تکمیلی 11/03/08: مطمئن باشید که به خواندن بسیار عالی و دقیق از نظر Dessie Lunsford به این پست.

من مشغول به کار در یک پروژه ویرایش فن آوری های مخفی برای بالا آمدن کتاب و منابع آن این وبلاگ توسط Tyler باتلر در وبلاگ MSDN ECM. This is the first time I personally read a clear definition of the meaning of Limited Access. Here’s the meat of the definition:

در شیرپوینت, کاربران ناشناس’ حقوق با سطح دسترسی محدود اجازه تعیین. دسترسی محدود سطح مجوز ویژه است که می تواند به یک کاربر و یا گروه به طور مستقیم نمی شود اختصاص داده است. به این دلیل که وجود دارد چرا که اگر شما دارای یک کتابخانه و یا ساب شکسته است که توارث مجوز, و شما را به دسترسی کاربر / گروه نه تنها این کتابخانه / ساب, به منظور مشاهده محتویات آن را, کاربر / گروه باید برخی از دسترسی به ریشه وب. در غیر این صورت کاربر / گروه قادر خواهد بود به فهرست کتابخانه ها / ساب, حتی اگر آنها از حقوق وجود دارد, چون چیز در ریشه وب که مورد نیاز برای ارائه سایت یا کتابخانه وجود دارد. بنابراین, هنگامی که شما به مجوز گروه تنها به ساب یا کتابخانه که در حال شکستن توارث مجوز, شیرپوینت به طور خودکار دسترسی محدود به آن گروه یا کاربر ریشه وب.

این سوال می آید در حال حاضر و پس از آن در MSDN و من همیشه کنجکاو بوده است (اما کنجکاو به اندازه کافی به آن قبل از امروز :)).

</پایان>

مشترک شدن در وبلاگ من.

من در توییتر در http://www.twitter.com/pagalvin

In a sign that Social Computing is beginning to take off with SharePoint, I see an increased number of My Site type questions. One common question goes something like this:

"I am an administrator and I need to be able to access every My Site. How do I do that?"

The trick here is that each My Site is its own site collection. SharePoint security is normally administered at the site collection level and this trips up many a SharePoint administrator. به طور معمول, she already has access to configure security in the "main" site collections and may not realize that this doesn’t automatically work for My Sites.

Site collections collectively live inside a larger container, which is the web application. Farm admins can can configure security at the web app level and this is how admins can grant themselves access to any site collection in the web application. This blog entry describes one of my personal experiences with web application policies. I defined a web application policy by accident: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web application policies can be dangerous and I suggest that they be used sparingly. If I were an admin (and thank goodness I am not), I would create a separate AD account named something like "SharePoint Web App Administrator" and give that one account the web application security role it needs. I would not configure this kind of thing for the regular farm admin or individual site collection admins. It will tend to hide potential problems because the web app role overrides any lower level security settings.

</پایان>

مشترک شدن در وبلاگ من.

من در توییتر در http://www.twitter.com/pagalvin

تکمیلی (02/29/08): This new codeplex project seems to provide a method for securing individual columns: http://www.codeplex.com/SPListDisplaySetting. If you have any experience working with it, لطفا ترک یک نظر.

Forum posters frequently ask a question like this: "I have a manager view and and a staff view of a list. How do I secure the manager view so that staff can not use it?"

They also frequently ask a related question: "I want to secure a specific metadata column so that only managers may edit that column while others may not even see it."

These answers apply to both WSS 3.0 و MOSS:

• SharePoint does not provide out-of-the-box support for securing views.
• SharePoint does not provide out-of-the-box support for security columns.

There are several techniques one can follow to meet these kinds of security requirements. Here’s what I can think of:

• Use out-of-the-box item level security. Views always honor item level security configuration. Event receivers and/or workflow can automate security assignment.
• Use personal views for "privileged" views. These are easy enough to set up. اما, due to their "personal" nature, these need to be configured for each user. Use standard security configuration to prevent anyone else from creating a personal view.
• Use a data view web part and implement some kind of AJAXy security trimming solution.
• Roll your own list display functionality and incorporate security trimming at the column level.
• Modify the data entry forms and use JavaScript in conjunction with the security model to implement column-level security trimming.
• Use an InfoPath form for data entry. Implement column-level security trimming via web service calls to SharePoint and conditionally hide fields as needed.
• Roll your own ASP.NET data entry function that implements column level security trimming.

None of those options are really that great, but there is at least a path to follow if you need to, even if it’s hard.

توجه: If you go down any of these paths, don’t forget about "Actions -> Open with Windows Explorer". You want to be sure that you test with that feature to make sure that it doesn’t work as a "back door" and defeat your security scheme.

If you have other ideas for or experiences with securing columns or views, please ایمیل من or leave a comment and I’ll update this posting as appropriate.

</پایان>

مشترک شدن در وبلاگ من.

تکمیلی: من در این سوال در اینجا به MSDN (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) and Michael Washam of Microsoft responded with a concise answer.

ایجاد یک وب سرویس به عنوان یک BDC-دوستانه نما to a SharePoint list. When I used this from my development environment, مشغول به کار خوب. وقتی که من مهاجرت به یک سرور جدید, من با این خطا مواجه:

در اینجا خط 69:

با استفاده از (سایت SPSite = جدید SPSite("http://localhost/sandbox"))

من سعی کردم تغییرات مختلف بر روی URL, از جمله با استفاده از نام واقعی سرور, آدرس آی پی خود را, کاهش انتهایی بر روی URL, غیره. I always got that error.

من استفاده می شود گوگل to research it. Lots of people face this issue, و یا تغییرات از آن, اما هیچ یک به نظر می رسید که آن را حل.

Tricksy خزه یک خطای دقیق که رخ می دهد نه برای من برای بررسی 12 hive logs. Eventually, در حدود 24 ساعت پس از همکارم توصیه من این کار را, من چک کردن 12 ورود به سیستم کندو و این:

یک استثنا رخ می داد در حالی که تلاش برای به دست آوردن مزرعه محلی:
System.Security.SecurityException: درخواست دسترسی به رجیستری مجاز نمی باشد.
در System.ThrowHelper.ThrowSecurityException(ExceptionResource منابع) در
(نام رشته, بولی را قابل نوشتن کنید) در
(نام رشته) در
() در
() در
(SPFarm& مزرعه, بولی& isJoined)
منطقه مونتاژ که شکست خورده بود:  MyComputer

این باز کردن راه های جدید پژوهشی, پس از آن دوباره به گوگل. که منجر به این پست انجمن: HTTP://forums.codecharge.com / posts.php?post_id = 67،135. That didn’t really help me but it did start making me think there was a database and/or security issue. I soldiered on and اندرو در کانل post finally triggered the thought that I should make sure that the application pool’s identity account had appropriate access to the database. I thought it already did. اما, همکارم رفت و به برنامه استخر هویت برای دسترسی به حساب به SQL.

به محض این که او ساخته شده است که تغییر, everything started working.

بعد چه اتفاقی افتاد بهتر است به عنوان یک بیان شعر بی قافیه سه سطری ژاپنی شعر:

مشکلات بالا بردن دست خود را.
You swing and miss. Try again.
موفقیت! But how? چرا?

او نمی خواست به ترک تنهایی می خواهم که, ترجیح می دهند به دادن مجوز حداقل (و احتمالا با یک چشم به نوشتن یک وبلاگ; من او را مورد ضرب و شتم به پانچ, muhahahahaha!).

او مجوز های پی در پی از نرم افزار حساب استخر هویت تا حذف … there was no longer any explicit permission for the app pool identity account at all. The web service continued to work just fine.

We went and rebooted the servers. Everything continued to work fine.

پس, برای روکش کردن: we gave the app pool identity full access and then took it away. The web service started working and never stopped working. Bizarre.

اگر کسی می داند چرا که باید کار می کرد, لطفا ترک یک نظر.

</پایان>

I needed to meet a security requirement for an InfoPath form today. In this business situation, a relatively small number of individuals are allowed to create a new InfoPath form and a much wider audience are allowed to edit it. (این است جدید استخدام در شبانه روزی مورد استفاده توسط منابع انسانی است که راه اندازی یک گردش کار).

برای رسیدن به این هدف, ایجاد دو سطح اجازه جدید ("create and update" and "update only"), broke inheritance for the form library and assigned permissions to a "create, به روز رسانی" user and a separate "update only" کاربر. The mechanics all worked, but it turned out to be a little more involving than I expected. (اگر شما احساس می کنید کمی لرزان مجوز شیرپوینت, چک کردن این پست وبلاگ). The required security configuration for the permission level was not the obvious set of granular permissions. To create an update-only permission level for an InfoPath form, من زیر:

1. ایجاد یک سطح اجازه جدید.
2. پاک کردن دور همه گزینه ها.
3. Selected only the following from "List permissions":

• ویرایش آیتم ها
• نمایش آیتم ها
• مشاهده صفحات کاربرد

انتخاب این گزینه به کاربر اجازه می دهد برای به روز رسانی یک فرم, اما آن را ایجاد کنید.

The trick was to enable the "View Application Pages". There isn’t any verbage on the permission level that indicates that’s required for update-only InfoPath forms, اما معلوم آن است.

Create-and-Update was even stranger. I followed the same steps, 1 از طریق 3 بالاتر. I had to specifically add a "Site Permission" انتخاب: "Use client integration features". دوباره, شرح وجود دارد باعث نمی شود آن را به نظر می رسد مانند آن را باید به فرم InfoPath است لازم باشد, اما وجود دارد آن است.

</پایان>

تکمیلی 01/28/08: این پروژه codeplex آدرس این موضوع: http://www.codeplex.com/AccessChecker. I have not used it, اما آن را امیدوار کننده به نظر می رسد در صورتی که این موضوع است که شما نیاز دارید که در محیط زیست خود را پرداختن به.

تکمیلی 11/13/08: جوئل Oleson نوشت: یک پست بسیار خوبی بر روی مسئله امنیت بزرگتر مدیریت: HTTP://www.sharepointjoel.com / لیست / پست / Post.aspx?2D4fc2 2D183c٪ 2D8320٪٪٪ فهرست = 0cd1a63d 2Dba5369008acb&ID = 113. It links to a number of other useful resources.

کاربران انجمن و مشتریان اغلب یک سوال در امتداد این خطوط را بپرسید: "How do I generate a list of all users with access to a site" or "How can I automatically alert all users with access to list about changes made to the list?"

There is no out of the box solution for this. If you think about it for a moment, کار دشواری نیست به درک چرا.

SharePoint security is very flexible. There are at least four major categories of users:

• کاربران ناشناس.
• کاربران و گروه های شیرپوینت.
• کاربران اکتیو دایرکتوری.
• تشکیل می دهد تایید بر اساس (FBA) کاربران.

انعطاف پذیری این بدان معنی است که از دیدگاه امنیتی, any given SharePoint site will be dramatically different from another. In order to generate an access list report, نیاز به معلوم سایت چگونه است امن, query multiple different user profile repositories and then present it in a useful fashion. That’s a hard problem to solve generically.

چگونه سازمان های مقابله با این? I’d love to hear from you in comments or پست الکترونیک.

</پایان>

تکمیلی 12/18/07: مشاهده مقاله پل Liebrand برای برخی از پیامدهای فنی از بین بردن و یا تغییر گروه پیش فرض نام (نظر خود را در زیر و همچنین).

بررسی اجمالی:

SharePoint security is easy to configure and manage. اما, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (من به داشتن این مشکل خودم اعتراف). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

نکته مهم:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or ایمیل من. I’ll make corrections post haste.

اصول:

هدف از این مرور, چهار جنبه اساسی برای امنیت وجود دارد: کاربران / گروه ها, اشیاء مجموعه قابل تامین, سطح اجازه و ارث.

کاربران و گروه ها شکستن به پایین:

• کاربران شخصی: کشیده از اکتیو دایرکتوری و یا به طور مستقیم در شیرپوینت.
• گروه های دسته جمعی: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" به یک شیء خاص مجموعه قابل تامین.

اشیاء مجموعه قابل تامین شکستن به حداقل:

• سایت
• کتابخانه های سند
• اقلام در لیست ها و کتابخانه های سند
• پوشه ها
• مختلف BDC تنظیمات.

مجموعه قابل تامین اشیاء دیگر, اما شما می توانید از تصویر.

سطوح اجازه: بسته نرم افزاری از دانه / low level access rights that include such things as create/read/delete entries in lists.

وراثت: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

کاربران و گروه های مربوط به اشیاء مجموعه قابل تامین از طریق سطوح اجازه و ارث.

مهم ترین قوانین امنیتی به درک, همیشه 🙂 :

1. گروه ها به سادگی مجموعه ای از کاربران.
2. گروه ها در مجموعه سایت های جهانی (i.e. چنین چیزی به عنوان یک گروه در یک سطح سایت تعریف شده وجود ندارد).
3. نام گروه تحمل نیست, گروه انجام نمی, و خود را, have any particular level of security.
4. Groups have security in the context of a specific securable object.
5. شما ممکن است سطوح مجوز متفاوت به همان گروه برای هر شیء مجموعه قابل تامین اختصاص.
6. وب سیاست کاربرد مغلوب ساختن پیشی جستن از این همه (پایین را ببینید).

مدیران امنیت از دست رفته را در دریایی از گروه و لیست کاربر همیشه می توانید در مورد این بدیهیات تکیه می کنند برای مدیریت و تنظیمات امنیتی خود را درک.

مشکلات متداول:

• نام گروه به دروغ این مفهوم را میرسانند اجازه: خارج از کادر, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" گروه نمی تواند در همه, اما فقط به عنوان خوانده شده (مثلا). This would not be a good idea, بدیهی است که, از آنجایی که این امر می تواند بسیار گیج کننده است.
• گروه ها در سطح سایت تعریف نشده. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" پیوند. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
• عضویت در گروه ها توسط سایت متفاوت (i.e. آن همان است که در همه جا این گروه استفاده شده است): Consider the group "Owner" و دو سایت, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, من ممکن است دسترسی به افراد و گروه ها لینک ها را از طریق سایت HR, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. در واقع, I’m removing her from the global Owners group. Hilarity ensues.
• عدم به نام گروه بر اساس نقش خاص: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, من باید دو گروه جدید: "HR Owners" and "Logistics Owners" و اختصاص سطوح اجازه معقول برای هر یک و مقدار حداقل مورد نیاز برای کاربرانی که به انجام کار خود را.

مفید دیگر منابع:

• برنامه سیاست مارپیچ وب سایت: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• تهاتری امنیت برای شیرپوینت: http://www.sharepointsecurity.com/
• ها لینک ها و پیوندها از جوئل Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

اگر شما ساخته شده است آن را در این دور:

Please let me know your thoughts via the comments or email me. If you know other good references, لطفا همین کار را!