UPDATE 11/03/08: Be sure to read the excellent and detailed comment from Dessie Lunsford to this post.

I’ve been working on a secret tech editing project for an up-coming book and it references this blog entry by Tyler Butler on the MSDN ECM blog. This is the first time I personally read a clear definition of the meaning of Limited Access. Here’s the meat of the definition:

In SharePoint, anonymous users’ rights are determined by the Limited Access permission level. Limited Access is a special permission level that cannot be assigned to a user or group directly. The reason it exists is because if you have a library or subsite that has broken permissions inheritance, and you give a user/group access to only that library/subsite, in order to view its contents, the user/group must have some access to the root web. Otherwise the user/group will be unable to browse the library/subsite, even though they have rights there, because there are things in the root web that are needed to render the site or library. Ona görə də, when you give a group permissions only to a subsite or library that is breaking permissions inheritance, SharePoint will automatically give Limited Access to that group or user on the root web.

This question comes up now and then on the MSDN forums and I’ve always been curious (but not curious enough to figure it out before today :)).

</son>

Blog abunə.

Da Twitter məni izləyin http://www.twitter.com/pagalvin

Sosial Kompüter SharePoint ilə çıxarmaq başlayır ki, bir giriş, I see an increased number of My Site type questions. One common question goes something like this:

"I am an administrator and I need to be able to access every My Site. How do I do that?"

The trick here is that each My Site is its own site collection. SharePoint security is normally administered at the site collection level and this trips up many a SharePoint administrator. Normally, she already has access to configure security in the "main" site collections and may not realize that this doesn’t automatically work for My Sites.

Site collections collectively live inside a larger container, which is the web application. Farm admins can can configure security at the web app level and this is how admins can grant themselves access to any site collection in the web application. This blog entry describes one of my personal experiences with web application policies. I defined a web application policy by accident: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web application policies can be dangerous and I suggest that they be used sparingly. If I were an admin (and thank goodness I am not), I would create a separate AD account named something like "SharePoint Web App Administrator" and give that one account the web application security role it needs. I would not configure this kind of thing for the regular farm admin or individual site collection admins. It will tend to hide potential problems because the web app role overrides any lower level security settings.

</son>

Blog abunə.

Da Twitter məni izləyin http://www.twitter.com/pagalvin

UPDATE (02/29/08): Bu yeni codeplex layihə fərdi sütunları təmin olunması üçün bir üsul təmin görünür: http://www.codeplex.com/SPListDisplaySetting. If you have any experience working with it, Şərh tərk edin.

Forum plakat tez-tez bu kimi bir sual: "I have a manager view and and a staff view of a list. How do I secure the manager view so that staff can not use it?"

Onlar da tez-tez əlaqəli sual: "I want to secure a specific metadata column so that only managers may edit that column while others may not even see it."

These answers apply to both WSS 3.0 və MOSS:

• Views təmin olunması üçün SharePoint vermir out-of-the-box dəstək.
• Təhlükəsizlik sütunlar üçün SharePoint vermir out-of-the-box dəstək.

There are several techniques one can follow to meet these kinds of security requirements. Here’s what I can think of:

• Use out-of-the-box item level security. Views always honor item level security configuration. Event receivers and/or workflow can automate security assignment.
• Use personal views for "privileged" views. These are easy enough to set up. Lakin, due to their "personal" təbiət, these need to be configured for each user. Use standard security configuration to prevent anyone else from creating a personal view.
• Bir veri görünüşü web iştirak edin və AJAXy təhlükəsizlik giydirme həlli bir növ həyata.
• Öz siyahısı Display funksionallığı gəzmək və təhlükəsizlik sütun səviyyədə bəzək daxil.
• Məlumat giriş formalarını dəyişdirmək və bəzək sütun səviyyədə təhlükəsizlik həyata keçirilməsi üçün təhlükəsizlik modeli ilə birlikdə JavaScript istifadə.
• Use an InfoPath form for data entry. Implement column-level security trimming via web service calls to SharePoint and conditionally hide fields as needed.
• Giydirme sütun səviyyəli təhlükəsizlik həyata keçirir ki, öz ASP.NET məlumatların daxil funksiyası gəzmək.

Bu variantlardan heç biri həqiqətən ki, böyük, lakin eger gerekirse aşağıdakı azı bir yol var, o çətindir, hətta.

QEYD: Bu yol heç bir yerə getmək əgər, don’t forget about "Actions -> Open with Windows Explorer". You want to be sure that you test with that feature to make sure that it doesn’t work as a "back door" və təhlükəsizlik sxem məğlub.

Siz təmin sütun və ya views digər fikir və təcrübə varsa,, xahiş edirik Mənə e-poçt və ya Yorum bırakmak və bu müvafiq olaraq poçt yeniləyirik.

</son>

Blog abunə.

UPDATE: Burada MSDN Bu sual təqdim olunub (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) and Michael Washam of Microsoft responded with a concise answer.

Mən kimi fəaliyyət üçün bir web service yaratdı BDC dostu fasad to a SharePoint list. When I used this from my development environment, o çalışır. Yeni bir server, bu miqrasiya zaman, Mən bu səhv baş verdi:

Burada xətt 69:

istifadə (SPSite site = Yeni SPSite("http://localhost/sandbox"))

Mən URL müxtəlif varyasyonları cəhd, server real adını istifadə edərək, o cümlədən, onun IP ünvanı, URL haqqında arxada slashes, və s.. I always got that error.

Mən istifadə Google to research it. Lots of people face this issue, bu və ya varyasyonları, lakin heç kim həll görünürdü.

Kələkbaz MOSS çek mənə bu baş verməyib ki, belə bir ətraflı səhv təmin 12 hive logs. Nəhayət, haqqında 24 saat sonra həmkarım mən bunu tövsiyə, Mən İşaretli 12 Hive log və bu tapılmadı:

Yerli təsərrüfat əldə etmək istəyərkən bir istisna baş:
System.Security.SecurityException: Tələb defteri girişi icazə verilmir.
System.ThrowHelper.ThrowSecurityException da(ExceptionResource resurs) da
(String adı, Boolean yazılabilir) da
(String adı) da
() da
() da
(SPFarm& təsərrüfat, Boolean& isJoined)
Uğursuz olduğunu Məclis zonası:  MyComputer

Bu tədqiqat yeni imkanlarını açdı, Belə ki, Google geri idi. Bu məni gətirib Forum: http://forums.codecharge.com / posts.php?= 67135 post_id. That didn’t really help me but it did start making me think there was a database and/or security issue. I soldiered on and Andrew Connell-nin post finally triggered the thought that I should make sure that the application pool’s identity account had appropriate access to the database. I thought it already did. Lakin, həmkarım getdi və SQL üçün app hovuz şəxsiyyət hesab tam giriş imkanı verdi.

O dəyişiklik tezliklə, everything started working.

Növbəti Nə yaxşı olduğunu ifadə edərək, haiku şer:

Problemləri öz əlləri qaldırmaq.
You swing and miss. Try again.
Müvəffəqiyyət! But how? Niyə?

O kimi tək şeyi tərk etmək istəmirdi, minimum icazə vermək üstünlük (və yəqin ki, bir giriş blog yazılı bir göz ilə; Mən punch onun döymək, muhahahahaha!).

O qədər app hovuz şəxsiyyət hesabı ardıcıl icazələrin silindi … there was no longer any explicit permission for the app pool identity account at all. The web service continued to work just fine.

We went and rebooted the servers. Everything continued to work fine.

Belə, Recap üçün: we gave the app pool identity full access and then took it away. The web service started working and never stopped working. Bizarre.

Çalışmışdır ki, niyə hər kəs bilir, əgər, Şərh tərk edin.

</son>

I needed to meet a security requirement for an InfoPath form today. In this business situation, a relatively small number of individuals are allowed to create a new InfoPath form and a much wider audience are allowed to edit it. (Bu, yeni işə bir iş edib ki, İnsan Resursları istifadə üzrə internat forması).

To meet that objective, I created created two new permission levels ("create and update" and "update only"), broke inheritance for the form library and assigned permissions to a "create, güncelleyin" user and a separate "update only" istifadəçi. The mechanics all worked, but it turned out to be a little more involving than I expected. (If you feel a little shaky on SharePoint permissions, check out this blog post). The required security configuration for the permission level was not the obvious set of granular permissions. To create an update-only permission level for an InfoPath form, Mən aşağıdakı etdi:

1. Create a new permission level.
2. Clear away all options.
3. Selected only the following from "List permissions":

• Edit Items
• View Items
• View Application Pages

Selecting these options allows a user to update a form, but not create it.

The trick was to enable the "View Application Pages". There isn’t any verbage on the permission level that indicates that’s required for update-only InfoPath forms, but turns out it is.

Create-and-Update was even stranger. I followed the same steps, 1 through 3 yuxarıda. I had to specifically add a "Site Permission" option: "Use client integration features". Yenidən, the description there does not make it seem like it ought to be required for an InfoPath form, but there it is.

</son>

UPDATE 01/28/08: Bu codeplex layihə bu sorunu giderir: http://www.codeplex.com/AccessChecker. I have not used it, Bu, ətraf mühit müraciət etmək lazımdır məsələ əgər ancaq perspektivli görünür.

UPDATE 11/13/08: Joel Oleson burada böyük təhlükəsizliyinin idarə məsələ ilə bağlı çox yaxşı bir ismarıc qədər yazıb: http://www.sharepointjoel.com / siyahısı / İsmarıclar / Post.aspx?List=0cd1a63d-183c-4fc2-8320-ba5369008acb&Id = 113. It links to a number of other useful resources.

Forum istifadəçiləri və müştərilərə tez-tez bu xətt boyunca bir sual: "How do I generate a list of all users with access to a site" or "How can I automatically alert all users with access to list about changes made to the list?"

There is no out of the box solution for this. If you think about it for a moment, o niyə anlamaq çətin deyil.

SharePoint security is very flexible. There are at least four major categories of users:

• Gizli istifadəçilər.
• SharePoint İstifadəçilər və Qruplar.
• Active Directory istifadəçilər.
• Əsaslı Authentication təşkil edir (FBA) istifadəçilər.

Rahatlıq deməkdir ki, təhlükəsizlik baxımından, any given SharePoint site will be dramatically different from another. In order to generate an access list report, bir saytda təmin necə müəyyən etmək lazımdır, query multiple different user profile repositories and then present it in a useful fashion. That’s a hard problem to solve generically.

Necə təşkilatlar bu ilə məşğul olur? I’d love to hear from you in comments or e-poçt.

</son>

UPDATE 12/18/07: U mənim qrupu adları aradan qaldırılması və ya değiştirmeyle bəzi texniki nəticələrinin Paul Liebrand məqaləsi bax (aşağıda həmçinin onun comment bax).

Baxış:

SharePoint security is easy to configure and manage. Lakin, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Mən bu problem özümü olan etiraf). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Vacib Qeyd:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or Mənə e-poçt. I’ll make corrections post haste.

Əsas:

Bu icmal məqsədləri üçün, təhlükəsizlik üçün dörd fundamental aspektləri var: Vaxtı / Qruplar, securable obyektləri, icazə səviyyələri və vərəsəlik.

İstifadəçilər və Qruplar to qırmaq:

• Fərdi istifadəçilər: Active Directory çəkilmiş və ya birbaşa SharePoint ildə yaradılmışdır.
• Qruplar: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" xüsusi securable obyekt.

Securable obyektləri ən azı qırmaq:

• Saytlar
• Document kitabxana
• Siyahıları və sənəd kitabxana fərdi maddələr
• Folders
• Müxtəlif BDC parametrləri.

Başqa securable obyektləri, ancaq şəkil almaq.

Icazə səviyyələri: Dənəvər bir paket / low level access rights that include such things as create/read/delete entries in lists.

Miras: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Istifadəçilər və qruplar icazə səviyyələri və vərəsəlik vasitəsilə securable obyektləri ilə bağlı.

Anlamaq üçün ən əhəmiyyətli Təhlükəsizlik qaydaları, Ever 🙂 :

1. Qruplar sadəcə istifadəçilər kolleksiyaları var.
2. Qruplar bir site kolleksiya daxilində qlobal var (i.e. bir site səviyyəsində müəyyən bir qrup kimi bir şey yoxdur).
3. Qrup adı withstanding deyil, qruplar yoxdur, özləri və, have any particular level of security.
4. Groups have security in the context of a specific securable object.
5. Siz hər securable obyekt üçün eyni qrupa müxtəlif icazə səviyyələri təyin edə bilər.
6. Web proqram siyasəti qozu bütün bu (aşağıya bax).

Qrup və istifadəçi siyahıları bir dəniz məğlub Təhlükəsizlik administratorları həmişə təhlükəsizlik konfiqurasiya idarə etmək və anlamaq üçün bu aksiomatika etibar edə bilərsiniz.

Ümumi pitfalls:

• Qrupu adları yalan icazə demək: Qutusu həyata, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" qrup bütün kömək edə bilməz, lakin yalnız oxumaq (məsələn). This would not be a good idea, açıq-aydın, çox şaşırtıcı ola bilərdi.
• Qruplar bir site səviyyəsində müəyyən deyil. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" keçid. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
• Qruplar üzvlük site asılı olaraq fərqlənə deyil (i.e. hər yerdə qrup istifadə olunur eyni): Consider the group "Owner" və iki saytlar, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Mən HR site vasitəsilə adamların və qrupların links daxil ola bilər, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. Faktiki olaraq, I’m removing her from the global Owners group. Hilarity ensues.
• Xüsusi rol əsasında qrupların adını etməyən: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Mən iki yeni qruplar yaradılmış olmalıdır: "HR Owners" and "Logistics Owners" və hər biri üçün həssas icazə səviyyələri və onların iş o istifadəçilər üçün tələb olunan minimum məbləği tapşırılsın.

Digər Faydalı istinadlar:

• Web proqram siyasət Gotcha Agentliyi: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• SharePoint təhlükəsizlik mərkəzi: http://www.sharepointsecurity.com/
• Joel Oleson bağlantıları: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Siz bu yaptıysanız qədər:

Please let me know your thoughts via the comments or email me. If you know other good references, Eyni edin!