AKTUALIZOVAT 11/03/08: Přečtěte si vynikající a podrobný komentář od Dessie Lunsford na tento příspěvek.

Pracoval jsem na tajné tech úpravy projektu pro nadcházející knihu a odkazuje Tento blog vstupu Tyler Butler na blogu MSDN ECM. To je poprvé, co jsem osobně četl jasnou definici smyslu omezený přístup. Tady je maso definice:

Ve službě SharePoint, anonymní uživatelé’ práva jsou určeny úroveň oprávnění omezený přístup. Omezený přístup je úroveň zvláštní oprávnění, která nelze přiřadit uživateli nebo skupině přímo. Důvod, proč že existuje je proto, že pokud máte knihovnu nebo podřízeného webu je přerušen dědičnost oprávnění, a dáte přístup uživatelů/skupin pouze této knihovny/podřízený, Chcete-li zobrazit její obsah, uživatel nebo skupina musí mít přístup k kořenové sady webových souborů. Jinak nebude možné procházet knihovnu/podřízený uživatel nebo skupina, i přesto, že tam mají práva, protože tam jsou věci na kořenovém webu, které jsou zapotřebí k vykreslení stránky nebo knihovny. Proto, Když dáte oprávnění skupiny pouze na podřízený web nebo knihovnu, která je porušení dědičnost oprávnění, SharePoint automaticky umožní omezený přístup k této skupině nebo uživateli na webových.

Tato otázka přijde a pak na fóra MSDN a vždycky jsem byl zvědavý (ale ne dost zvědavý, na to, než dnes :)).

</Konec>

Přihlásit se na mém blogu.

Za mnou na Twitter na http://www.twitter.com/pagalvin

Na znamení, že sociální Computing začíná vzlétnout s SharePoint, Vidím, že zvýšený počet otázek typu osobního webu. Jedna společná otázka jde něco takového:

"Já jsem správce a potřebuji mít přístup každý osobní web. Jak to mám udělat?"

Ten trik je, že každý osobní web je svou vlastní kolekce webů. Zabezpečení serveru SharePoint je obvykle podáván na úrovni kolekce webů, a to mnoha lety správce služby SharePoint. Normálně, má přístup ke konfiguraci zabezpečení v hlavní"" kolekci webů a může si uvědomit, že to nefunguje automaticky pro osobní weby.

Kolekce webů společně žijí uvnitř větší nádoby, což je webové aplikace. Farma admins mohou zabezpečení lze nakonfigurovat na úrovni webové aplikace a to je, jak admins mohou sami udělit přístup k jakoukoli kolekci webů ve webové aplikaci. Tato položka blogu popisuje jeden z mých osobních zkušeností s webovou aplikací politiky. Definovat zásady aplikace web náhodou: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Webové aplikace politiky může být nebezpečný a naznačují, že je používat střídmě. Kdybych byl admin (a díky Bohu že nejsem), By vytvořilo samostatný reklamní účet s názvem něco jako "Správce služby SharePoint webové aplikace" a že jeden účet role zabezpečení webové aplikace, které potřebuje. Nebylo nakonfigurovat tento druh věcí pro pravidelné farma admin nebo jednotlivých webů kolekce admins. To bude mít tendenci skrývat potenciální problémy, protože web app role přepíše všechna nižší nastavení zabezpečení na úrovni.

</Konec>

Přihlásit se na mém blogu.

Za mnou na Twitter na http://www.twitter.com/pagalvin

AKTUALIZOVAT (02/29/08): Zdá se, že tento nový projekt codeplex poskytuje metodu pro zabezpečení jednotlivých sloupců: http://www.codeplex.com/SPListDisplaySetting. Pokud máte nějaké zkušenosti s prací, Prosím, zanechte komentář.

Fórum plakáty často položit otázku jako je tento: "Mám Správce zobrazení a a personál zobrazení seznamu. Jak zajistit zobrazení správce, aby zaměstnanci nemůže použít?"

Také často ptají související otázku: "Chci zajistit konkrétní metadata sloupec tak, že pouze správci mohou tento sloupec upravovat, zatímco jiní nemusí ani vidět."

Tyto odpovědi platí pro obě WSS 3.0 a mech.:

• SharePoint neposkytuje podporu out-of-the-box pro zajištění zobrazení.
• SharePoint neposkytuje podporu out-of-the-box pro bezpečnostní sloupce.

Existuje několik technik jednoho může následovat splnit tyto druhy bezpečnostních požadavků. Zde je to, co mě napadá:

• Použít zabezpečení na úrovni položky out-of-the-box. Zobrazení vždy dodržet konfigurace zabezpečení na úrovni položky. Přijímačů událostí nebo pracovní postup můžete automatizovat přiřazení zabezpečení.
• Používat osobní zobrazení pro "privilegované" pohledy. Jsou to dost snadné nastavení. Avšak, z důvodu jejich osobní"" Příroda, Tyto musí být nakonfigurován pro každého uživatele. Použít nastavení Standardní zabezpečení zabránit ostatním uživatelům ve vytvoření osobního zobrazení.
• Pomocí webové části zobrazení dat a implementovat nějaký druh AJAXy bezpečnostní úprava řešení.
• Roll vlastní funkčnost zobrazení seznamu a začlenit oříznutí zabezpečení na úrovni sloupců.
• Změna formuláře pro zadávání dat a použít JavaScript ve spojení s modelem zabezpečení k implementaci oříznutí zabezpečení úroveň sloupců.
• Formulář aplikace InfoPath pro zadávání dat. Provést oříznutí sloupec úroveň zabezpečení prostřednictvím volání webové služby SharePoint a podmíněně skrýt pole podle potřeby.
• Zahrnout vlastní funkci vstupního dat ASP.NET implementuje oříznutí zabezpečení na úrovni sloupce.

Žádná z těchto možností není skutečně tak velký, ale je tu alespoň cestu následovat, pokud potřebujete, i když je to těžké.

POZNÁMKA:: Pokud půjdete dolů některou z těchto cest, Nezapomeňte o "akce-> Otevřít pomocí Průzkumníka Windows". Chcete mít jistotu že testovat s funkce ujistěte se, že to nefunguje jako "zadní vrátka" a porazit váš bezpečnostní systém.

Pokud máte jiné nápady, nebo zkušenosti se zajištěním sloupce nebo zobrazení, Prosím napište mi nebo zanechte komentář a já budu aktualizovat tento účtování podle potřeby.

</Konec>

Přihlásit se na mém blogu.

AKTUALIZOVAT: Jsem zde uveřejněných tuto otázku na MSDN (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) a Michael Washam Microsoft se stručnou odpovědí.

Jsem vytvořil webovou službu jako BDC-přátelské fasáda do seznamu služby SharePoint. Když jsem použil tento od své vývojové prostředí, fungovalo to dobře. Když jsem se stěhoval to na nový server, Tuto chybu:

Tady je linka 69:

použití (Webů SPSite = nové SPSite("http://localhost/sandbox"))

Zkoušel jsem různé varianty na URL, včetně použití skutečné jméno na serveru, jeho IP adresu, koncové lomítka na URL, atd. Vždycky jsem tuto chybu.

Použil jsem Google do výzkumu. Spousta lidí čelit tomuto problému, nebo varianty, ale nikdo si to vyřešil.

Podvod MOSS poskytuje takové podrobné chyby, nenapadlo mě zkontrolovat 12 podregistr protokoly. Nakonec, o 24 hodin po můj kolega doporučujeme že tak učinit, Ověřil jsem si 12 podregistr protokol a našli jsme tohle:

Došlo k výjimce při pokusu o získání místní farma:
System.Security.SecurityException: Požadovaný přístup k registru není povoleno.
na System.ThrowHelper.ThrowSecurityException(ExceptionResource prostředek) na Microsoft.Win32.RegistryKey.OpenSubKey(Název řetězce, Logická hodnota zapisovat) na Microsoft.Win32.RegistryKey.OpenSubKey(Název řetězce) na Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() na Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() na Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& farma, Logická hodnota& isJoined)
Zóna shromáždění, které se nezdařily:  Tento počítač

To otevřelo nové cesty výzkumu, tak to bylo zpět na Google. To mě vedlo k tomuto příspěvek ve fóru: http://forums.codecharge.com/posts.php?post_id = 67135. Opravdu mi nepomohl, ale to začalo, že mě přemýšlet, že je databáze nebo bezpečnostní problém. Já se dřel na a Andrew Connell Zaúčtujte konečně spuštěno pomyšlení, že bych měla ujistit, že účet identity fondu aplikací měl přiměřený přístup k databázi. Myslel jsem, že to už udělala. Avšak, můj kolega šel a dal app fondu identitu účtu plný přístup k serveru SQL.

Jak se tato změna, Všechno to začalo pracovat.

Co se stalo dál nejlépe vyjadřuje jako haiku báseň:

Problémy Zvedněte ruce.
Houpačka a miss. Zkuste to znovu.
Úspěch! Ale jak? Proč?

Ona nechtěla takhle nechat věci, raději dát minimální požadovaná oprávnění (a pravděpodobně zájmu psaní položky blogu; Jsem ji předběhl punč, muhahahahaha!).

Vytáhla z účtu identity fondu aplikací až po sobě následujících oprávnění … již nebylo žádné explicitní oprávnění pro účet identity fondu aplikací vůbec. Webová služba nadále fungovat v pohodě.

Šli jsme a restartovat servery. Vše stále funguje.

Tak, pro připomenutí: jsme dal přístup plný identitu fondu aplikací a pak ho vzal. Webová služba začala pracovat a nikdy nepřestal pracovat. Bizarní.

Pokud někdo ví, proč to mělo fungovat, Prosím, zanechte komentář.

</Konec>

Jsem potřeboval ke splnění bezpečnostních požadavků na formulář aplikace InfoPath dnes. V této situaci, relativně malý počet jedinců mohou vytvořit nový formulář aplikace InfoPath a mnohem širší publikum je dovoleno upravovat. (To je nové pronájem na internátní formou používanou v lidské zdroje, který spustí pracovní postup).

Pro splnění tohoto cíle, Vytvořil jsem vytvořil dvě nové úrovně oprávnění ("vytvořit a aktualizovat" a "jen aktualizovat"), zlomil dědičnost pro knihovnu formulářů a přiřadit oprávnění k a "vytvořit, aktualizovat" uživatel a samostatné "update pouze" uživatel. Všechny mechaniky pracoval, ale to se ukázalo být trochu víc zahrnující, než jsem čekal. (Pokud se budete cítit trochu nejistě na oprávnění služby SharePoint, Podívejte se na tento blog post). Konfigurace požadovaná úroveň zabezpečení pro úroveň oprávnění nebyla zřejmá sada granulovaných oprávnění. Vytvořit úroveň aktualizace oprávnění pro formuláře aplikace InfoPath, Jsem udělal následující:

1. Vytvořit novou úroveň oprávnění.
2. Uklidit všechny možnosti.
3. Vybrány pouze z "Oprávnění":

• Upravit položky
• Zobrazit položky
• Zobrazit stránky aplikací

Výběrem těchto možností umožňuje uživateli aktualizovat formulář, ale nelze vytvořit.

Trik byl v tom umožnit "Zobrazit stránky aplikací". Není tu žádné verbage na úroveň oprávnění, která označuje, že je nutné pouze pro aktualizaci formulářů aplikace InfoPath, ale ukázalo se, že je.

Vytvoření a aktualizace byla ještě podivnější. Jsem následoval stejný postup, 1 prostřednictvím 3 nad. Musel jsem se konkrétně přidat oprávnění webu"" možnost: "Použít funkce integrace klientů". Znovu, Popis tam nedělá, zdálo, jako by to mělo být pro formuláře aplikace InfoPath, ale je to.

</Konec>

AKTUALIZOVAT 01/28/08: Codeplex projektu řeší tento problém: http://www.codeplex.com/AccessChecker. Osobně jsem nepoužil, ale vypadá to slibně, pokud jde o záležitost, kterou potřebujete adresu ve vašem prostředí.

AKTUALIZOVAT 11/13/08: Joel Oleson napsal velmi dobré místo k větší bezpečnosti řízení otázce zde: http://www.sharepointjoel.com/ Lists/Posts/Post.aspx?Seznam = 0cd1a63d % 2D183c % 2D4fc2 %2 D 8320 % 2Dba5369008acb&ID = 113. Odkazy na řadu dalších užitečných zdrojů.

Fórum uživatelů a klienti často položit otázku podél těchto linek: "Jak mám vytvořit seznam všech uživatelů s přístupem k webu" nebo "jak lze jsem automaticky upozornit všechny uživatele s přístupem k seznamu o změnách provedených v seznamu?"

Neexistuje žádný mimo box řešení pro tento. Pokud si myslíte o tom za chvíli, to není těžké pochopit proč.

Je velmi flexibilní zabezpečení služby SharePoint. Existují čtyři hlavní kategorie uživatelů:

• Anonymní uživatelé.
• SharePoint uživatele a skupiny.
• Uživatelé služby Active Directory.
• Ověřování na základě formulářů (FBA) Uživatelé.

Pružnost znamená, že z hlediska bezpečnosti, jakýkoli daný web služby SharePoint bude dramaticky lišit od jiného. Pokud chcete generovat sestavy aplikace access seznam, člověk potřebuje zjistit, jak je zabezpečený web, dotaz na více různých uživatelských profilů repozitářů a prezentovat ji v užitečná móda. To je těžké problém vyřešit obecně.

Jak se organizace zabývá tím? Rád bych slyšel od vás v komentářích nebo e-mail.

</Konec>

AKTUALIZOVAT 12/18/07: Naleznete v článku Paul Liebrand některé technické důsledky odstranění nebo změně výchozí názvy skupin (viz jeho komentář níže a také).

Přehled:

Je snadno konfigurovat a spravovat zabezpečení služby SharePoint. Avšak, To se ukázalo jako obtížné pro některé správce poprvé opravdu zabalit své ruce kolem ní. Nejen, že, Viděl jsem, že někteří správci přicházejí k dokonalé porozumění v pondělí jen proto, aby ztratili to do pátku, protože neměli dělat všechny konfigurace v uplynulém čase. (Přiznám se, že s tímto problémem sám). Tato položka blogu snad poskytuje užitečné primer bezpečnostní služby SharePoint a ukazuje na některé doporučené postupy konfigurace zabezpečení.

Důležitá poznámka:

Tento popis je založena na box zabezpečení služby SharePoint. Moje osobní zkušenost je orientovaný kolem MOSS, tak tam může být nějaký MOSS konkrétní věci zde, ale věřím, že to je přesný pro WSS. Doufám, že někdo viděl nějaké chyby nebo opomenutí naznačí, v komentářích nebo napište mi. Zajistím, aby opravy místo spěchu.

Základy:

Pro účely tohoto přehledu, Existují čtyři základní aspekty bezpečnosti: Uživatelé a skupiny, zabezpečené objekty, úrovně oprávnění a dědičnosti.

Uživatelé a skupiny Break dolů:

• Jednotliví uživatelé: Stáhl z aktivního adresáře nebo vytvořených přímo ve službě SharePoint.
• Skupiny: Přímo mapovaná z adresáře active directory nebo vytvořených v SharePoint. Skupiny jsou kolekce uživatelů. Skupiny jsou globální v kolekci webů. Oni se nikdy "vázáno" pro určitý zabezpečený objekt.

Zabezpečené objekty Break se alespoň:

• Weby
• Knihovny dokumentů
• Jednotlivé položky v seznamech a knihovnách dokumentů
• Složky
• Různé nastavení záložního řadiče domény.

Tam jiné zabezpečené objekty, ale dostanete obrázek.

Úrovně oprávnění: Svazek ve formě / nízká úroveň přístupová práva, které zahrnují takové věci jako vytváření, čtení a odstranění položek v seznamech.

Dědičnost: Ve výchozím nastavení entit dědí nastavení zabezpečení na jejich obsahující objektu. Podřízené weby dědí oprávnění z nadřazeného webu. Knihovny dokumentů dědí z jejich webu. Tak dále a tak dále.

Uživatelé a skupiny se vztahují k zabezpečeným objektům prostřednictvím úrovně oprávnění a dědičnosti.

Nejdůležitější bezpečnostní pravidla, pochopit, Ever 🙂 :

1. Skupiny jsou jednoduše skupinám uživatelů.
2. Skupiny jsou globální v rámci kolekce webů (tj. neexistuje nic takového jako skupiny definované na úrovni webu).
3. Název skupiny není odolat, skupiny nemají, v místě a samy o sobě, žádné konkrétní úroveň bezpečnosti.
4. Skupiny mají v kontextu určitého zabezpečeného objektu zabezpečení.
5. Může přidělit různé úrovně oprávnění ke skupině stejné pro každý zabezpečený objekt.
6. Webové aplikace politiky trumf, to vše (viz níže).

Správci zabezpečení ztratil v moři uživatelů a skupin výpisů může vždy spolehnout na tyto axiomy řídit a pochopit jejich konfigurace zabezpečení.

Společné úskalí:

• Názvy skupin falešně naznačují oprávnění: Out of the box, SharePoint definuje sadu skupin, jejichž jména vyplývá základní úroveň zabezpečení. Zvažte skupině "Přispěvatel". Jeden obeznámeni s bezpečnostní služby SharePoint může dobře podívat se na to jméno a předpokládat, že každý člen této skupiny může "přispět" všechny stránky/seznam/knihovny v portálu. To může být pravda, ale ne proto, že název skupiny je náhodou "Přispěvatel". To je pravda z krabice jen proto, že skupina byla poskytnuta úroveň oprávnění, která jim umožňuje přidat, upravit či odstranit obsah v kořenové lokalitě. Prostřednictvím dědičnosti, Přispěvatelé"" Skupina může také přidat/upravit/smazat obsah na všechny dílčí weby. Jeden může "break" řetězec dědičnosti a změnit úroveň oprávnění podřízený_web takové že členové takzvaného "Přispěvatel" Skupina nemůže přispět na všech, ale jen číst (například). To by nebyl dobrý nápad, očividně, vzhledem k tomu, že by bylo velmi matoucí.
• Skupiny nejsou definovány na úrovni webu. Je to snadné záměně uživatelské rozhraní. Společnost Microsoft poskytuje vhodný odkaz na uživatelů/skupin správy prostřednictvím každé stránky "lidé a skupiny" odkaz. Je snadné se domnívat, že když jsem na webu "xyzzy" a vytvořit skupinu prostřednictvím si xyzzy lidi a spojit skupiny, které jste právě vytvořili skupinu, která existuje jen v xyzzy. To není případ. Jsem vlastně vytvořil skupinu pro celou kolekci webů.
• Skupiny členství nebude měnit o webu (tj. je to stejná všude, kam se používá skupina): Zvažte skupině "vlastník" a dva weby, "HR" a "Logistika". Bylo by vhodné si myslet, že dvou samostatných jedinců by vlastnit ty stránky — HR vlastníka a majitel logistiky. Uživatelské rozhraní usnadňuje správci zabezpečení špatně zacházet tohoto scénáře. Kdybych neznal lépe, Možná přístup osoby a skupiny odkazy prostřednictvím webu HR, Vyberte "vlastníci" seskupení a přidejte své HR vlastníka této skupiny. O měsíc později, Logistika přichází na lince. Z logistické stránky přístup k lidem a skupinám, Přidat vytáhnout "vlastníci" Skupina. Vidím tam majitel HR a odstranit ji, myslí, že jsem ji odstranění od vlastníků na stránce logistiky. Vlastně, Jsem ji vyjmete z globální skupiny Vlastníci. Veselí vyplývá.
• Není-li název skupiny založené na roli: Schvalovatelé"" Skupina je dokonalým příkladem. Co mohou členové této skupiny schválení? Kde mohou schválí? Opravdu chci, oddělení logistiky lidé mohli schválit HR dokumenty? Samozřejmě že ne. Vždy jméno skupiny na základě jejich role v rámci organizace. Tím se sníží riziko, že skupina je přiřazena úroveň nevhodné oprávnění pro určitý zabezpečený objekt. Jméno skupiny na základě jejich zamýšleného role. V předchozím scénáři HR/logistika, Měl jsem vytvořil dvě nové skupiny: "HR vlastníci" a "Logistika vlastníci" a přiřadit úrovně rozumné oprávnění pro každého a minimální částka potřebná pro ty uživatele, aby dělali svoji práci.

Další užitečné odkazy:

• Webové aplikace politiky gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Informační středisko pro zabezpečení služby SharePoint: http://www.sharepointsecurity.com/
• Odkazy z Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Pokud jste to dotáhli tak daleko:

Prosím, dejte mi vědět vaše myšlenky přes Komentáře, nebo napište mi. Pokud znáte jiné dobré reference, Prosím o totéž!