Sharepoint անվտանգության հիմնադրույթները պիստոն / Խուսափեք ընդհանուր որոգայթներ

ԹԱՐՄԱՑՆԵԼ 12/18/07: Տես Պոլ Liebrand հոդվածը որոշ տեխնիկական հետեւանքների վերացման կամ ձեւափոխման հիմնական խումբ անունները (տեսնել իր մեկնաբանությունը ստորեւ ինչպես նաեւ).

Overview:

SharePoint security is easy to configure and manage. Սակայն, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Ես ընդունում է, որ այս խնդիրը ինձ). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Կարեւոր Note:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or փոստին ինձ. I’ll make corrections post haste.

Նոր:

Նպատակների համար, այս ակնարկ, կան չորս հիմնական կողմեր ​​անվտանգության: ալբոմներ Խմբի մասին, securable առարկաներ, Թույլտվության մակարդակները եւ ժառանգման.

Users եւ Խմբեր կոտրել ներքեւ:

  • Անհատական ​​օգտվողները: Ձգված է Active Directory, կամ ստեղծել անմիջապես Sharepoint.
  • Խմբեր: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" դեպի տվյալ օբյեկտի securable.

Securable առարկաներ կոտրել են առնվազն:

  • Sites
  • Փաստաթղթերի որոնում
  • Անհատական ​​ապրանքներ ցուցակների եւ փաստաթղթային գրադարանների
  • Թղթապանակներ
  • Տարաբնույթ BDC պարամետրեր.

Կան նաեւ այլ առարկաներ securable, բայց դուք ստանում նկարը.

Թույլտվության մակարդակները: A փաթեթ է հատիկավոր / low level access rights that include such things as create/read/delete entries in lists.

Ժառանգականություն: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Users եւ խմբերի վերաբերում securable օբյեկտների միջոցով թույլտվության մակարդակների եւ ժառանգման.

Կարեւորագույն անվտանգության կանոնները հասկանալու, Ever 🙂 :

  1. Խմբեր պարզապես հավաքածուներ օգտվողներին.
  2. Խմբերն են գլոբալ ընթացքում կայքի հավաքածուի մեջ (i.e. չկա նման բան, ինչպես նաեւ մի խումբ սահմանված է կայքի մակարդակում).
  3. Խմբի անունը չի կարող դիմակայել, խմբեր չեն, - ին եւ իրենց, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. Դուք կարող եք վերագրելու տարբեր մակարդակներ թույլտվության նույն խմբի յուրաքանչյուր օբյեկտի securable.
  6. Վեբ քաղաքականությունը հաղթաթուղթ այս ամենը (տես ստորեւ).

Անվտանգության ադմինիստրատորները կորցրել է ծովում խմբի Օգտվողի ցանկերի միշտ կարող եք ապավինել այդ axioms կառավարել եւ հասկանալ դրանց անվտանգության կոնֆիգուրացիան.

Ընդհանուր որոգայթներ:

  • Խմբի անունները կեղծ ենթադրում թույլտվություն: Դուրս վանդակում, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" Խումբը, որին կարող է նպաստել ընդհանրապես, բայց միայն կարդալու (օրինակ). This would not be a good idea, ակնհայտ, քանի որ դա կլինի շատ շփոթեցնող.
  • Խմբեր չեն սահմանվում է կայքի մակարդակում. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" ՈՒղեցույց. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Խմբեր անդամակցությունը չի տարբերվել կայքում (i.e. դա նույնն է ամենուր խումբն օգտագործվում է): Consider the group "Owner" եւ երկու կայքեր, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Ես կարող մուտք գործել այդ մարդկանց եւ խմբերի հղումներ միջոցով ՀՀ ՄԻ խնդիր կայքում, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. Ի դեպ, I’m removing her from the global Owners group. Hilarity ensues.
  • Այդպես անուն խմբերի վրա հատուկ դերի: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Ես պետք է ստեղծել երկու նոր խմբեր: "HR Owners" and "Logistics Owners" եւ հանձնարարել զգայուն թույլտվության մակարդակների համար միմյանց եւ նվազագույն գումար անհրաժեշտ է այն օգտագործողների համար, որպեսզի իրենց աշխատանքը.

Այլ օգտակար հղումներ:

Եթե ​​դու դարձրեց դա հեռու:

Please let me know your thoughts via the comments or email me. If you know other good references, խնդրեմ նույնն անել!

Արորդիների Tags:

8 thoughts on "Sharepoint անվտանգության հիմնադրույթները պիստոն / Խուսափեք ընդհանուր որոգայթներ

  1. Տանձի գինի

    Լրացուցիչ որոգայթներ:

    * Կան որոշ հատուկ թույլտվություններ հասանելի է այլուր SSP եւ ոչ տեսանելի են մարդկանց եւ խմբերի բաժին: "Personalization services permissions"and "Business Data Catalog permissions"

    * Ես կարդացել եմ, որ կան նաեւ հատուկ Sharepoint նախագծով թույլտվություններ առկա որոշ arcane որոնում թաղված ներսում տեղ html մասին.

    * Առաջնային եւ երկրորդային Ադմինիստրատորներ համար Կայքի հավաքածուի պահվում է այլ տեղում Կայքի հավաքածուի կարգավորումներում, եւ չեն երեւում մարդկանց եւ խմբերի բաժնում.

    * Որոշ հաշիվներ ունեն կախարդական (հատուկ) կարողությունները անկախ այն, ինչ դուք տեսնում ժողովրդի եւ տարածքային Խմբերի: անդամները ներկառուցված կազմակերպիչներին խումբը վեբ սերվերներ, եւ Ֆարմ ծառայության հաշիվ.

    (PS: Վերացվում է սպամի մեկնաբանություններ կարող բարելավել ընթեռնելիություն այստեղ.)

  2. Jean Wright
    Սա շատ լավ գրություն. Ես հայտնվել այս ծուղակը, մի քանի առիթներով. Անվտանգության կառավարման կարող են ստանալ համալիր է, երբ սկսում ես աշխատելը mixing վավերացման մեթոդները եւ անվտանգության տարբեր խմբավորման մեթոդները. Սա պետք է համարել, որպես պլանավորման գործընթացին եւ չի կարելի անտեսել.
  3. Mark Miller գրել:
    (Նշում Paul: Mark խնդրեց ինձ մի փոքր փոփոխություն կատարել իր մեկնաբանությունը, բայց ես չեմ կարող խմբագրել ուղիղ եթերում տարածքների մեկնաբանություններ այնքան էլ եմ ավելացրել է, այն նորից այստեղ փոփոխության ու վերացվել, բնօրինակի).
    Paul,
    The ամփոփում մոտեցումը ներկայացնելու համար: Այս մասին եկել են շատ լավ. I especially liked the "Pitfalls" բաժին, քանի որ ես հայտնվել մի քանիսը, այդ ինձ.
    Եվս մեկ բան, պետք է հարվածել տուն: սովորելու մասին, չի նշանակում, թե դուք կհիշեք այն մասին, ուրբաթ. I’m glad someone besides me is using their blog as a "tickler" համակարգ, այդ կարեւոր բաների, որոնք չեն իրականացվում է կանոնավոր կերպով.
    Լավ աշխատանք.
    Regards,
    Ընդգծել
    EndUserSharePoint.com

    Նոյեմբեր 27 9:04 Թեմա.
    (http://www.EndUserSharePoint.com)

  4. Paul Galvin
    Կարծում եմ, դա, հավանաբար, լավ գաղափար է հանել այդ լռելյայն խմբեր, especially Contributor and Owner. They are overbroad and easily confused. I prefer to use "All Authenticated Users" in place of a "Visitor" group as well. If a specific set of users should only read-only access then I’d recommend creating an AD group or SharePoint group with an appropriately descriptive name, e.g. "Logistics Visitors".
    –Paul G
  5. No name
    Այն նման է հնչում Առաջին բանը, դուք պետք է անել, պարզապես աղբանոց է Այցելու, Մասնակից ու սեփականատերը խմբերը եւ փոխարինել դրանք ձեր սեփական տրամաբանական խմբերի. Արդյոք սա անիմաստ է?

Ավելացնել կարծիք

Ձեր էլ. Փոստի հասցեն չի հրապարակվելու. Պահանջվող դաշտերը նշված են աստղանիշով *