ĜISDATIGO 11/03/08: Esti certe legi la bonegan kaj detalan rimarkon de Dessie Lunsford Al ĉi tiu poŝto.

Mi estis laboranta sur sekreta tech redakta projekto por supre-venanta libron kaj ĝin referencas Ĉi tiu bloga eniro de Tyler Butler sur la MSDNa ECMa blogo. Tio ĉi estas la unua tempo mi propre legis klaran difinon de la signifo de Limhava Aliro. Ĉi tie-a la viando de la difino:

En SharePoint, Anonimaj uzantoj’ Rajtoj estas determinita de la Limhava Alira permesa nivelo. Limhava Aliro estas speciala permesa nivelo kiu ne povas esti asignita al uzanto aŭ grupo rekte. La kialo ĝi ekzistas estas ĉar se vi havas bibliotekon aŭ subsite kiu rompis permesan heredaĵon, Kaj vi donas uzantan/grupan aliron al nura ke biblioteko/subsite, Por vidi ĝiajn enhavojn, La uzanta/grupo devas havi iun aliron al la radika araneaĵo. Alie la uzanta/grupo estos nekapabla foliumi la bibliotekon/subsite, Eĉ kvankam ili havas rajtojn tie, Ĉar estas aferoj en la radika araneaĵo kiu estas devita fari la ejon aŭ bibliotekon. Sekve, Kiam vi donas grupajn permesojn nur al subsite aŭ biblioteko kiu estas rompanta permesan heredaĵon, SharePoint aŭtomate donos Limigita Aliron al tiu grupo aŭ uzanto sur la radika araneaĵo.

Ĉi tiu demando venas supre nun kaj tiam sur la MSDNaj forumoj kaj mi ĉiam estis scivola (Sed ne scivola sufiĉa kalkuli ĝin ekstere antaŭ ol hodiaŭ :)).

</Fino>

Aboni al mia blogo.

Sekvi min sur Pepi ĉe http://www.twitter.com/pagalvin

En signo ke Socia Komputiko estas komencanta eltiri kun SharePoint, Mi vidas pliigita nombron de Miaj Ejaj tipaj demandoj. Unu ofta demando iras ion tiel:

"Mi estas administranto kaj mi devas esti kapabla aliri ĉiu Mia Ejo. Kiel mi faras tio?"

La ruzo ĉi tie estas ke ĉiu Mia Ejo estas ĝia propra eja kolekto. SharePoint sekureco estas normale administrita ĉe la eja kolekta nivelo kaj tio ĉi stumblas supre multaj SharePoint administranto. Normale, Ŝi jam havas aliron formi sekurecon en la "ĉefa" Ejaj kolektoj kaj ne povas konscii ke tio ĉi ne aŭtomate laboras por Miaj Ejoj.

Ejaj kolektoj kolektive viva en pli granda ujo, Kiu estas la araneaĵa apliko. Bieno admins povas povas formi sekurecon ĉe la araneaĵo app nivelo kaj tio ĉi estas kiel admins povas doni sin mem aliras al ajna eja kolekto en la araneaĵa apliko. Ĉi tiu bloga eniro priskribas unu el miaj propraj spertoj kun araneaĵa apliko politikoj. Mi difinis araneaĵan aplikan politikon de akcidento: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Araneaĵa apliko politikoj povas esti danĝeraj kaj mi sugestas ke ili esti uzita ŝpareme. Se mi estis admin (Kaj dankoni bonecon mi ne estas), Mi kreus apartan ADan konton nomis ion ŝatas "SharePoint Araneaĵo App Administranto" Kaj donas ke unu konto la araneaĵa aplika sekureca rolo ĝi devas. Mi ne formus ĉi tiun specon de afero por la regula bieno admin aŭ individua eja kolekto admins. Ĝi emos kaŝi potencialajn problemojn ĉar la araneaĵo app rolo superregas ajnajn malaltajn nivelajn sekurecajn fiksojn.

</Fino>

Aboni al mia blogo.

Sekvi min sur Pepi ĉe http://www.twitter.com/pagalvin

ĜISDATIGO (02/29/08): Ĉi tiu nova codeplex projekto ŝajnas provizi metodon por sekuriganta individuajn kolumnojn: http://www.codeplex.com/SPListDisplaySetting. Se vi havas ajnan sperton laboranta kun ĝi, Bonvolu lasi rimarkon.

Forumaj afiŝoj ofte demandas demandon tiel: "Mi havas manaĝeran vidon kaj kaj personara vido de listo. Kiel mi sekurigas la manaĝera vido por ke personaroj ne povas uzi ĝin?"

Ili ankaŭ ofte demandas rilatan demandon: "Mi deziras sekurigi specifan metadata kolumno por ke nuraj manaĝeroj povas redakti tiun kolumnon dum aliaj eĉ ne povas vidi ĝin."

Ĉi tiuj respondoj aplikas al ambaŭ WSS 3.0 Kaj MUSKO:

• SharePoint ne provizas ekstere-de-la-skatola subteno por sekuriganta vidojn.
• SharePoint ne provizas ekstere-de-la-skatola subteno por sekurecaj kolumnoj.

Estas pluraj teknikoj unu povas sekvi renkonti ĉi tiujn specojn de sekurecaj postuloj. Ĉi tie-a kio mi povas pensi de:

• Eluzi-de-la-skatola ero nivela sekureco. Vidas ĉiam honori era nivelo sekureca konfiguracio. Eventaj riceviloj kaj/aŭ workflow povas aŭtomatigi sekurecan komision.
• Uzi proprajn vidojn por "privilegia" Vidoj. Ĉi tiuj estas facile sufiĉaj instali. Tamen, Pro ilia "propra" Naturo, Ĉi tiuj devas esti formita por ĉiu uzanto. Uzi norman sekurecan konfiguracion malhelpi iun ajn alia de kreanta propran vidon.
• Uzi datuman vidan araneaĵan parton kaj efektivigi iun specon de AJAXy sekureco bonordiganta solvon.
• Ruli vian propran listan montriĝan funkcion kaj inkluzivi sekurecon bonordiganta ĉe la kolumna nivelo.
• Modifi la datumajn enirajn formojn kaj uzo JavaScript kune kun la sekureca modelo efektivigi kolumnon-nivela sekureco bonordiganta.
• Uzi InfoPath formo por datuma eniro. Efektivigi kolumnon-nivela sekureco bonordiganta tra araneaĵa servo vokoj al SharePoint kaj kondiĉe kaŝi kampojn kiel devita.
• Ruli vian propran ASPIDON.PURA datuma eniro funkcio kiu efektivigas kolumnan nivelon sekureco bonordiganta.

Neniu de tiuj elektoj estas vere ke granda, Sed estas almenaŭ vojo sekvi se vi devas al, Eĉ se ĝi estas malfacile.

NOTO: Se vi iras malsupren iun ajn de ĉi tiuj vojoj, Ne forgesas pri "Agoj -> Turniro kun Fenestra Esploristo". Vi deziras esti certe ke vi elprovas kun tiu ĉefaĵo fari certe ke ĝi ne laboras kiel "malantaŭa pordo" Kaj venki vian sekurecan planon.

Se vi havas aliajn ideojn por aŭ spertoj kun sekuriganta kolumnojn aŭ vidojn, Bonvolu Retpoŝtigi min Aŭ lasi rimarkon kaj min ĝisdatigos ĉi tiun afiŝon kiel konvena.

</Fino>

Aboni al mia blogo.

ĜISDATIGO: Mi poŝtis ĉi tiun demandon al MSDN ĉi tie (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) Kaj Mikaelo Washam de Microsoft respondita kun konciza respondo.

Mi kreis araneaĵan servon agi kiel BDC-amika fasado Al SharePoint listo. Kiam mi uzis tion ĉi de mia evoluada medio, Ĝi laboris bone. Kiam mi migris tion ĉi al nova servilo, Mi renkontis ĉi tiun eraron:

Ĉi tie estas linio 69:

Uzanta (SPSite ejo = nova SPSite("http://localhost/sandbox"))

Mi provis malsamajn variojn sur la URL, Inkluzivanta uzanta veran nomon de la servilo, Ĝia IPa adreso, Sekvanta detranĉojn sur la URL, Ktp. Mi ĉiam akiris ke eraro.

Mi uzis La Google Esplori ĝin. Multaj homoj alfrontas ĉi tiun aferon, Aŭ varioj de ĝi, Sed neniu ŝajnis havi ĝin solvis.

Tricksy MUSKO provizis tia detala eraro ke ĝi ne okazis al mi kontroli la 12 Hive ŝtipoj. Poste, Proksimume 24 Horoj poste Mia kolego Rekomendis min tiel fari, Mi kontrolis la 12 Hive ŝtipo kaj trovita tion ĉi:

Escepto occured dum provanta akiri la lokan bienon:
Sistemo.Sekureco.SecurityException: Petis registry aliro ne estas permesita.
Ĉe Sistemo.ThrowHelper.ThrowSecurityException(ExceptionResource rimedo) Ĉe
Microsoft.Win32.RegistryKey.OpenSubKey(Ŝnura nomo, Boolea writable) Ĉe
Microsoft.Win32.RegistryKey.OpenSubKey(Ŝnura nomo) Ĉe
Microsoft.SharePoint.Administro.SPConfigurationDatabase.Akiras_RegistryConnectionString() Ĉe
Microsoft.SharePoint.Administro.SPConfigurationDatabase.Akiras_Lokan() Ĉe
Microsoft.SharePoint.Administro.SPFarm.FindLocal(SPFarm& Bieno, Boolea& IsJoined)
La Zono de la asembleo kiu malsukcesis estis:  MyComputer

Tio ĉi malfermis supre novajn avenuojn de esploro, Do ĝi estis reen al La Google. Kiu gvidis min al tio ĉi Foruma poŝto: Http://Forumoj.Codecharge.Com/poŝtoj.Php?Poŝta_identigaĵo=67135. KE ne vere helpis min sed ĝi ja komencis faranta min pensi estis datumaro kaj/aŭ sekureca afero. Mi soldiered sur kaj Andrew Connell-a Poŝti fine ekkaŭzita la penson ke mi devus fari certe ke la identeco de la apliko naĝejo konto havis konvenan aliron al la datumaro. Mi pensis ĝin jam faris. Tamen, Mia kolego iris kaj donis la app naĝeja identeco klarigas plenan aliron al SQL.

Tuj kiam ŝi faris ke ŝanĝo, Ĉio komencis laboranta.

Kio okazis poste estas plej bone esprimita kiel Haiku Poemo:

Problemoj levas iliajn manojn.
Vi svingo kaj perdiĝi. Provi denove.
Sukceso! Sed kiel? Kial?

Ŝi ne deziris lasi aferojn sole kiel tio, Preferanta doni la minimuman postulatan permeson (Kaj verŝajne kun okulo al skribanta blogan eniron; Mi venkas ŝin al la stampilo, Muhahahahaha!).

Ŝi forigis sinsekvajn permesojn de la app naĝeja identeco konto ĝis … Estis ne pli longa ajna eksplicita permeso por la app naĝeja identeco konto ĉe ĉiuj. La araneaĵa servo daŭrita labori nuran monpunon.

Ni iris kaj rebooted la serviloj. Ĉio daŭrita labori bone.

Tiel, Al recap: Ni donis la app naĝeja identeco plena aliro kaj tiam forprenis ĝin. La araneaĵa servo komencis laboranta kaj neniam haltita laboranta. Groteska.

Se iu ajn scias kial kiu devus labori, Bonvolu lasi rimarkon.

</Fino>

Mi devis renkonti sekurecan postulon por InfoPath formo hodiaŭ. En ĉi tiu komerca situacio, relative malgranda nombro de individuoj estas permesita krei novan InfoPath formo kaj multe da pli larĝa spektantaro estas permesita redakti ĝin. (Tio ĉi estas nova-dungo sur-suriranta formon uzita de Homaj Rimedoj kiu lanĉas workflow).

Renkonti tiun objektivon, Mi kreis kreita du novajn permesajn nivelojn ("Krei kaj ĝisdatigo" Kaj "ĝisdatigo nur"), Rompis heredaĵon por la forma biblioteko kaj asignita permesojn al "krei, Ĝisdatigo" uzanto kaj aparta "ĝisdatigo nur" Uzanto. La mekanikoj ĉiuj laboris, Sed ĝi rezultis esti malgranda pli okupanta ol mi atendis. (Se vi sentas malgrandan malfirma sur SharePoint permesoj, Kontroli ĉi tiun blogan poŝton). La postulata sekureca konfiguracio por la permesa nivelo ne estis la evidenta aro de granular permesoj. Krei ĝisdatigon-nura permesa nivelo por InfoPath formo, Mi faris la sekvantaron:

1. Krei novan permesan nivelon.
2. Malbari for #?iuj elektoj.
3. Elektis nur la sekvantaron de "Listaj permesoj":

• Redakti Erojn
• Vidaj Eroj
• Vida Apliko #Pa?o

Elektanta #?i tiu elektojn permesas uzanton #?isdatigi formon, Sed ne krei ?in.

La ruzo estis ebligi la "Vidajn Aplikajn Paĝojn". Tie ne estas ajna verbage sur la permesa nivelo kiu indikas tion estas postulita por ĝisdatigo-nura InfoPath formoj, Sed rezultas ?in estas.

Krei-kaj-Ĝisdatigo estis para nekonato. Mi sekvis la samajn paŝojn, 1 Trae 3 Sur. Mi specife devis aldoni "Ejan Permeson" Elekto: "Uza kliento integrigaj ĉefaĵoj". Denove, La priskribo tie ne faras ?in #?ajni kiel ?i ought esti postulita por InfoPath formo, Sed tie ?i estas.

</Fino>

ĜISDATIGO 01/28/08: Ĉi tiu codeplex projekto traktas ĉi tiun aferon: http://www.codeplex.com/AccessChecker. Mi ne uzis ĝin, Sed ĝi rigardas promesanta se tio ĉi estas afero vi devas trakti en via medio.

ĜISDATIGO 11/13/08: Joel Oleson skribis supre tre bona poŝto sur la granda sekureca administrada afero ĉi tie: Http://Www.sharepointjoel.com/lists/posts/post.aspx?Enlistigi=0cd1a63d-183c-4fc2-8320-ba5369008acb&#IDENTIGA?O=113. Ĝi ligas al nombro de aliaj utilaj rimedoj.

forumaj uzantoj kaj klientoj ofte demandas demandon #la? #?i tiu linioj: "Kiel mi produktas listo de #?iuj uzantoj kun aliro al ejo" #A? "Kiel povas min #a?tomate atentigi #?iuj uzantoj kun aliro enlistigi pri #?an?o farita al la listo?"

Estas ne ekstere de la skatola solvo por tio ĉi. Se vi pensas pri ĝi momente, ?i?? Ne malfacile kompreni kial.

SharePoint sekureco estas tre fleksebla. Estas almenaŭ kvar gravaj kategorioj de uzantoj:

• Anonimaj uzantoj.
• SharePoint Uzantoj kaj Grupoj.
• Aktivaj Adresaraj uzantoj.
• Formas Bazita Authentication (FBA) Uzantoj.

La fleksebleco signifas ke de sekureca perspektivo, Iu ajn donita SharePoint ejo estos draste malsama de alia. Por produkti aliran listan raporton, Unu bezonoj konstati kiel la ejon estas sekurigita, Pridemandi multoblan malsaman uzanton profilaj deponejoj kaj tiam prezenti ĝin en utila modo. Tio estas malfacila problemo solvi generically.

Kiel estas organizoj traktanta #tio ?i? Mi amus aŭdi de vi en rimarkoj aŭ Retpoŝto.

</Fino>

ĜISDATIGO 12/18/07: Vidi artikolon de Paul Liebrand por kelkaj teknikaj sekvoj forigi aŭ modifanta la defaŭltajn grupajn nomojn (Vidi lian rimarkon sub ankaŭ).

Superrigardo:

SharePoint sekureco estas facile formi kaj administri. Tamen, Ĝi pruvis esti malfacila por kelkaj unua-tempaj administrantoj vere volvi iliajn manojn ĉirkaŭ ĝi. Ne nur tio, Mi vidis kelkajn administrantojn venita al perfekta kompreno lunde nur perdas ĝin de vendredo ĉar ili ne devis fari ajnan konfiguracion en la intervenanta tempo. (Mi agnoskas al havanta #?i tiu problemon mi mem). Ĉi tiu bloga eniro espereble provizas utilan SharePoint sekureca enkonduko kaj punktoj al iu sekureca konfiguracio plej bonaj praktikoj.

Grava Noto:

Ĉi tiu priskribo estas bazita sur ekstere de la skatolo SharePoint sekureco. Mia propra sperto estas oriented ĉirkaŭ MUSKO do tie povas esti iu MUSKO specifa aĵo ĉi tie, Sed mi kredas ĝin estas preciza por WSS. Mi esperas ke iu ajn vidanta ajnajn erarojn aŭ preterlasojn indikos ke ekstere en rimarkoj aŭ Retpoŝtigi min. Mi faros ĝustigan poŝton rapideco.

Fundamentals:

Por la celoj de #?i tiu superrigardo, Estas kvar fundamentaj flankoj al sekureco: Uzantaj/grupoj, Securable objektoj, Permesaj niveloj kaj #hereda?o.

uzantoj kaj Grupoj Rompi malsupren al:

• Individuaj uzantoj: Tirita de aktiva adresaro #a? kreis rekte en SharePoint.
• Grupoj: Mapis rekte de aktiva adresaro aŭ kreita en SharePoint. Grupoj estas kolekto de uzantoj. Grupoj estas tutmondaj en eja kolekto. Ili estas neniam "ligita" Al specifa securable objekto.

Securable objektoj Rompi malsupren al #almena?:

• Ejoj
• Dokumentaj bibliotekoj
• Individuaj eroj en listoj kaj dokumentaj bibliotekoj
• Tekoj
• Diversaj BDCaj fiksoj.

Tie alia securable objektoj, Sed vi akiras la bildon.

Permesaj niveloj: Pako de granular / Malalta nivela aliro rajtoj kiu inkluzivas tiajn aferojn kiel kreas/legita/forigi enirojn en listoj.

#Hereda?o: De defaŭltaj entoj heredas sekurecajn fiksojn de ilia enhavanta objekto. Sub-ejoj heredas permeson de ilia gepatro. Dokumentaj bibliotekoj heredas de ilia ejo. Tiel sur kaj tiel antaŭen.

uzantoj kaj grupoj rilatas al securable objektoj tra permesaj niveloj kaj #hereda?o.

La Plej Gravaj Sekurecaj Reguloj Kompreni, Ever 🙂 :

1. Grupoj estas simple kolektoj de uzantoj.
2. Grupoj estas tutmondaj ene de eja kolekto (T.e. Estas ne tia afero kiel grupo difinita #?e eja nivelo).
3. Grupo nomas ne eltenanta, Grupoj faras ne, Je kaj de si mem, Havi ajnan apartan nivelon de sekureco.
4. Grupoj havas sekurecon en la kunteksto de specifa securable objekto.
5. Vi povas asigni malsamajn permesajn nivelojn al la sama grupo por #?iu securable objekto.
6. #Aranea?o apliko politikoj superatutas #?iu de #tio ?i (Vidi malsupre).

Sekurecaj administrantoj perdita en maro de grupo kaj uzantaj listeroj #?iam povas fidi sur #?i tiu aksiomoj administri kaj kompreni ilian sekurecan konfiguracion.

Oftaj Enfaliloj:

• Grupo nomas malvere implici permeson: Ekstere de la skatolo, SharePoint difinas aron de grupigas kies nomoj implicas esencan nivelon de sekureco. Konsideri la grupan "Kontribuanton". Unu nekonata kun SharePoint sekureco bone povas rigardi tiun nomon kaj supozas ke ajna membro de tiu grupo povas "kontribui" Al ajna eja/lista/biblioteko en la portalo. Kiu povas esti vera sed ne ĉar la nomo de la grupo okazas esti "kontribuanto". Tio ĉi estas nur vera ekstere de la skatolo ĉar la grupo estis provizita permesan nivelon kiu ebligas ilin aldoni/redakti/forigi enhavon ĉe la radika ejo. Tra heredaĵo, La "kontribuantoj" Grupo ankaŭ povas aldoni/redakti/forigi enhavon ĉe ĉiu sub-ejo. Unu povas "rompi" La #hereda?o #?eno kaj #?an?i la permesan nivelon de sub-ejo tia ke membroj de la #la?dira "Kontribuanto" Grupo ne povas kontribui #?e #?iu, Sed nur legita (Ekzemple). Tio ĉi ne estus bona ideo, Evidente, Pro tio ke ?i estus tre konfuzanta.
• Grupoj ne estas difinita #?e eja nivelo. Ĝi estas facile esti konfuzita de la uzanta fasado. Microsoft provizas oportunan ligon al uzanta/grupo administrado tra la Homoj de "ĉiu ejo kaj Grupoj" Ligo. Ĝi estas facile kredi ke kiam mi estas ĉe ejo "xyzzy" Kaj mi kreas grupon tra la Homoj de xyzzy kaj Grupoj ligas ke mi nur kreis grupon ke nur ekzistas ĉe xyzzy. Kiu ne estas la kazo. Mi efektive kreis grupon por la tuta eja kolekto.
• Grupa #membri?o ne varias de ejo (T.e. ?i estas la sama #?ie la grupo estas uzita): Konsideri la grupon "Owner" Kaj du ejoj, "HR" Kaj "Loĝistiko". Ĝi estus normala pensi ke du apartaj individuoj posedus tiujn ejojn — HRa posedanto kaj Loĝistika posedanto. La uzanta fasado faras ĝin facile por sekureca administranto mistrakti ĉi tiun scenaron. Se mi ne sciis pli bonan, Mi povus aliri la Homojn kaj Grupojn ligas tra la HRa ejo, Elekti la "Posedantojn" Grupo kaj aldoni mian HRan posedanton al tiu grupo. Monato poste, Loĝistikoj venas enretan. Mi aliras Homojn kaj Grupojn de la Loĝistika ejo, Aldoni tiron supre la "Posedantoj" Grupo. Mi vidas la HRan posedanton tie kaj forigi ŝin, Pensanta ke mi estas foriganta ŝin de Posedantoj ĉe la Loĝistika ejo. Fakte, Mi estas foriganta ŝin de la tutmonda Posedanta grupo. Hilarity rezultas.
• Malsukcesanta nomi grupojn bazita sur specifa rolo: La "Approvers" Grupo estas perfekta ekzemplo. Kio povas membrojn de ĉi tiu grupo aprobas? Kie povas ilin aprobas ĝin? Faras min vere deziri homa Loĝistiko departemento esti kapabla aprobi HRajn dokumentojn? Nature ne. Ĉiam nomi grupojn bazita sur ilia rolo ene de la organizo. Tio ĉi reduktos la riskon ke la grupo estas asignita nekonvenan permesan nivelon por aparta securable objekto. Nomo grupigas bazita sur ilia intenca rolo. En la antaŭa HRa/Loĝistika scenaro, Mi devus krei du novajn grupojn: "HRaj Posedantoj" Kaj "#Lo?istiko Posedantoj" Kaj asigni prudentajn permesajn nivelojn por #?iu kaj la minimuma kvanto postulita por tiuj uzantoj fari ilian laborpostenon.

Aliaj Utilaj Referencoj:

• #Aranea?o apliko politiko gotcha??: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Clearinghouse por SharePoint sekureco: http://www.sharepointsecurity.com/
• Ligoj de Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Se vi??E faris ?in #?i tiu fora:

Bonvolu lasi Mi scii viajn pensojn tra la rimarkoj aŭ retpoŝtigi min. Se vi scias aliajn bonajn referencojn, Bonvolu fari la saman!