט זיכערהייַט

"אַקסעס דינייד” צו דעפאַולט.אַספּקס אויף אַ שאַרעפּאָינט 2010 סאַב וועבזייַטל

איינער פון מיין קלייאַנץ געגאנגען לעבן מיט זייער שאַרעפּאָינט 2010 סוויווע הייַנט.  מיר דיסקאַווערד אַז אַ זיכער גרופּע פון ​​ניצערס קען נישט צוטריט זייער פעליקייַט היים בלאַט.  שאַרעפּאָינט אפגערופן מיט "אַקסעס דינייד" און די געוויינטלעך "צייכן אין ווי אן אנדער באַניצער" אָדער "בעטן צוטריט" ענטפער. 

ווען מיר געניצט די ניפטי "קוק אַקסעס" פונקציאָנירן עס באשטעטיקט אַז די סוף ניצערס טאַקע האט האָבן צוטריט.  נאָך, זיי קען נישט באַקומען צו דעם בלאַט.

איך נאכגעגאנגען אַ פּלאַץ פון ראָודז צו פארשידענע טויט ענדס ביז איך באַשלאָסן צו פאַרגלייַכן די וועב טיילן אויף די איבערגעבליבענע בלאַט קעגן אַ ענלעך ארבעטן בלאַט.  איך האט אַז דורך פּאַטינג דער בלאַט אין וישאַלט מאָדע דורך אַדינג "?אינהאַלט = 1 "צו דער בלאַט. אַזוי, עס געקוקט ווי "הטטפּ://סערווירער / סובסיטע / סובסיטע / דעפאַולט.אַספּקס?אינהאַלט = 1 ". 

דאס אנטפלעקט מיר צוויי וועב טיילן געהייסן "פֿעלער" מיט אַ באַשרייַבונג ווי "פֿעלער" אויף די איבערגעבליבענע בלאַט.  איך האט נישט טראַכטן צו נעמען אַ פאַרשטעלן היטל אין די צייַט.

איך אראפגענומען זיי און אַז סאַלווד די פּראָבלעם.

איך ווע געזען אַ קשיא ווי דעם קומען אַרויף אויף די גרופּעס אין די פאַרגאַנגענהייַט און איך איז געווען גאָר סקעפּטיקאַל וועגן די אַפיש ס ינסיסטאַנס אַז ער האט זיכערהייַט שטעלן אַרויף רעכט.  איך * וויסן * איך האט זיכערהייַט שטעלן אַרויף רעכט שמייכל  ווייַטער צייַט, איך וועט זייַן מער עפענען און ווייניקער סקעפּטיקאַל.

</עק>

אַבאָנירן צו מיין בלאָג.

גיי מיר אויף טוויטטער בייַ http://www.twitter.com/pagalvin

ניצן וואָרקפלאָוו צו סימולירן אינהאַלט טיפּ זיכערהייַט

אן אנדער טאָג, אן אנדער מסדן-גרופּעס ינספּייערד פּאָסטן.

עמעצער איז אַסקינג צי זיי קען זיכער אַ צופרידן טיפּ אַזאַ אַז ווען אַ באַניצער קליקס אויף די "נייַ" קנעפּל אויף אַ מנהג רשימה, נאָר צופרידן טייפּס צו וואָס אַז מענטש איז געגעבן צוטריט וואָלט דערשייַנען אין די פאַלן-אַראָפּ רשימה.  ווי מיר וויסן, דאָס איז ניט געשטיצט אויס פון די קעסטל.

דעם קשיא קומט אַרויף איצט און דעמאָלט און דעם צייַט, איך האט אַ נייע געדאַנק.  זאל ס יבערנעמען אַז מיר האָבן סצענאַר ווי דעם:

  • מיר האָבן אַ העלפּדעסק טיקאַטינג סיסטעם.
  • די העלפּדעסק טיקאַטינג סיסטעם אַלאַוז ניצערס צו אַרייַן רעגולער העלפּדעסק בילעט אינפֿאָרמאַציע, אַזאַ ווי פּראָבלעם געגנט, פּראָבלעם סטאַטוס, אאז"ו ו.
  • מיר ווילן צו לאָזן "סופּער" ניצערס צו ספּעציפיצירן אַ "ערדזשאַנסי" פעלד.
  • אנדערע ניצערס טאָן נישט האָבן צוטריט צו אַז פעלד.  דער סיסטעם וועט שטענדיק באַשטימען "מיטל" מדרגה בילכערקייַט צו זייער ריקוועס.

וואָס מיר קען טאָן איז מאַכן צוויי באַזונדער שאַרעפּאָינט רשימות און צוויי פאַרשידענע צופרידן טייפּס, איינער פֿאַר "סופּער" ניצערס און די אנדערע פֿאַר אַלעמען אַנדערש.

וואָרקפלאָוו אויף יעדער רשימה קאפיעס די דאַטן צו דער בעל רשימה (די פאַקטיש העלפּדעסק בילעט רשימה) און דער פּראָצעס לייזונג פון דאָרט.

דעם צוגאַנג זאל אַרבעטן לויפן אַ מין פון זייַל מדרגה זיכערהייַט ווי געזונט. 

איך האב נישט געפרוווט עס, אָבער עס פילז גלייַך און גיט אַ פערלי פּשוט, אויב שיין פּראָסט, אָפּציע צו ינסטרומענט אַ מין פון צופרידן טיפּ און אַפֿילו זייַל מדרגה זיכערהייַט.

</עק>

אַבאָנירן צו מיין בלאָג.

גיי מיר אויף טוויטטער בייַ http://www.twitter.com/pagalvin

אינהאַלט אַפּפּראָוואַל ווי פּאָאָר מענטש ס אָטאַמאַטיק נומער לעוועל זיכערהייַט

עס ס 'אַ פּראָסט געשעפט סצענאַר מיט ינפאָפּאַטה פארמען.  מיר וועלן לאָזן מענטשן צו פּלאָמבירן אויס ינפאָפּאַטה פארמען און פאָרלייגן זיי צו אַ ביבליאָטעק.  מיר וועלן מאַנגערס (און קיין איינער אַנדערש) צו האָבן צוטריט צו די פארמען.

דעם קשיא קומט אַרויף איצט און דעמאָלט אויף די פארמען (e.g. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

A quick way to solve this is to enable content approval on the form library.  Go the library’s version settings and set it up as shown:

image 

Click on “Require content approval” and that will allow you to pick a value for Draft Item Security.

It’s a little counter-intuitive because we don’t think in terms of “content approval” when all we want to do is prevent people from seeing other users’ forms.  אָבער, it works well (אין מיין דערפאַרונג).  Just don’t approve those forms and they’ll always be considered “drafts”. 

Give approval rights to the people who should be able to see them and you’ve closed the loop.

This isn’t exactly big news, but the question does come up with some regularity, so I thought it would be worth posting.

</עק>

אַבאָנירן צו מיין בלאָג.

גיי מיר אויף טוויטטער בייַ http://www.twitter.com/pagalvin

וואָס איז לימיטעד אַקסעס סייַ ווי סייַ?

דערהייַנטיקן 11/03/08: זייַן זיכער צו לייענען די ויסגעצייכנט און דיטיילד באַמערקונג פון דעססיע לונספאָרד צו דעם פּאָסטן.

איך ווע שוין ארבעטן אויף אַ סוד טעק עדיטינג פּרויעקט פֿאַר אַן אַרויף-קומענדיק בוך און עס באַווייַזן דעם בלאָג פּאָזיציע דורך טיילער באַטלער אויף די מסדן עקם בלאָג. This is the first time I personally read a clear definition of the meaning of Limited Access. Here’s the meat of the definition:

אין שאַרעפּאָינט, אַנאַנאַמאַס ניצערס’ רעכט זענען באשלאסן דורך די לימיטעד אַקסעס דערלויבעניש מדרגה. לימיטעד אַקסעס איז אַ ספּעציעל דערלויבעניש מדרגה אַז קענען ניט זייַן אַסיינד צו אַ באַניצער אָדער גרופּע גלייַך. די סיבה עס יגזיסץ איז ווייַל אויב איר האָבן אַ ביבליאָטעק אָדער סובסיטע וואָס האט צעבראכן פּערמישאַנז ירושה, און איר געבן אַ באַניצער / גרופּע צוטריט צו נאָר אַז ביבליאָטעק / סובסיטע, אין סדר צו קוק זייַן אינהאַלט, דער באַניצער / גרופּע מוזן האָבן עטלעכע צוטריט צו די וואָרצל וועב. אַנדערש דער באַניצער / גרופּע וועט זייַן געקענט צו בלעטער די ביבליאָטעק / סובסיטע, אַפֿילו כאָטש זיי האָבן רעכט דאָרט, ווייַל דאָרט זענען זאכן אין דער וואָרצל וועב אַז ביסט דארף צו ופפירן די פּלאַץ אָדער ביבליאָטעק. דעריבער, ווען איר געבן אַ גרופּע פּערמישאַנז בלויז צו אַ סובסיטע אָדער ביבליאָטעק וואָס איז ברייקינג פּערמישאַנז ירושה, שאַרעפּאָינט וועט אויטאָמאַטיש געבן לימיטעד אַקסעס צו אַז גרופּע אָדער באַניצער אויף די וואָרצל וועב.

דעם קשיא קומט אַרויף איצט און דעמאָלט אויף די מסדן גרופּעס און איך ווע שטענדיק געווען טשיקאַווע (אָבער נישט טשיקאַווע גענוג צו רעכענען עס אויס איידער הייַנט :)).

</עק>

אַבאָנירן צו מיין בלאָג.

גיי מיר אויף טוויטטער בייַ http://www.twitter.com/pagalvin

טעטשנאָראַטי טאַגס:

שנעל טיפּ: קאַנפיגיער זיכערהייַט צו לאָזן אַדמינס צו צוטריט קיין מייַן פּלאַץ אין שאַרעפּאָינט

אין אַ צייכן אַז סאציאל קאָמפּוטינג איז אָנהייב צו נעמען אַוועק מיט שאַרעפּאָינט, I see an increased number of My Site type questions. One common question goes something like this:

"I am an administrator and I need to be able to access every My Site. How do I do that?"

The trick here is that each My Site is its own site collection. SharePoint security is normally administered at the site collection level and this trips up many a SharePoint administrator. Normally, she already has access to configure security in the "main" site collections and may not realize that this doesn’t automatically work for My Sites.

Site collections collectively live inside a larger container, which is the web application. Farm admins can can configure security at the web app level and this is how admins can grant themselves access to any site collection in the web application. This blog entry describes one of my personal experiences with web application policies. I defined a web application policy by accident: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web application policies can be dangerous and I suggest that they be used sparingly. If I were an admin (and thank goodness I am not), I would create a separate AD account named something like "SharePoint Web App Administrator" and give that one account the web application security role it needs. I would not configure this kind of thing for the regular farm admin or individual site collection admins. It will tend to hide potential problems because the web app role overrides any lower level security settings.

</עק>

אַבאָנירן צו מיין בלאָג.

גיי מיר אויף טוויטטער בייַ http://www.twitter.com/pagalvin

טעטשנאָראַטי טאַגס: ,

קוקן און שפאלטן אויף ליס און דאָקומענט וספריות קענען ניט זיין סעקורעד

דערהייַנטיקן (02/29/08): דאס נייַ קאָדעפּלעקס פּרויעקט מיינט צו צושטעלן אַ אופֿן פֿאַר סיקיורינג יחיד שפאלטן: http://www.codeplex.com/SPListDisplaySetting. If you have any experience working with it, ביטע לאָזן אַ באַמערקונג.

פורום פּאָסטערס אָפט פרעגן אַ קשיא ווי דעם: "I have a manager view and and a staff view of a list. How do I secure the manager view so that staff can not use it?"

זיי אויך אָפט פרעגן אַ שייַכות קשיא: "I want to secure a specific metadata column so that only managers may edit that column while others may not even see it."

These answers apply to both WSS 3.0 און מאָך:

  • שאַרעפּאָינט טוט נישט צושטעלן אויס-פון-דעם-קעסטל שטיצן פֿאַר סיקיורינג קוקן.
  • שאַרעפּאָינט טוט נישט צושטעלן אויס-פון-דעם-קעסטל שטיצן פֿאַר זיכערהייַט שפאלטן.

There are several techniques one can follow to meet these kinds of security requirements. Here’s what I can think of:

  • Use out-of-the-box item level security. Views always honor item level security configuration. Event receivers and/or workflow can automate security assignment.
  • Use personal views for "privileged" קוקן. These are easy enough to set up. אָבער, due to their "personal" נאַטור, these need to be configured for each user. Use standard security configuration to prevent anyone else from creating a personal view.
  • ניצן אַ דאַטן מיינונג וועב טייל און ינסטרומענט עטלעכע מין פון אַדזשאַקסי זיכערהייַט טרימינג לייזונג.
  • זעמל דיין אייגן רשימה אַרויסווייַזן פאַנגקשאַנאַליטי און ינקאָרפּערייט זיכערהייַט טרימינג בייַ די זייַל מדרגה.
  • מאָדיפיצירן די דאַטן פּאָזיציע פארמען און נוצן דזשאַוואַסקריפּט אין קאַנדזשאַנגקשאַן מיט די זיכערהייַט מאָדעל צו ינסטרומענט זייַל-מדרגה זיכערהייַט טרימינג.
  • Use an InfoPath form for data entry. Implement column-level security trimming via web service calls to SharePoint and conditionally hide fields as needed.
  • זעמל דיין אייגן ASP.NET דאַטן פּאָזיציע פונקציאָנירן אַז ימפּלאַמאַנץ זייַל מדרגה זיכערהייַט טרימינג.

קיינער פון די אָפּציעס זענען טאַקע אַז גרויס, אָבער עס איז לפּחות אַ דרך צו נאָכפאָלגן אויב איר דאַרפֿן צו, אַפֿילו אויב עס ס שווער.

נאָטיץ: אויב איר גיין אַראָפּ קיין פון די פּאַטס, don’t forget about "Actions -> Open with Windows Explorer". You want to be sure that you test with that feature to make sure that it doesn’t work as a "back door" און באַזיגן דיין זיכערהייַט סכעמע.

אויב איר האָבן אנדערע געדאנקען פֿאַר אָדער יקספּיריאַנסיז מיט סיקיורינג שפאלטן אָדער קוקן, ביטע Email מיר אָדער לאָזן אַ באַמערקונג און איך וועט דערהייַנטיקן דעם פּאָסטינג ווי צונעמען.

</עק>

אַבאָנירן צו מיין בלאָג.

טעטשנאָראַטי טאַגס:

באַשייד: סיסטעמ.יאָ.פילענאָטפאָונדעקססעפּטיאָן אויף “ספּסיטע = נייַ ספּסיטע(URL)”

דערהייַנטיקן: איך אַרייַנגעשיקט דעם קשיא צו מסדן דאָ (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) and Michael Washam of Microsoft responded with a concise answer.

איך באשאפן אַ וועב דינסט צו שפּילן ווי אַ בדק-פרייַנדלעך פאַסאַד to a SharePoint list. When I used this from my development environment, עס געארבעט פייַן. ווען איך מייגרייטיד דעם צו אַ נייע סערווער, איך געפּלאָנטערט דעם טעות:

סיסטעמ.יאָ.פילענאָטפאָונדעקססעפּטיאָן: די וועב אַפּלאַקיישאַן בייַ http://localhost/sandbox קען נישט זייַן געפונען. באַשטעטיקן אַז איר האָט טייפּט די URL ריכטיק. אויב די URL זאָל זייַן געדינט שאַפֿן צופרידן, די סיסטעם אַדמיניסטראַטאָר קען דאַרפֿן צו לייגן אַ נייַ בעטן URL מאַפּינג צו די בדעה אַפּלאַקיישאַן. בייַ מיקראָסאָפט.שאַרעפּאָינט.ספּסיטע .. קטאָר(ספּפאַרם פאַרם, אורי רעקוועסטורי, בוליאַן קאָנטעקסציטע, ספּוסערטאָקען וסערטאָקען) בייַ מיקראָסאָפט.שאַרעפּאָינט.ספּסיטע .. קטאָר(שטריקל רעקוועסטורל) בייַ קאָנטשאַנגאָ.קסיזזי.געטעקסיסטינגדאָקומענט(שטריקל מיניד, שטריקל מאַקסיד, שטריקל טיטלעפילטער) אין C:\דאָקומענטן און סעטטינגס פאולוס מייַן דאָקומענץ וויסואַל סטודיאָ 2005 פּראַדזשעקס קסיזזי בדק_דאָקרעוויעוו בדק_דאָקרעוויעוו דאָקרעוויעוופאַקאַדע.אַסמקס.קס:ליניע 69

דאָ איז שורה 69:

ניצן (ספּסיטע פּלאַץ = נייַ ספּסיטע("http://localhost/sandbox"))

איך געפרוווט פאַרשידענע ווערייישאַנז אויף די URL, אַרייַנגערעכנט ניצן די סערווירער ס פאַקטיש נאָמען, זייַן IP אַדרעס, טריילינג סלאַשיז אויף די URL, אאז"ו ו. I always got that error.

איך געוויינט די גוגל to research it. Lots of people face this issue, אָדער ווערייישאַנז פון עס, אָבער קיין איין געווען צו האָבן עס סאַלווד.

טריקקסי מאָך צוגעשטעלט אַזאַ אַ דיטיילד טעות אַז עס האט ניט פאַלן צו מיר צו קאָנטראָלירן די 12 hive logs. Eventually, וועגן 24 שעה נאָך מיין קאָלעגע רעקאַמענדיד איך טאָן אַזוי, איך אָפּגעשטעלט אויס די 12 כייוו קלאָץ און געפונען דעם:

אַן אויסנאַם פארגעקומען בשעת טריינג צו קריגן די היגע פאַרם:
סיסטעמ.סעקוריטי.סעקוריטיעקססעפּטיאָן: געבעטן רעגיסטרי צוטריט איז נישט ערלויבט.
בייַ סיסטעמ.טהראָווהעלפּער.טהראָווסעקוריטיעקססעפּטיאָן(עקססעפּטיאָנרעסאָורסע מיטל) בייַ
(שטריקל נאָמען, בוליאַן ווריטאַבלע) בייַ
(שטריקל נאָמען) בייַ
() בייַ
() בייַ
(ספּפאַרם& פאַרם, בוליאַן& יסדזשאָינעד)
דער זאָנע פון ​​די פֿאַרזאַמלונג וואָס אַנדערש איז געווען:  MyComputer

דאס געעפנט אַרויף נייַ אַוואַנוז פון פאָרשונג, אַזוי עס איז געווען צוריק צו די גוגל. אַז געפירט מיר צו דעם פאָרום פּאָסטן: הטטפּ://forums.codecharge.com / פּאָסצ.פפּ?פּאָסט_יד = 67,135. That didn’t really help me but it did start making me think there was a database and/or security issue. I soldiered on and אנדריי קאַנאַל ס post finally triggered the thought that I should make sure that the application pool’s identity account had appropriate access to the database. I thought it already did. אָבער, מיין קאָלעגע געגאנגען און געגעבן די אַפּ בעקן אידענטיטעט חשבון פול צוטריט צו סקל.

ווי באַלד ווי זי געמאכט אַז ענדערונג, everything started working.

וואָס געטראפן ווייַטער איז בעסטער אויסגעדריקט ווי אַ האַיקו ליד:

פּראָבלעמס כאַפּן זייער הענט.
You swing and miss. Try again.
דערפאָלג! But how? פאַר וואָס?

זי האט נישט וועלן צו לאָזן דאס אַליין ווי אַז, פּריפערינג צו געבן די מינימום פארלאנגט דערלויבעניש (און מיסטאָמע מיט אַן אויג צו שרייבן אַ בלאָג פּאָזיציע; איך שלאָגן איר צו דעם זעץ, מוהאַהאַהאַהאַהאַ!).

זי אראפגענומען סאַקסעסיוו פּערמישאַנז פון די אַפּ בעקן אידענטיטעט חשבון ביז … there was no longer any explicit permission for the app pool identity account at all. The web service continued to work just fine.

We went and rebooted the servers. Everything continued to work fine.

אַזוי, צו ריקאַפּ: we gave the app pool identity full access and then took it away. The web service started working and never stopped working. Bizarre.

אויב ווער עס יז ווייסט וואָס וואָס זאָל האָבן געארבעט, ביטע לאָזן אַ באַמערקונג.

</עק>

טעטשנאָראַטי טאַגס:

מינימום זיכערהייַט פארלאנגט פֿאַר ינפאָפּאַטה פאָרמס

I needed to meet a security requirement for an InfoPath form today. In this business situation, a relatively small number of individuals are allowed to create a new InfoPath form and a much wider audience are allowed to edit it. (דאס איז נייַ-דינגען אויף-באָרדינג פאָרעם געניצט דורך מענטשנרעכט רעסורסן אַז לאָנטשיז אַ וואָרקפלאָוו).

צו טרעפן אַז אָביעקטיוו, איך באשאפן באשאפן צוויי נייַ דערלויבעניש לעוועלס ("create and update" and "update only"), broke inheritance for the form library and assigned permissions to a "create, דערהייַנטיקן" user and a separate "update only" באַניצער. The mechanics all worked, but it turned out to be a little more involving than I expected. (אויב איר פילן אַ ביסל שאַקי אויף שאַרעפּאָינט פּערמישאַנז, טשעק אויס דעם בלאָג פּאָסטן). The required security configuration for the permission level was not the obvious set of granular permissions. To create an update-only permission level for an InfoPath form, איך האט די פאלגענדע:

  1. שאַפֿן אַ נייַ דערלויבעניש מדרגה.
  2. קלאָר אַוועק אַלע אָפּציעס.
  3. Selected only the following from "List permissions":
    • רעדאַגירן יטעמס
    • View יטעמס
    • View אַפּפּליקאַטיאָן בלעטער

סאַלעקטינג די אָפּציעס אַלאַוז אַ באַניצער צו דערהייַנטיקן אַ פאָרעם, אָבער נישט מאַכן עס.

The trick was to enable the "View Application Pages". There isn’t any verbage on the permission level that indicates that’s required for update-only InfoPath forms, אָבער טורנס אויס עס איז.

Create-and-Update was even stranger. I followed the same steps, 1 דורך 3 העכער. I had to specifically add a "Site Permission" בריירע: "Use client integration features". ווידער, די באַשרייַבונג עס טוט נישט מאַכן עס ויסקומען ווי עס דארף צו זייַן פארלאנגט פֿאַר אַ ינפאָפּאַטה פאָרעם, אָבער דאָרט עס איז.

</עק>

שאַרעפּאָינט טוט נישט צושטעלן “וואס האט אַקסעס” רעפּאָרץ

דערהייַנטיקן 01/28/08: דאס קאָדעפּלעקס פּרויעקט ווענדט דעם אַרויסגעבן: http://www.codeplex.com/AccessChecker. I have not used it, אָבער עס קוקט פּראַמאַסינג אויב דאָס איז אַן אַרויסגעבן איר דאַרפֿן צו אַדרעס אין אייער סוויווע.

דערהייַנטיקן 11/13/08: יואל אַליסאַן געשריבן אַרויף אַ זייער גוט פּאָסטן אויף די גרעסערע זיכערהייַט אַדמיניסטראַציע אַרויסגעבן דאָ: הטטפּ://www.sharepointjoel.com / ליס / הודעות / פּאָסט.אַספּקס?List=0cd1a63d-183c-4fc2-8320-ba5369008acb&שייַן = 113. It links to a number of other useful resources.

פורום ניצערס און קלייאַנץ אָפֿט פרעגן אַ קשיא צוזאמען די שורות: "How do I generate a list of all users with access to a site" or "How can I automatically alert all users with access to list about changes made to the list?"

There is no out of the box solution for this. If you think about it for a moment, עס ס 'נישט שווער צו פֿאַרשטיין וואָס.

SharePoint security is very flexible. There are at least four major categories of users:

  • אַנאָנימאָוס ניצערס.
  • שאַרעפּאָינט ניצערס און גרופּעס.
  • אַקטיוו דירעקטארי ניצערס.
  • פארמען באַזירט אַוטהענטיקאַטיאָן (פבאַ) ניצערס.

די בייגיקייַט מיטל אַז פון אַ זיכערהייַט פּערספּעקטיוו, any given SharePoint site will be dramatically different from another. In order to generate an access list report, איינער דאַרף צו יבערצייַגנ זיך ווי דער פּלאַץ איז סיקיורד, query multiple different user profile repositories and then present it in a useful fashion. That’s a hard problem to solve generically.

ווי זענען אָרגאַניזאַציעס דילינג מיט דעם? I’d love to hear from you in comments or Email.

</עק>

שאַרעפּאָינט זיכערהייַט פונדאַמענטאַלס ​​ערשטער / ויסמייַדן קאָממאָן פּיטפאַללס

דערהייַנטיקן 12/18/07: זען פאולוס ליעבראַנד ס אַרטיקל פֿאַר עטלעכע טעכניש פאלגן פון רימוווינג אָדער מאַדאַפייינג די פעליקייַט גרופּע נעמען (זען זייַן באַמערקונג אונטן ווי געזונט).

איבערבליק:

SharePoint security is easy to configure and manage. אָבער, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (איך אַרייַנלאָזן צו בעת דעם פּראָבלעם זיך). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

וויכטיק באַמערקונג:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or Email מיר. I’ll make corrections post haste.

פאַנדאַמענטאַלז:

פֿאַר די צוועקן פון דעם איבערבליק, עס זענען פיר פונדאַמענטאַל אַספּעקץ צו זיכערהייַט: ניצערס / גרופּעס, סעקוראַבלע אַבדזשעקס, דערלויבעניש לעוועלס און ירושה.

ניצערס און גרופּעס ברעכן אַראָפּ צו:

  • יחיד ניצערס: פּולד פון אַקטיוו Directory אָדער באשאפן גלייַך אין שאַרעפּאָינט.
  • גרופּעס: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" צו אַ ספּעציפיש סעקוראַבלע כייפעץ.

סעקוראַבלע אַבדזשעקס ברעכן אַראָפּ צו לפּחות:

  • זייטלעך
  • דאָקומענט לייברעריז
  • יחיד זאכן אין רשימות און דאָקומענט לייברעריז
  • פאָלדערס
  • פארשידענע בדק סעטטינגס.

עס אנדערע סעקוראַבלע אַבדזשעקס, אָבער איר באַקומען די בילד.

דערלויבעניש לעוועלס: א פּעקל פון גראַניאַלער / low level access rights that include such things as create/read/delete entries in lists.

יערושע: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

ניצערס און גרופּעס פאַרבינדן צו סעקוראַבלע אַבדזשעקס דורך דערלויבעניש לעוועלס און ירושה.

די מערסט וויכטיק זיכערהייַט רולעס צו פֿאַרשטיין, Ever 🙂 :

  1. גרופּעס זענען פשוט זאמלונגען פון ניצערס.
  2. גרופּעס זענען גלאבאלע ין אַ פּלאַץ זאַמלונג (י.ע. עס איז ניט אַזאַ זאַך ווי אַ גרופּע דיפיינד בייַ אַ פּלאַץ גלייַך).
  3. גרופע נאָמען נישט וויטסטאַנדינג, גרופּעס טאָן ניט, אין און פון זיך, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. איר זאלט ​​באַשטימען פאַרשידענע דערלויבעניש לעוועלס צו די זעלבע גרופּע פֿאַר יעדער סעקוראַבלע כייפעץ.
  6. וועב אַפּלאַקיישאַן פּאַלאַסיז טראַמפּ אַלע פון ​​דעם (זען ווייטער).

זיכערהייַט אַדמיניסטראַטאָרס פאַרפאַלן אין אַ ים פון גרופּע און באַניצער ליסטינגס קענען שטענדיק פאַרלאָזנ אויף די אַקסיאַמז צו פירן און פֿאַרשטיין זייער זיכערהייַט קאַנפיגיעריישאַן.

פּראָסט פּיטפאַללס:

  • גרופע נעמען פאָלסלי מיינען דערלויבעניש: אויס פון די קעסטל, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" גרופּע קענען נישט בייַשטייַערן בייַ אַלע, אָבער בלויז לייענען (לעמאָשל). This would not be a good idea, דאָך, זינט עס וואָלט זייַן זייער קאַנפיוזינג.
  • גרופּעס זענען נישט דיפיינד בייַ אַ פּלאַץ גלייַך. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" רונג. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • גרופּעס מיטגלידערשאַפט טוט נישט בייַטן דורך פּלאַץ (י.ע. עס איז די זעלבע אומעטום די גרופּע איז געניצט): Consider the group "Owner" און צוויי זייטלעך, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, איך זאל צוטריט די מענטשן און גרופּעס לינקס דורך די הר פּלאַץ, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. אין פאַקט, I’m removing her from the global Owners group. Hilarity ensues.
  • פיילינג צו נאָמען גרופּעס באזירט אויף ספּעציפיש ראָלע: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, איך זאָל האָבן באשאפן צוויי נייַ גרופּעס: "HR Owners" and "Logistics Owners" און באַשטימען פיליק דערלויבעניש לעוועלס פֿאַר יעדער און דער מינימום סומע פארלאנגט פֿאַר יענע ניצערס צו טאָן זייער אַרבעט.

אנדערע נוציק רעפֿערענצן:

אויב איר ווע געמאכט עס דעם ווייַט:

Please let me know your thoughts via the comments or email me. If you know other good references, ביטע טאָן די זעלבע!

טעטשנאָראַטי טאַגס: