SharePoint Diogelwch Hanfodion Gyntaf / Osgoi Camgymeriadau cyffredin

Y NEWYDDION DIWEDDARAF 12/18/07: Gweler erthygl Paul Liebrand ar gyfer rhai canlyniadau technegol dileu neu addasu'r enwau grŵp diofyn (gweld ei sylwadau isod yn ogystal).

Trosolwg:

Diogelwch SharePoint yn hawdd i ffurfweddu a rheoli. Fodd bynnag,, profwyd i fod yn anodd i rai gweinyddwyr tro cyntaf mewn gwirionedd yn lapio eu dwylo o'i amgylch. Nid yn unig hynny, Yr wyf wedi gweld rhai gweinyddwyr ddod i ddealltwriaeth perffaith ddydd Llun yn unig i wedi colli ei erbyn dydd Gwener oherwydd nad oedd ganddynt i wneud unrhyw ffurfweddiad yn y cyfamser. (Yr wyf yn cyfaddef i gael y broblem fy hun). Mae'r cofnod blog hwn yn gobeithio darparu sylfaenol diogelwch SharePoint defnyddiol ac pwyntiau tuag at arferion gorau rhai ffurfweddiad diogelwch.

Nodyn Pwysig:

Mae'r disgrifiad hwn yn seiliedig ar o'r blwch SharePoint diogelwch. Mae fy mhrofiad personol yn troi o gwmpas MOSS felly efallai y bydd rhai pethau penodol MOSS yma, ond credaf ei bod yn gywir ar gyfer WSS. Gobeithiaf y bydd unrhyw un yn gweld unrhyw wallau neu hepgoriadau nodi hynny yn sylwadau neu e-bost ataf. Byddwch yn gwneud cywiriadau swydd brys.

Hanfodion:

At ddibenion y trosolwg hwn, mae pedair agwedd sylfaenol i nawdd: defnyddwyr / grwpiau, gwrthrychau securable, lefelau caniatâd cynllunio a etifeddiaeth.

Defnyddwyr a Grwpiau dorri i lawr i:

  • Defnyddwyr unigol: Dynnu o'r cyfeiriadur gweithredol neu eu creu yn uniongyrchol yn SharePoint.
  • Grwpiau: SharePoint wedi'u mapio uniongyrchol o'r Cyfeiriadur Gweithredol neu wedi creu yn. Grwpiau yn gasgliad o ddefnyddwyr. Grwpiau yn fyd-eang mewn casgliad safle. Eu bod byth "ynghlwm" i wrthrych securable penodol.

Gwrthrychau Securable torri i lawr hyd at o leiaf:

  • Safleoedd
  • Llyfrgelloedd Document
  • Eitemau unigol mewn rhestrau a llyfrgelloedd dogfen
  • Folders
  • Amrywiol leoliadau BDC.

Mae gwrthrychau securable eraill, ond byddwch yn cael y darlun.

Lefelau Caniatâd: Mae bwndel o gronynnog / hawliau mynediad lefel isel sy'n cynnwys pethau fel creu/darllen/dileu cofnodion mewn rhestrau.

Etifeddu: Gan endidau diofyn etifeddu gosodiadau diogelwch gan eu gwrthrych sy'n cynnwys. Mae is-safleoedd yn etifeddu caniatâd gan eu rhiant. Mae'r ddogfen llyfrgelloedd yn etifeddu gan eu safle. Blaen ac ati.

Defnyddwyr a grwpiau yn ymwneud â gwrthrychau securable trwy lefelau ganiatâd cynllunio ac etifeddiaeth.

Mae'r Rheolau Diogelwch Pwysicaf I Deall, Ever 🙂 :

  1. Grwpiau yn syml casgliadau o ddefnyddwyr.
  2. Grwpiau yn fyd-eang o fewn casgliad y safle (h.y. nid oes y fath beth â grŵp diffiniedig ar lefel safle).
  3. Enw'r grŵp er gwaethaf, Nid yw grwpiau yn, i mewn ac ohonynt eu hunain, Mae unrhyw lefel benodol o ddiogelwch.
  4. Mae grwpiau diogelwch yng nghyd-destun securable gwrthrych penodol.
  5. Efallai y byddwch yn aseinio gwahanol lefelau caniatâd i'r un grŵp ar gyfer pob gwrthrych securable.
  6. Polisïau cais ar y we trump hyn i gyd (gweler isod).

Gall gweinyddwyr diogelwch goll mewn môr o grŵp a rhestrau defnyddwyr bob amser yn dibynnu ar y axioms hyn i reoli a deall eu cyfluniad diogelwch.

Camgymeriadau Cyffredin:

  • Grŵp enwau ffug yn awgrymu caniatâd: Allan o'r blwch, Mae SharePoint yn diffinio set o grwpiau y mae eu henwau yn awgrymu lefel diogelwch cynhenid. Ystyried y grŵp "Cyfrannwr". Gall un anghyfarwydd â diogelwch SharePoint dda edrych ar yr enw hwnnw a dybio y gall unrhyw aelod o'r grŵp hwnnw "gyfrannu" i unrhyw safle/rhestr/llyfrgell yn y Porth. Efallai fod hynny'n wir ond nid oherwydd y grŵp enw yn digwydd bod "cyfrannwr". Mae hyn ond yn wir o'r blwch oherwydd bod y grŵp wedi'i ddarparu lefel caniatâd sy'n eu galluogi i ychwanegu/golygu/dileu cynnwys ar y safle gwraidd. Trwy etifeddu, "cyfranwyr" Caiff grŵp hefyd yn cynnwys ychwanegu/golygu/dileu ar bob is-safle. Gall un "egwyl" y gadwyn etifeddiaeth a newid lefel y caniatâd o is-safleoedd o'r fath y bydd Aelodau y cyfrannwr"fel y'i gelwir" Ni all y grŵp gyfrannu o gwbl, ond dim ond darllen (er enghraifft,). Ni fyddai hyn yn syniad da, yn amlwg, gan y byddai'n ddryslyd iawn.
  • Nid yw grwpiau yn cael eu diffinio ar lefel safle. Mae'n hawdd drysu gan rhyngwyneb y defnyddiwr. Mae Microsoft yn darparu cyswllt gyfleus i'r defnyddiwr/grŵp rheoli drwy bob safle "pobl a grwpiau" cyswllt. Mae'n hawdd credu hynny pan fyddaf ar safle "xyzzy" a wyf yn creu grŵp drwy xyzzy y bobl ac mae grwpiau yn cysylltu hynny dim ond rwyf wedi creu grŵp sy'n bodoli dim ond ar xyzzy. Nid yw hynny'n wir. Dwi wedi grëwyd grŵp ar gyfer casglu safle cyfan.
  • Nid yw aelodaeth Grwpiau yn amrywio yn ôl safle (h.y. mae yr un fath ym mhob man y grŵp yn cael ei ddefnyddio): Ystyried y grŵp "perchennog" a dau safle, "ADNODDAU DYNOL" a "Logisteg". Byddai'n arferol i feddwl y byddai dau unigolyn ar wahân yn berchen ar y safleoedd hynny — perchennog adnoddau dynol ac i berchennog logisteg. Mae rhyngwyneb y defnyddiwr yn ei gwneud yn hawdd i weinyddwr diogelwch i mishandle y senario hwn. Os nad oedd yn gwybod yn well, Efallai fy mod mynediad y Bobl a chysylltiadau Grwpiau drwy'r wefan Adnoddau Dynol, Dewiswch "perchnogion" grŵp ac ychwanegu fy perchennog adnoddau dynol i'r grŵp hwnnw. Fis yn ddiweddarach, Daw'r logisteg ar linell. Mynediad pobl a grwpiau o'r safle logisteg, ychwanegu tynnu fyny "perchnogion" grŵp. Gweler y perchennog adnoddau dynol yno a chael gwared ar ei, meddwl bod yr wyf imi gael gwared hi gan berchnogion ar safle'r logisteg. Yn wir,, Yr wyf yn cael gwared hi gan y grŵp perchnogion fyd-eang. Mae ddigrifwch yn mynd yn ei flaen.
  • Methu â enwi grwpiau yn seiliedig ar rôl benodol: Y "cymeradwywyr" grŵp yn enghraifft berffaith. Beth y gall aelodau o hwn gymeradwyo'r grŵp? Lle gall iddynt ei gymeradwyo? Nid wyf mewn gwirionedd am adran logisteg pobl i allu gymeradwyo dogfennau adnoddau dynol? Wrth gwrs nid. Bob amser enw grwpiau yn seiliedig ar eu rôl o fewn y sefydliad. Bydd hyn yn lleihau'r risg y caiff y grŵp ei neilltuo lefel caniatâd amhriodol ar gyfer gwrthrych securable penodol. Enw grwpiau yn seiliedig ar eu rôl arfaethedig. Yn y senario adnoddau dynol/logisteg blaenorol, Dylwn fod wedi creu dau grŵp newydd: "Adnoddau dynol perchnogion" a "logisteg perchnogion" a neilltuo lefelau caniatâd synhwyrol ar gyfer pob a'r swm lleiaf sydd ei angen ar gyfer defnyddwyr hynny i wneud eu gwaith.

Cyfeiriadau Defnyddiol Eraill:

Os ydych wedi gwneud cyn belled â hyn:

Gadewch i mi wybod eich barn drwy sylwadau neu e-bost. Os ydych yn gwybod cyfeiriadau da eraill, os gwelwch yn dda wneud yr un peth!

Tagiau Technorati:

8 meddyliau ar "SharePoint Diogelwch Hanfodion Gyntaf / Osgoi Camgymeriadau cyffredin

  1. Perry

    Mwy peryglon:

    * Mae rhai ganiatadau arbennig sydd ar gael mewn mannau eraill yn yr SSP ac nid yn weladwy yn y Pobl a Grwpiau adran: "Personoli gwasanaethau hawliau" a "Catalog Data busnes caniatâd"

    * Yr wyf wedi darllen bod yna hefyd yn SharePoint Designer caniatâd arbennig sydd ar gael mewn rhai xml claddu dirgel y tu mewn html rhywle.

    * Mae'r Gweinyddwyr Cynradd ac Uwchradd ar gyfer Casgliad y safle yn cael eu cadw mewn mannau eraill mewn lleoliadau Collection Site, ac nid ydynt yn weladwy yn yr adran Pobl a Grwpiau.

    * Mae rhai cyfrifon yn cael hudol (arbennig) galluoedd waeth beth o'r hyn yr ydych yn gweld yn yr ardal Grwpiau Pobl a: aelodau o'r grŵp Gweinyddwyr adeiledig-mewn ar y gweinyddwyr gwe, a'r Cyfrif Gwasanaeth Fferm.

    (PS: Byddai dileu'r sylwadau spam gwella eglurder yma.)

    Ateb
  2. Jean Wright
    Mae hon yn swydd dda iawn. Rydw i wedi syrthio i'r fagl hon o bryd i'w gilydd. Gall rheoli diogelwch gael gymhleth pan fyddwch yn dechrau ddulliau dilysu cymysgu a gwahanol ddulliau grwpio diogelwch. Mae angen i hyn gael ei ystyried fel rhan o'r broses cynllunio ac ni ddylid eu hanwybyddu.
    Ateb
  3. Mark Miller ysgrifennodd:
    (Nodyn gan Paul: Gofynnodd Mark imi wneud newid bach i'w sylw, ond ni allaf olygu sylwadau mannau byw felly rwyf wedi ychwanegu o'r newydd yma gyda'r newid a dileu y gwreiddiol).
    Paul,
    Mae'r dull cryno ar gyfer cyflwyno gwybodaeth hwn yn dod i ffwrdd yn dda iawn. Hoffais yn enwedig "maglau" adran, ers i mi wedi syrthio i mewn i ychydig o fy hun rhai.
    Beth arall i chi ddweud taro cartref: Nid yw dysgu ar ddydd Llun o reidrwydd yn golygu y byddwch yn ei gofio ar ddydd Gwener. Yr wyf yn falch yw rhywun ar wahân i mi ddefnyddio eu blog fel "tickler" system ar gyfer pethau hollbwysig hynny nad ydynt yn cael eu gwneud yn rheolaidd.
    Mae gwaith da.
    Regards,
    Mark
    EndUserSharePoint.com

    Tachwedd 27 9:04 AC
    (http://www.EndUserSharePoint.com)

    Ateb
  4. Paul Galvin
    Rwy'n credu ei fod yn syniad da i gael gwared ar grwpiau diofyn y rhai, enwedig cyfrannwr a pherchennog. Maent yn overbroad ac yn drysu hawdd. Mae'n well gennyf ddefnyddio "holl ddilysu defnyddwyr" lle "ymwelydd" grŵp yn ogystal. Os penodol yn gosod o ddefnyddwyr dylai mynediad dim ond darllen-yn-unig, yna byddem yn argymell creu grŵp AD neu grŵp SharePoint gyda'r enw disgrifiadol briodol, e.e.. "Logisteg ymwelwyr".
    –Paul G
    Ateb
  5. Dim enw
    Mae'n swnio fel y peth cyntaf y dylech ei wneud yw dim ond daflu i lawr yr Ymwelydd, Cyfrannwr a grwpiau Perchennog a'u disodli gan eich grwpiau rhesymegol hun. Byddai hyn yn gwneud synnwyr i wneud?
    Ateb

Ad a Ateb

Ni fydd eich cyfeiriad e-bost yn cael ei gyhoeddi. Meysydd gofynnol yn cael eu marcio *