שאַרעפּאָינט זיכערהייַט פונדאַמענטאַלס ​​ערשטער / ויסמייַדן קאָממאָן פּיטפאַללס

דערהייַנטיקן 12/18/07: זען פאולוס ליעבראַנד ס אַרטיקל פֿאַר עטלעכע טעכניש פאלגן פון רימוווינג אָדער מאַדאַפייינג די פעליקייַט גרופּע נעמען (זען זייַן באַמערקונג אונטן ווי געזונט).

איבערבליק:

SharePoint security is easy to configure and manage. אָבער, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (איך אַרייַנלאָזן צו בעת דעם פּראָבלעם זיך). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

וויכטיק באַמערקונג:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or Email מיר. I’ll make corrections post haste.

פאַנדאַמענטאַלז:

פֿאַר די צוועקן פון דעם איבערבליק, עס זענען פיר פונדאַמענטאַל אַספּעקץ צו זיכערהייַט: ניצערס / גרופּעס, סעקוראַבלע אַבדזשעקס, דערלויבעניש לעוועלס און ירושה.

ניצערס און גרופּעס ברעכן אַראָפּ צו:

  • יחיד ניצערס: פּולד פון אַקטיוו Directory אָדער באשאפן גלייַך אין שאַרעפּאָינט.
  • גרופּעס: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" צו אַ ספּעציפיש סעקוראַבלע כייפעץ.

סעקוראַבלע אַבדזשעקס ברעכן אַראָפּ צו לפּחות:

  • זייטלעך
  • דאָקומענט לייברעריז
  • יחיד זאכן אין רשימות און דאָקומענט לייברעריז
  • פאָלדערס
  • פארשידענע בדק סעטטינגס.

עס אנדערע סעקוראַבלע אַבדזשעקס, אָבער איר באַקומען די בילד.

דערלויבעניש לעוועלס: א פּעקל פון גראַניאַלער / low level access rights that include such things as create/read/delete entries in lists.

יערושע: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

ניצערס און גרופּעס פאַרבינדן צו סעקוראַבלע אַבדזשעקס דורך דערלויבעניש לעוועלס און ירושה.

די מערסט וויכטיק זיכערהייַט רולעס צו פֿאַרשטיין, Ever 🙂 :

  1. גרופּעס זענען פשוט זאמלונגען פון ניצערס.
  2. גרופּעס זענען גלאבאלע ין אַ פּלאַץ זאַמלונג (י.ע. עס איז ניט אַזאַ זאַך ווי אַ גרופּע דיפיינד בייַ אַ פּלאַץ גלייַך).
  3. גרופע נאָמען נישט וויטסטאַנדינג, גרופּעס טאָן ניט, אין און פון זיך, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. איר זאלט ​​באַשטימען פאַרשידענע דערלויבעניש לעוועלס צו די זעלבע גרופּע פֿאַר יעדער סעקוראַבלע כייפעץ.
  6. וועב אַפּלאַקיישאַן פּאַלאַסיז טראַמפּ אַלע פון ​​דעם (זען ווייטער).

זיכערהייַט אַדמיניסטראַטאָרס פאַרפאַלן אין אַ ים פון גרופּע און באַניצער ליסטינגס קענען שטענדיק פאַרלאָזנ אויף די אַקסיאַמז צו פירן און פֿאַרשטיין זייער זיכערהייַט קאַנפיגיעריישאַן.

פּראָסט פּיטפאַללס:

  • גרופע נעמען פאָלסלי מיינען דערלויבעניש: אויס פון די קעסטל, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" גרופּע קענען נישט בייַשטייַערן בייַ אַלע, אָבער בלויז לייענען (לעמאָשל). This would not be a good idea, דאָך, זינט עס וואָלט זייַן זייער קאַנפיוזינג.
  • גרופּעס זענען נישט דיפיינד בייַ אַ פּלאַץ גלייַך. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" רונג. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • גרופּעס מיטגלידערשאַפט טוט נישט בייַטן דורך פּלאַץ (י.ע. עס איז די זעלבע אומעטום די גרופּע איז געניצט): Consider the group "Owner" און צוויי זייטלעך, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, איך זאל צוטריט די מענטשן און גרופּעס לינקס דורך די הר פּלאַץ, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. אין פאַקט, I’m removing her from the global Owners group. Hilarity ensues.
  • פיילינג צו נאָמען גרופּעס באזירט אויף ספּעציפיש ראָלע: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, איך זאָל האָבן באשאפן צוויי נייַ גרופּעס: "HR Owners" and "Logistics Owners" און באַשטימען פיליק דערלויבעניש לעוועלס פֿאַר יעדער און דער מינימום סומע פארלאנגט פֿאַר יענע ניצערס צו טאָן זייער אַרבעט.

אנדערע נוציק רעפֿערענצן:

אויב איר ווע געמאכט עס דעם ווייַט:

Please let me know your thoughts via the comments or email me. If you know other good references, ביטע טאָן די זעלבע!

טעטשנאָראַטי טאַגס:

8 געדאנקען אויף "שאַרעפּאָינט זיכערהייַט פונדאַמענטאַלס ​​ערשטער / ויסמייַדן קאָממאָן פּיטפאַללס

  1. Perry

    מער פּיטפאָלז:

    * עס זענען זיכער ספּעציעל פּערמישאַנז פאַראַנען אנדערש אין די סספּ און ניט קענטיק אין דעם מענטשן און גרופּעס אָפּטיילונג: "Personalization services permissions"and "Business Data Catalog permissions"

    * איך האָבן לייענען אַז עס זענען אויך ספּעציעל שאַרעפּאָינט דיזיינער פּערמישאַנז בנימצא אין עטלעכע אַרקיין קסמל מקבר געווען ין HTML ערגעץ.

    * די ערשטיק און צווייטיק אַדמיניסטראַטאָרס פֿאַר אַ מאַפּע קאַלעקשאַן זענען געהאלטן אנדערש אין מאַפּע קאַלעקשאַן סעטטינגס, און זענען נישט קענטיק אין דעם מענטשן און גרופּעס אָפּטיילונג.

    * זיכער אַקאַונץ האָבן מאַדזשיקאַל (ספּעציעל) אַבילאַטיז ראַגאַרדלאַס פון וואָס איר זען אין די מענטשן און גרופּעס געגנט: מיטגלידער פון די געבויט-אין אַדמיניסטראַטאָרס גרופּע אויף די וועב סערווערס, און די פאַרם סערוויס אַקאַונט.

    (פּס: דיליטינג די ספּאַם באַמערקונגען וואָלט פֿאַרבעסערן לעדזשאַבילאַטי דאָ.)

  2. דזשין רייט
    דאס איז אַ זייער גוט פּאָסטן. איך האָבן געפאלן אין דעם טראַפּ אויף אַ ווייניק מאל. זיכערהייַט אַדמיניסטראַציע קענען באַקומען קאָמפּלעקס ווען איר נעמען מיקסינג אָטענטאַקיישאַן מעטהאָדס און פאַרשידענע זיכערהייַט גרופּינג מעטהאָדס. דאס דאַרף צו זייַן געהאלטן ווי טייל פון די פּלאַנירונג פּראָצעס און זאָל נישט זייַן אָוווערלוקט.
  3. מארק מיללער געשריבן:
    (באַמערקונג פון פאולוס: מארק געבעטן מיר צו מאַכן אַ קליין טוישן צו זייַן באַמערקונג אָבער איך קענען נישט רעדאַגירן לעבן ספּייסיז באַמערקונגען אַזוי איך ווע צוגעגעבן עס ווידעראַמאָל דאָ מיט די ענדערונג און אויסגעמעקט די אָריגינעל).
    פאולוס,
    די קיצער צוגאַנג פֿאַר פּריזענטינג דעם אינפֿאָרמאַציע געקומען אַוועק זייער געזונט. I especially liked the "Pitfalls" אָפּטיילונג, זינט איך ווע געפאלן אין אַ ביסל פון יענע זיך.
    אן אנדער זאַך איר האט שלאָגן היים: וויסן אויף מאנטאג טוט נישט נישט דאַווקע מיינען איר וועט געדענקען עס אויף פרייטאג. I’m glad someone besides me is using their blog as a "tickler" סיסטעם פֿאַר די קריטיש זאכן וואָס זענען נישט געטאן אויף אַ רעגולער יקער.
    גוט אַרבעט.
    גרוס,
    צייכן
    EndUserSharePoint.com

    נאָוועמבער 27 9:04 בין
    (http://www.EndUserSharePoint.com)

  4. פאולוס גאַלווין
    איך טראַכטן עס ס מיסטאָמע אַ גוט געדאַנק צו באַזייַטיקן די פעליקייַט גרופּעס, especially Contributor and Owner. They are overbroad and easily confused. I prefer to use "All Authenticated Users" in place of a "Visitor" group as well. If a specific set of users should only read-only access then I’d recommend creating an AD group or SharePoint group with an appropriately descriptive name, e.g. "Logistics Visitors".
    –פאולוס ג
  5. קיין נאָמען
    עס סאָונדס ווי דער ערשטער זאַך איר זאָל טאָן איז נאָר דאַמפּ די וויזיטער, קאָנטריבוטאָר און אָונער גרופּעס און פאַרבייַטן זיי מיט אייער אייגן לאַדזשיקאַל גרופּעס. וואָלט דאָס מאַכן זינען צו טאָן?

לאָזן אַ ענטפֿערן

אייער בליצפּאָסט אַדרעס וועט ניט זיין ארויס. Required fields are marked *