SharePoint 安全基礎知識入門 / 避免常見的陷阱

更新 12/18/07: 請參閱刪除或修改預設的組名的一些技術的後果 Paul Liebrand 文章 (也見他下面的評論).

概述:

SharePoint 安全是易於配置和管理. 不過, 它已被證明是真的包裝他們的手在它附近一些第一次管理員難以. 不只如此, 我見過一些管理員來到一個完美的理解,在週一只把它丟了週五因為他們沒有做任何配置在這段時間. (我承認我自己有這個問題). 這篇博客希望提供一個有用的 SharePoint 安全引子和指向一些安全配置的最佳實踐.

重要說明:

這種描述基於開箱即用 SharePoint 安全. 我個人的經驗被面向各地苔蘚,所以可能會有一些苔蘚的具體東西在這裡, 但我相信它是準確的 WSS. 我希望看到的任何錯誤或遺漏的任何人都將點,在評論中或 電子郵件通知我. 我會改正後匆忙.

基礎知識:

為施行本概述, 有四個基本方面的安全: 使用者/使用者組, 安全物件, 權限等級和繼承.

使用者和組 打破降到:

  • 個人使用者: 拉扯了從活動目錄或直接在 SharePoint 中創建.
  • 團體: 從 active directory 直接映射或在創建 SharePoint. 組是使用者的集合. 組是全球化的網站集合中. 他們永遠不會"綁" 安全物件的特定物件.

安全物件 打破降到最少:

  • 網站
  • 文件庫
  • 清單和文件庫中的個別項
  • 資料夾
  • BDC 的各種設置.

那裡其他的安全物件, 但你得到的圖片.

權限等級: 捆綁的顆粒 / 在清單中包含諸如創建/讀取/項目剪除的低級別的存取權限.

繼承: 預設情況下從其包含的物件實體繼承安全設置. 子網站從其父項繼承許可權. 繼承他們網站的文件庫. 等等等等等等.

與使用者和組物件有關的安全物件的權限等級和繼承通過.

最重要的安全規則,來理解, 曾經🙂 :

  1. 組是簡單的使用者的集合.
  2. 組是全球網站集內 (e 小節. 沒有這種東西在網站級別上定義的一個組).
  3. 不耐的組名稱, 團體卻不, 在和自己的, 有任何特定的安全水準.
  4. 組在某一特定的安全物件的上下文中具有安全.
  5. 你可以到每個安全物件的同一組分配不同的權限等級.
  6. Web 應用程式策略勝過這一切 (請參閱下面的).

安全管理員組和使用者清單的海洋中失去了總可以依靠這些公理來管理和瞭解他們的安全配置.

常見的陷阱:

  • 組名稱錯誤地暗示的許可權: 外框, SharePoint 定義一組組名字暗示了固有的安全級別. 考慮"參與者"組. 一個熟悉 SharePoint 安全性可能會看看那名字,假設,那組的任何成員可以"作出貢獻" 對任何網站/清單/庫在門戶中. 這可能是真的,但並不是因為該集團的名字恰巧是"討論參與者". 這是唯一真正開箱即用,因為該集團提供了權限等級,使它們能在根網站添加/編輯/刪除內容. 通過繼承, "派遣" 集團也可能在每個分網站添加/編輯/刪除內容. 一個可以"打破" 繼承鏈和更改一個子網站的權限等級的成員的所謂的"參與者" 組不能在所有作出貢獻, 但只能讀取 (舉個例子). 這不會是一個好主意, 很明顯, 因為它將是非常令人困惑.
  • 組不在網站級別定義. 它很容易被混淆的使用者介面. Microsoft 提供了方便的連結到使用者/組管理通過每個網站的"人和組" 連結. 很容易相信,當我在網站"xyzzy" 我創建一個組通過 xyzzy 的人和團體聯繫起來,我只是在 xyzzy 創建只存在一組. 這不是個案. 我實際上已經創造了一群為整個網站集.
  • 組成員身份不會由網站不同 (e 小節. 到處都使用組是相同): 考慮"擁有者組" 和兩個網站, "HR" 和"物流". 它會正常想兩個獨立的個體將會擁有這些網站 — HR 擁有者和物流擁有者. 使用者介面輕鬆安全管理員責難這種情況下. 如果我不知道更好, 我可能會訪問的人和群體通過人力資源網站連結, 選擇"業主" 組並向該組添加我的 HR 主人. 一個月後, 物流上線. 訪問從物流網站中的使用者和使用者組, 添加"業主拉起" 集團. 我看到那裡 HR 擁有者和刪除她, 我在消除她從擁有者在物流網站的思考. 事實上, 我在消除她從全球的擁有者組. 接著而來的歡樂.
  • 故障到基於特定角色的名稱組: "核准者" 組是一個完美的例子. 什麼可以這組批准成員? 他們在那裡能批准它? 我真的想人物流部門能夠批准人事相關檔嗎? 當然不是. 始終命名組基於其在組織內的角色. 這將減少風險的組分配特定的安全物件所需的權限等級. 基於其預期角色名稱組. 在前面的 HR/物流場景, 我應該創建兩個新組: "HR 業主" 與"物流業主" 和分配每個合理的權限等級和那些使用者做他們的工作所必需的最低金額.

其他有用的參考:

如果你讓它這個遠:

請讓我知道你的想法通過評論或給我發電子郵件. 如果你知道其他有益的參考, 請這樣做!

Technorati 標籤:

8 上“的想法SharePoint 安全基礎知識入門 / 避免常見的陷阱

  1. 佩里

    更多的陷阱:

    * 有某些特殊許可權可用其他地方的 SSP 和在使用者和使用者組部分中不可見: "個人化服務許可權"和"商務資料目錄許可權"

    * 我讀了也有 SharePoint 設計器的特殊許可權在內部 html 某處埋一些奧術 xml 中可用.

    * 小學和中學為網站集管理員其他地方保存在網站集設置, 和是不可見的人和群體節.

    * 特定帳戶具有神奇 (特別) 無論你看到的人和群體地區的能力: 在 web 伺服器上的內置管理員組的成員, 和農場服務帳戶.

    (PS: 刪除垃圾評論會提高可辨認性在這裡。)

    答覆
  2. 讓 · 賴特
    這是一個很好的職位. 我有幾次掉進這個陷阱. 安全管理可以得到複雜,當你開始混合身份驗證方法和不同的安全的分組方法. 這需要考慮作為規劃過程的一部分,不應忽視.
    答覆
  3. 馬克 · 米勒寫道::
    (注意從保羅: 馬克問我對他的評論進行很小的變化但是不能編輯活空格評論,所以我添加它重新在這裡更改和刪除原始).
    保羅 ·,
    提交此資訊的摘要方法來很好. 我尤其喜歡"陷阱" 一節, 因為掉進了幾個的那些我自己.
    另一件事你說擊中了要害: 週一學習不一定並不意味著你就會想起來上週五. 我很高興有人除了我使用他們的博客作為"激" 這些關鍵的事情,都不進行週期性系統.
    良好的工作.
    問候,
    馬克
    EndUserSharePoint.com

    11 月 27 9:04 AM
    (http://www.EndUserSharePoint.com)

    答覆
  4. 保羅 · 高爾文
    我認為它可能是個好主意,若要刪除這些預設組, 特別是部隊派遣國和擁有者. 他們是過於寬泛,很容易產生混淆. 我更喜歡使用"所有經過身份驗證的使用者" 代替"位訪客" 集團以及. 如果一組特定的使用者應該只有唯讀存取權限,然後我會建議您創建 AD 組或 SharePoint 組,適當描述性的名稱, 例如:. "訪客物流".
    –保羅 G
    答覆
  5. 沒有名稱
    聽起來好像你應該做的第一件事是把倒位訪客, 參與者和擁有者的群體和它們替換為您自己的邏輯組. 這會有意義,要做嗎?
    答覆

留言

您的電子郵件地址不會被公開. 必需的地方已做標記 *