แนวทางสำหรับการเรียนขั้นพื้นฐานของ SharePoint ปลอดภัย / หลีกเลี่ยงการนี่ทั่วไป

โปรแกรมปรับปรุง 12/18/07: ดูบทความของ Paul Liebrand สำหรับผลทางด้านเทคนิคบางอย่างของเอาออก หรือปรับเปลี่ยนชื่อกลุ่มเป็นค่าเริ่มต้น (ดูความคิดเห็นของเขาด้านล่างเช่นกัน).

ภาพรวม:

ความปลอดภัยของ SharePoint จะง่ายต่อการตั้งค่าคอนฟิก และจัดการ. อย่างไรก็ตาม, มันได้พิสูจน์ให้เป็นเรื่องยากสำหรับผู้ดูแลบางครั้งแรกจริง ๆ ห่อมือรอบ ๆ. ไม่เฉพาะที่, ฉันได้เห็นผู้ดูแลมาเข้าใจสมบูรณ์วันจันทร์จะได้หายไปได้ภายในวันศุกร์เนื่องจากมีการกำหนดค่าใด ๆ ในเวลาอยู่ระหว่างกลาง. (ข้าพเจ้ายอมรับว่า มีปัญหานี้เอง). รายการบล็อกนี้ช่วยให้รองพื้นรักษาความปลอดภัยของ SharePoint มีประโยชน์ และหวังว่าชี้ไปทางบางความปลอดภัยกำหนดแนวทางปฏิบัติ.

หมายเหตุสำคัญ:

คำอธิบายนี้จะขึ้นอยู่กับความปลอดภัยของ SharePoint กล่อง. ประสบการณ์ส่วนตัวเป็นจุดเด่นมอดังนั้นอาจมีบางมอเฉพาะสิ่งที่นี่, แต่ผมเชื่อว่า มันถูกต้องสำหรับ WSS. หวังว่า ทุกคนที่เห็นข้อผิดพลาดหรือการละเว้นใด ๆ จะชี้ที่ออกในข้อคิดเห็น หรือ อีเมล์ผม. ผมจะทำการแก้ไขรีบลง.

ข้อมูลพื้นฐานของเดสก์ท็อป:

สำหรับวัตถุประสงค์ในภาพรวมนี้, มีลักษณะพื้นฐาน 4 การรักษาความปลอดภัย: กลุ่มผู้ใช้, วัตถุที่กำหนดสิทธิ์ได้, ระดับสิทธิ์และสืบทอด.

ผู้ใช้และกลุ่ม ทำลายลงไป:

  • แต่ละคน: ดึงจากที่ใช้งานอยู่ไดเรกทอรี หรือสร้างขึ้นโดยตรงใน SharePoint.
  • กลุ่ม: แมปโดยตรงจากไดเรกทอรีที่ใช้งานอยู่ หรือสร้างใน SharePoint. กลุ่มคือ กลุ่มของผู้ใช้. กลุ่มที่เป็นส่วนกลางในไซต์คอลเลกชัน. พวกเขาจะไม่ "ผูก" วัตถุที่กำหนดสิทธิ์ได้เฉพาะ.

วัตถุที่กำหนดสิทธิ์ได้ ทำลายลงไปน้อย:

  • เว็บไซต์
  • ไลบรารีเอกสาร
  • สินค้าแต่ละรายการในรายการและไลบรารีเอกสาร
  • โฟลเดอร์
  • การตั้งค่าต่าง ๆ ของ BDC.

มีวัตถุอื่น ๆ ที่กำหนดสิทธิ์ได้, แต่คุณได้รับรูปภาพ.

ระดับของสิทธิ์: Granular / สิทธิการเข้าถึงระดับต่ำสุดที่รวมสิ่งต่าง ๆ เช่นสร้าง/อ่าน/ลบรายการในรายการ.

สืบทอด: โดยเอนทิตีเริ่มต้นสืบทอดการตั้งค่าความปลอดภัยจากวัตถุที่มีความ. ไซต์ย่อยสืบทอดสิทธิ์จากวัตถุแม่ของพวกเขา. ไลบรารีเอกสารสืบทอดมาจากเว็บไซต์ของพวกเขา. อื่น ๆ และอื่น ๆ.

ผู้ใช้และกลุ่มที่เกี่ยวข้องกับวัตถุที่กำหนดสิทธิ์ได้ผ่านระดับสิทธิ์และสืบทอด.

กฎความปลอดภัยสำคัญที่สุดที่จะเข้าใจ, เคย🙂 :

  1. กลุ่มเป็นเพียงคอลเลกชันของผู้ใช้.
  2. กลุ่มเป็นส่วนกลางในไซต์คอลเลกชัน (อาทิ. ไม่มีสิ่งดังกล่าวเป็นกลุ่มที่กำหนดไว้ในระดับไซต์).
  3. ชื่อกลุ่มไม่ซิ, กลุ่มไม่, ใน และ ของตัวเอง, มีความปลอดภัยในระดับใด ๆ โดยเฉพาะ.
  4. กลุ่มมีความปลอดภัยในบริบทของวัตถุกำหนดสิทธิ์ได้.
  5. คุณอาจกำหนดระดับของสิทธิ์ที่แตกต่างกันในกลุ่มเดียวกันสำหรับทุกวัตถุที่กำหนดสิทธิ์ได้.
  6. เว็บแอพลิเคชันนโยบายทรัมพ์ทั้งหมดนี้ (ดูด้านล่าง).

หายไปในทะเลของรายการและกลุ่มผู้ใช้ผู้ดูแลระบบความปลอดภัยสามารถไว้ในสัจพจน์เหล่านี้เพื่อจัดการ และเข้าใจการตั้งค่าคอนฟิกความปลอดภัย.

ข้อผิดพลาดทั่วไป:

  • ชื่อกลุ่มแอบเป็นสิทธิ์แบบสิทธิ์: กล่อง, SharePoint กำหนดชุดของกลุ่มชื่อเป็นสิทธิ์แบบมีความปลอดภัยโดยธรรมชาติ. พิจารณากลุ่ม "ผู้สนับสนุน". ไม่คุ้นเคยกับความปลอดภัยของ SharePoint อาจดีดูชื่อ และคิดว่า สมาชิกของกลุ่มที่สามารถ "มีส่วนร่วม" ทุกไซต์/รายการ/ไลบรารีในเว็บไซต์. ที่อาจเป็นจริงแต่ไม่ได้ เพราะชื่อของกลุ่มเกิดขึ้น เป็น "ผู้สนับสนุน". ก็เฉพาะกล่องเนื่องจากกลุ่มมีการให้ระดับของสิทธิ์ที่ช่วยให้พวกเขาสามารถเพิ่ม/แก้ไข/ลบเนื้อหาที่ไซต์ราก. ผ่านการสืบทอด, ที่ "ผู้ให้การสนับสนุน" กลุ่มอาจจะเพิ่ม/แก้ไข/ลบเนื้อหาที่แต่ละไซต์ย่อย. หนึ่งสามารถ "แบ่ง" สายสืบทอดและเปลี่ยนระดับสิทธิ์ของย่อยไซต์ดังกล่าวให้สมาชิกที่เรียกว่า "ผู้สนับสนุน" กลุ่มไม่สนับสนุนเลย, แต่อ่าน (ตัวอย่างเช่น). นี้จะไม่เป็นความคิดที่ดี, เห็นได้ชัด, เนื่องจากมันจะสับสนมาก.
  • ไม่มีกำหนดกลุ่มที่ระดับไซต์. มีอินเทอร์เฟซผู้ใช้สับสน. Microsoft ให้การเชื่อมโยงที่สะดวกเพื่อการบริหารจัดการกลุ่มผู้ใช้ผ่านทางเว็บไซต์ทุก "คนและกลุ่ม" การเชื่อมโยง. ง่ายให้เชื่อได้ว่าเมื่อฉันที่เว็บไซต์ "xyzzy" ผมสร้างกลุ่มผ่านคนของ xyzzy และกลุ่มเชื่อมโยงที่ฉันเพิ่งได้สร้างกลุ่มที่มีอยู่ที่ xyzzy. เป็นกรณีไม่. เราได้สร้างกลุ่มสำหรับไซต์ทั้งหมดจริง.
  • สมาชิกกลุ่มไม่แตกต่างกันไปตามไซต์ (อาทิ. มันจะเหมือนกันทุกที่กลุ่มนี้จะใช้): พิจารณากลุ่มคำ "เจ้า" และสองไซต์, "HR" และ "โลจิสติกส์". มันจะปกติคิดว่า บุคคลสองแยกจะเป็นเจ้าของเว็บไซต์เหล่านั้น — เจ้าของ HR และเจ้าของโลจิสติกส์. อินเทอร์เฟซสำหรับผู้ใช้ทำให้ง่ายสำหรับผู้ดูแลระบบรักษาความปลอดภัยเพื่อ mishandle สถานการณ์นี้. ถ้าฉันไม่ได้รู้ดี, ฉันเข้าถึงการเชื่อมโยงคนและกลุ่มผ่านไซต์ HR, เลือกเจ้าของ"" กลุ่ม และเพิ่มเจ้าของฉันชั่วโมงกลุ่ม. หนึ่งเดือนต่อมา, โลจิสติกส์ที่มาบนบรรทัด. ฉันเข้าถึงประชาชนและกลุ่มจากเว็บไซต์โลจิสติกส์, เพิ่มดึงขึ้นมาเจ้า"" กลุ่ม. ผมเห็นเจ้าของ HR มี และเอาเธอ, คิดว่า ผมกำลังเอาเธอจากเจ้าของเว็บไซต์โลจิสติกส์. อันที่จริง, ผมกำลังเอาเธอจากกลุ่มเจ้าของโลก. Hilarity การ์ตูน.
  • เสียชื่อกลุ่มตามบทบาทเฉพาะ: อนุมัติ"" กลุ่มเป็นตัวอย่างที่สมบูรณ์แบบ. สิ่งที่สามารถสมาชิกของกลุ่มการอนุมัตินี้? ซึ่งสามารถที่อนุมัติหรือไม่? ฉันจริง ๆ ต้องคนแผนกโลจิสติกส์เพื่อให้สามารถอนุมัติเอกสาร HR? ไม่แน่นอน. ชื่อกลุ่มตามบทบาทของตนในองค์กรเสมอ. นี้จะช่วยลดความเสี่ยงที่กลุ่มกำหนดระดับการอนุญาตที่ไม่เหมาะสมสำหรับวัตถุที่กำหนดสิทธิ์ได้เฉพาะ. ชื่อกลุ่มตามบทบาทของตนกำหนดไว้. ในสถานการณ์ก่อนหน้านี้ HR/โล จิสติกส์, ฉันควรสร้างกลุ่มใหม่สอง: "เจ้าของ HR" และ "เจ้าของโลจิสติกส์" และกำหนดระดับของสิทธิ์ที่เหมาะสมสำหรับแต่ละรายการและยอดเงินต่ำสุดที่จำเป็นสำหรับผู้ใช้การทำงานของพวกเขา.

อ้างอิงที่เป็นประโยชน์อื่น ๆ:

ถ้าคุณได้ทำเรื่องนี้ไกล:

กรุณาแจ้งให้เราทราบว่าความคิดของคุณผ่านข้อคิดเห็น หรือส่ง. ถ้าคุณทราบอ้างอิงอื่น ๆ ดี, กรุณาทำอย่างเดียว!

แท็กของ Technorati:

8 คิดเกี่ยวกับ“แนวทางสำหรับการเรียนขั้นพื้นฐานของ SharePoint ปลอดภัย / หลีกเลี่ยงการนี่ทั่วไป

  1. เพอร์รี

    ข้อผิดพลาดเพิ่มเติม:

    * มีสิทธิพิเศษบางอย่างใน SSP อื่น และไม่ปรากฏอยู่ในส่วนบุคคลและกลุ่ม: "ตั้งค่าส่วนบุคคลบริการสิทธิ์" และ "สิทธิ์แค็ตตาล็อกข้อมูลธุรกิจ"

    * ได้อ่านที่ มียังมีสิทธิพิเศษของ SharePoint Designer บาง xml arcane ที่ฝังอยู่ภายใน html อยู่.

    * หลักและผู้ดูแลรองสำหรับไซต์คอลเลกชันที่อยู่อื่นในไซต์คอลเลกชันการตั้งค่า, และจะไม่ปรากฏอยู่ในส่วนบุคคลและกลุ่ม.

    * บางบัญชีได้ขลัง (พิเศษ) ความว่าสิ่งที่คุณเห็นในบุคคลและกลุ่ม: สมาชิกของกลุ่มผู้ดูแลระบบภายในบนเว็บเซิร์ฟเวอร์, และบัญชีบริการฟาร์ม.

    (PS: ลบความเห็นสแปมจะพัฒนาอ่านต่อ)

  2. พอล Liebrand
    ถ่ายโอนข้อมูลกลุ่มไม่ควร. งานมออาศัยกลุ่มเหล่านั้นจะมีเฉพาะรอบสิ่งสมาชิกใหม่. http://liebrand.wordpress.com/2007/12/06/sharepoint-security-permission-levels/ กล่าวถึงนี้ในรายละเอียดเพิ่มเติม.
    @Paul — โพสต์มาก!
    พอล Liebrand
  3. ไรท์ Jean
    เป็นโพสต์ดีมาก. ฉันได้ลดลงเข้าไปในกับดักนี้กี่ครั้ง. จัดการความปลอดภัยได้ซับซ้อนเมื่อคุณเริ่มการผสมวิธีการรับรองความถูกต้องและความปลอดภัยแตกต่างกันวิธีการจัดกลุ่ม. นี้ต้องถือว่าเป็นส่วนหนึ่งของกระบวนการวางแผน และไม่ควรมองข้าม.
  4. มิลเลอร์หมายเขียน:
    (หมายเหตุจากพอล: หมายถามฉันจะทำการเปลี่ยนแปลงเล็ก ๆ ของเขาคิด แต่ไม่สามารถแก้ไขช่องถ่ายทอดสดเห็นดังนั้นฉันได้เพิ่มนั้นใหม่ที่นี่ มีการเปลี่ยนแปลง และลบต้นฉบับ).
    พอล,
    วิธีการสรุปการนำเสนอข้อมูลนี้ออกมาดี. จึงผิด"" ส่วน, ตั้งแต่ฉันได้ลดลงเป็นของตัวเองเหล่านั้น.
    สิ่งอื่นที่คุณพูดตี: เรียนวันจันทร์ไม่ไม่ได้หมายความว่า คุณจะจำได้ในวันศุกร์. ฉันดีใจที่คนนอกจากผมจะใช้บล็อกของพวกเขาเป็น "tickler" ระบบเหล่านั้นสิ่งสำคัญที่จะทำได้ไม่สม่ำเสมอ.
    ทำงานที่ดี.
    ขอแสดงความนับถือ,
    ทำเครื่องหมาย
    EndUserSharePoint.com

    พฤศจิกายน 27 9:04 น.
    (http://www.EndUserSharePoint.com)

  5. Paul Galvin
    ฉันคิดว่า มันคงไปเอากลุ่มผู้เริ่มต้น, โดยเฉพาะอย่างยิ่งผู้สนับสนุนและเจ้าของ. พวกเขาจะ overbroad และสับสนได้ง่าย. ฉันต้องการใช้ "รับรองความถูกต้องผู้ใช้ทั้งหมด" เยี่ยมชม"แทน" กลุ่มเช่น. ถ้าการตั้งค่าของ ผู้ใช้ควรเข้าเท่านั้น แล้วคำแนะนำสร้างกลุ่มโฆษณาหรือกลุ่ม SharePoint กับชื่อเหมาะสม, เช่น. "นักโลจิสติกส์".
    –พอล G
  6. ไม่มีชื่อ
    ดูเหมือนสิ่งแรกที่คุณควรทำคือ เพียงถ่ายโอนข้อมูลที่ผู้เยี่ยมชม, กลุ่มผู้สนับสนุนและเจ้าของ และแทนที่ ด้วยกลุ่มทางตรรกะของคุณเอง. จะทำให้รู้สึกไม่?

ทิ้งคำตอบไว้

ที่อยู่อีเมลของคุณจะไม่ถูกเผยแพร่. ช่องที่ต้องการถูกทำเครื่องหมาย *