અપડેટ 11/03/08: ના શ્રેષ્ઠ અને વિગતવાર ટિપ્પણી વાંચવા માટે ખાતરી કરો Dessie Lunsford આ પોસ્ટ.

હું એક અપ આગામી પુસ્તક માટે ગુપ્ત ટેક સંપાદન પ્રોજેક્ટ પર કામ કરે છે અને તે સંદર્ભો કરવામાં આવ્યાં છે જો એમએસડીએન ECM બ્લોગ પર ટેલર બટલર દ્વારા આ બ્લોગ એન્ટ્રી. This is the first time I personally read a clear definition of the meaning of Limited Access. Here’s the meat of the definition:

શેરપોઈન્ટ ઈંચ, અનામિ’ અધિકારો મર્યાદિત ઍક્સેસ પરવાનગી સ્તર દ્વારા નક્કી કરવામાં આવે છે. મર્યાદિત ઍક્સેસ સીધી વપરાશકર્તા અથવા જૂથ સોંપેલ શકાતી નથી કે ખાસ પરવાનગી સ્તર છે. જો તમે લાઇબ્રેરી અથવા subsite હોય તો પરવાનગીઓ વારસો ભાંગી છે કે કારણ કે તે હાજર હોય છે, અને તમે માત્ર તે માટે વપરાશકર્તા / જૂથ ઍક્સેસ આપવા ગ્રંથાલય / subsite, તેના સમાવિષ્ટો જોવા માટે, વપરાશકર્તા / જૂથ રુટ વેબ પર કેટલાક વપરાશ હોવો જ જોઈએ. નહિંતર વપરાશકર્તા / જૂથ ગ્રંથાલયનો / subsite બ્રાઉઝ કરવા અસમર્થ હશે, તેઓ ત્યાં અધિકારો છે છતાં પણ, આ સાઇટ અથવા લાઇબ્રેરી રેન્ડર કરવા માટે જરૂરી છે કે જે રુટ વેબ વસ્તુઓ છે કારણ કે. એના પરિણામ રૂપે, તમે માત્ર પરવાનગીઓ વારસો ભંગ છે કે subsite અથવા પુસ્તકાલય માટે એક જૂથ પરવાનગીઓ આપી જ્યારે, શેરપોઈન્ટ આપમેળે રુટ વેબ પર કે જૂથ અથવા વપરાશકર્તા સુધી મર્યાદિત ઍક્સેસ આપશે.

આ પ્રશ્ન એમએસડીએન ફોરમ પર હવે પછી આવે છે અને હું હંમેશા વિચિત્ર કરી છે (આજે તે પહેલાં બહાર આકૃતિ માટે પૂરતી છે, પરંતુ વિચિત્ર નથી :)).

</અંત>

મારા બ્લોગ પર સબ્સ્ક્રાઇબ કરો.

Twitter પર મને ખાતે અનુસરો http://www.twitter.com/pagalvin

સમાજ કમ્પ્યુટિંગ શેરપોઈન્ટ સાથે બંધ લેવા શરૂ થયેલ છે કે સાઇન ઇન કરો, I see an increased number of My Site type questions. One common question goes something like this:

"I am an administrator and I need to be able to access every My Site. How do I do that?"

The trick here is that each My Site is its own site collection. SharePoint security is normally administered at the site collection level and this trips up many a SharePoint administrator. સાધારણ રીતે, she already has access to configure security in the "main" સાઇટ સંગ્રહો અને આ આપોઆપ મારી સાઇટ્સ માટે કામ કરતું નથી ખ્યાલ હોતો નથી કે કરી શકે છે.

સાઇટ સંગ્રહ સામૂહિક મોટા કન્ટેનર અંદર રહેતા, which is the web application. Farm admins can can configure security at the web app level and this is how admins can grant themselves access to any site collection in the web application. This blog entry describes one of my personal experiences with web application policies. I defined a web application policy by accident: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web application policies can be dangerous and I suggest that they be used sparingly. If I were an admin (અને હું નથી દેવતા આભાર), I would create a separate AD account named something like "SharePoint Web App Administrator" and give that one account the web application security role it needs. I would not configure this kind of thing for the regular farm admin or individual site collection admins. It will tend to hide potential problems because the web app role overrides any lower level security settings.

</અંત>

મારા બ્લોગ પર સબ્સ્ક્રાઇબ કરો.

Twitter પર મને ખાતે અનુસરો http://www.twitter.com/pagalvin

અપડેટ (02/29/08): આ નવી કોડપ્લેક્સ પ્રોજેક્ટ વ્યક્તિગત કૉલમ સુરક્ષિત કરવા માટે એક પદ્ધતિ પૂરી પાડે છે તેમ લાગે છે: http://www.codeplex.com/SPListDisplaySetting. If you have any experience working with it, એક ટિપ્પણી છોડી કૃપા કરીને.

ફોરમ પોસ્ટરો વારંવાર આ જેમ એક પ્રશ્ન પૂછો: "I have a manager view and and a staff view of a list. How do I secure the manager view so that staff can not use it?"

તેઓ પણ ઘણીવાર સંબંધિત પ્રશ્ન પૂછો: "I want to secure a specific metadata column so that only managers may edit that column while others may not even see it."

These answers apply to both WSS 3.0 અને MOSS:

• જોવાયું સુરક્ષિત કરવા માટે શેરપોઈન્ટ પૂરું પાડતું નથી આઉટ ઓફ ધ બોક્સ આધાર.
• સુરક્ષા કૉલમ માટે શેરપોઈન્ટ પૂરું પાડતું નથી આઉટ ઓફ ધ બોક્સ આધાર.

There are several techniques one can follow to meet these kinds of security requirements. Here’s what I can think of:

• Use out-of-the-box item level security. Views always honor item level security configuration. Event receivers and/or workflow can automate security assignment.
• Use personal views for "privileged" જોવાયું. These are easy enough to set up. તેમ છતાં, due to their "personal" કુદરત, these need to be configured for each user. Use standard security configuration to prevent anyone else from creating a personal view.
• ડેટા જુઓ વેબ ભાગ વાપરો અને AJAXy સુરક્ષા આનુષંગિક બાબતો ઉકેલ અમુક પ્રકારની અમલ.
• તમારા પોતાના યાદી પ્રદર્શન વિધેય રોલ અને સુરક્ષા સ્તંભ સ્તરે આનુષંગિક બાબતો સમાવેશ.
• ડેટા એન્ટ્રી સ્વરૂપો બદલો અને આનુષંગિક બાબતો કૉલમ સ્તર સુરક્ષા અમલ કરવા માટે સુરક્ષા મોડલ સાથે જોડાણમાં JavaScript નો ઉપયોગ.
• Use an InfoPath form for data entry. Implement column-level security trimming via web service calls to SharePoint and conditionally hide fields as needed.
• આનુષંગિક બાબતો કૉલમ સ્તર સુરક્ષા અમલીકરણ કે જે તમારા પોતાના ASP.NET ડેટા એન્ટ્રી કાર્ય પત્રક.

તે વિકલ્પો કંઈ ખરેખર મહાન છે, પરંતુ તમે જરૂર હોય તો પાલન માટે ઓછામાં ઓછી પાથ છે, તે મુશ્કેલ છે પણ જો.

નોંધ: તમે આ પાથ કોઈપણ નીચે જાઓ તો, don’t forget about "Actions -> Open with Windows Explorer". You want to be sure that you test with that feature to make sure that it doesn’t work as a "back door" અને તમારી સુરક્ષા યોજના હરાવવા.

તમે સુરક્ષિત કૉલમ અથવા જોવાયેલી અન્ય માટે વિચારો અથવા અનુભવો હોય તો, કૃપા કરીને મને ઇમેઇલ અથવા એક ટિપ્પણી મૂકો અને હું આ યોગ્ય તરીકે પોસ્ટિંગ અપડેટ કરીશું.

</અંત>

મારા બ્લોગ પર સબ્સ્ક્રાઇબ કરો.

અપડેટ: હું અહીં એમએસડીએન માટે આ પ્રશ્ન પોસ્ટ (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) and Michael Washam of Microsoft responded with a concise answer.

હું એક તરીકે કામ કરવા માટે વેબ સેવાનો બનાવનાર BDC મૈત્રીપૂર્ણ રવેશ to a SharePoint list. When I used this from my development environment, તે દંડ કામ કર્યું. હું એક નવા સર્વર માટે આ સ્થળાંતર ત્યારે, હું આ ભૂલ આવી:

અહીં વાક્ય છે 69:

નો ઉપયોગ (SPSite સાઇટ = નવી SPSite("http://localhost/sandbox"))

હું URL પર વિવિધ પ્રકારોનો પ્રયાસ કર્યો, સર્વરનું પ્રત્યક્ષ નામનો ઉપયોગ સહિત, તેના IP સરનામું, આ URL પર પાછળનો સ્લેશ, વગેરે. I always got that error.

હું ઉપયોગ તે Google to research it. Lots of people face this issue, તે અથવા ભિન્નતા, પરંતુ કોઈ એક તે હલ છે લાગતું.

Tricksy શેવાળ ચકાસવા માટે મને તે થઇ ન હતી કે આવા વિગતવાર ભૂલ પૂરી પાડવામાં 12 hive logs. છેવટે, લગભગ 24 કલાક પછી મારા સાથીદાર હું આવું ભલામણ, હું બહાર ચકાસેલ 12 મધપૂડો લોગ અને આ મળી:

સ્થાનિક ફાર્મ હસ્તગત કરવાનો પ્રયાસ કરતી વખતે એક અપવાદ આવી:
System.Security.SecurityException: વિનંતી કરી રજિસ્ટ્રી ઍક્સેસ અનુમતિ નથી.
System.ThrowHelper.ThrowSecurityException ખાતે(ExceptionResource સંસાધન) અંતે
(શબ્દમાળા નામ, બુલિયન લખી શકાય તેવી) અંતે
(શબ્દમાળા નામ) અંતે
() અંતે
() અંતે
(SPFarm& ફાર્મ, બુલિયન& isJoined)
નિષ્ફળ કે વિધાનસભા ની ઝોન હતી:  MyComputer

આ સંશોધનના નવી એવન્યુ અપ ખોલી, તેથી તે Google પર પાછા આવી ગયા હતાં. કે આ મને દોરી ફોરમ પોસ્ટ: HTTP://forums.codecharge.com / posts.php?= 67135 POST_ID. That didn’t really help me but it did start making me think there was a database and/or security issue. I soldiered on and એન્ડ્રુ કોનેલ માતાનો post finally triggered the thought that I should make sure that the application pool’s identity account had appropriate access to the database. I thought it already did. તેમ છતાં, મારા સાથીદાર ગયા અને SQL પર એપ્લિકેશન પૂલ ઓળખ એકાઉન્ટ સંપૂર્ણ ઍક્સેસ આપ્યો.

તે પરિવર્તન કરવામાં જલદી, everything started working.

પછી શું થયું તે શ્રેષ્ઠ તરીકે દર્શાવવામાં આવે છે હૈકુ કવિતા:

સમસ્યાઓ તેમના હાથ ઊંચા.
You swing and miss. Try again.
સફળતા! But how? શા માટે?

તે જેમ એકલા વસ્તુઓ છોડી નહિં માંગો હતી, ન્યૂનતમ જરૂરી પરવાનગી આપવા માટે પસંદ કરી (અને કદાચ પ્રવેશ બ્લોગ લખવાનું માટે એક આંખ સાથે; હું પંચને તેના હરાવ્યું, muhahahahaha!).

તેમણે ત્યાં સુધી એપ્લિકેશન પૂલ ઓળખ એકાઉન્ટ માંથી ક્રમિક પરવાનગીઓ દૂર … there was no longer any explicit permission for the app pool identity account at all. The web service continued to work just fine.

We went and rebooted the servers. Everything continued to work fine.

તેથી, રીકેપ માટે: we gave the app pool identity full access and then took it away. The web service started working and never stopped working. Bizarre.

કામ કર્યું છે કરીશું કે શા માટે કોઈની પણ જાણે છે તો, એક ટિપ્પણી છોડી કૃપા કરીને.

</અંત>

I needed to meet a security requirement for an InfoPath form today. In this business situation, a relatively small number of individuals are allowed to create a new InfoPath form and a much wider audience are allowed to edit it. (આ નવા ભાડે છે વર્કફ્લો લોન્ચ કે માનવ સંસાધન દ્વારા ઉપયોગમાં પર બોર્ડિંગ ફોર્મ).

કે હેતુ સંતોષવા માટે, હું બનાવનાર બે નવા પરવાનગી સ્તર બનાવનાર ("create and update" and "update only"), broke inheritance for the form library and assigned permissions to a "create, અપડેટ" user and a separate "update only" વપરાશકર્તા. The mechanics all worked, but it turned out to be a little more involving than I expected. (તમે શેરપોઈન્ટ પરવાનગીઓ પર થોડી અસ્થિર લાગે તો, આ બ્લોગ પોસ્ટ તપાસો). The required security configuration for the permission level was not the obvious set of granular permissions. To create an update-only permission level for an InfoPath form, હું નીચે કર્યું:

1. નવી પરવાનગી સ્તર બનાવો.
2. બધા વિકલ્પો દૂર કરો.
3. Selected only the following from "List permissions":

• આઇટમ્સ સંપાદિત કરો
• આઇટમ્સ જુઓ
• અરજી પાના જુઓ

આ વિકલ્પો પસંદ કરી એક વપરાશકર્તા, એક ફોર્મ સુધારવા માટે પરવાનગી આપે છે, પરંતુ તે ન બનાવો.

The trick was to enable the "View Application Pages". There isn’t any verbage on the permission level that indicates that’s required for update-only InfoPath forms, પરંતુ તે છે બહાર વળે.

Create-and-Update was even stranger. I followed the same steps, 1 દ્વારા 3 ઉપર. I had to specifically add a "Site Permission" વિકલ્પ: "Use client integration features". ફરી, ત્યાં વર્ણન તે ઈન્ફોપાથ ફોર્મ માટે જરૂરી હિતાવહ એવું લાગે છે નથી, પરંતુ ત્યાં તે છે.

</અંત>

અપડેટ 01/28/08: આ કોડપ્લેક્સ પ્રોજેક્ટ આ મુદ્દાને સંબોધે: http://www.codeplex.com/AccessChecker. I have not used it, આ તમે તમારા પર્યાવરણમાં સંબોધવા માટે જરૂર એક મુદ્દો છે પરંતુ જો તે આશાસ્પદ લાગે છે.

અપડેટ 11/13/08: જોએલ Oleson અહીં મોટી સુરક્ષા વ્યવસ્થા મુદ્દા પર ખૂબ જ સારી પોસ્ટ ઉપર લખ્યું હતું: HTTP://www.sharepointjoel.com / યાદી આપે છે / પોસ્ટ્સ / Post.aspx?List=0cd1a63d-183c-4fc2-8320-ba5369008acb&ને = 113. It links to a number of other useful resources.

ફોરમ વપરાશકર્તાઓ અને ક્લાઈન્ટો ઘણી વખત આ રેખાઓ સાથે એક પ્રશ્ન પૂછો: "How do I generate a list of all users with access to a site" or "How can I automatically alert all users with access to list about changes made to the list?"

There is no out of the box solution for this. If you think about it for a moment, તે શા માટે તે સમજવા માટે હાર્ડ નથી.

SharePoint security is very flexible. There are at least four major categories of users:

• અનામિ.
• શેરપોઈન્ટ વપરાશકર્તાઓ અને જૂથો.
• સક્રિય ડિરેક્ટરી વપરાશકર્તાઓ.
• આધારિત સત્તાધિકરણ ફોર્મ્સ (FBA) વપરાશકર્તાઓ.

રાહત અર્થ એ છે કે એક સુરક્ષા પરિપ્રેક્ષ્ય માંથી, any given SharePoint site will be dramatically different from another. In order to generate an access list report, એક સાઇટ સુરક્ષિત થયેલ છે કેવી રીતે ખાતરી કરવાની જરૂર છે, query multiple different user profile repositories and then present it in a useful fashion. That’s a hard problem to solve generically.

કેવી રીતે સંગઠનો આ સાથે વ્યવહાર કરવામાં આવે છે? I’d love to hear from you in comments or ઇમેઇલ.

</અંત>

અપડેટ 12/18/07: મૂળભૂત જૂથ નામો દૂર કરવા માટે અથવા બદલવા અમુક ટેક્નિકલ પરિણામ માટે પીડી Liebrand લેખ જુઓ (નીચે તેમજ તેના ટિપ્પણી જુઓ).

વિહંગાવલોકન:

SharePoint security is easy to configure and manage. તેમ છતાં, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (હું આ સમસ્યા મારી કર્યા માટે કબૂલ). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

મહત્વપૂર્ણ નોંધ:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or મને ઇમેઇલ. I’ll make corrections post haste.

પોર્ટફોલિયો:

આ ઝાંખી હેતુ માટે, સુરક્ષા માટે ચાર મૂળભૂત તબક્કાઓ હોય છે: વપરાશકર્તાઓ / જૂથો, મેળવી શકાય તેવું પદાર્થો, પરવાનગી સ્તર અને વારસો.

વપરાશકર્તાઓ અને જૂથો માટે ખોટકો:

• વ્યક્તિગત વપરાશકર્તાઓ: સક્રિય ડિરેક્ટરી માંથી ખેંચાય અથવા સીધા શેરપોઈન્ટ માં બનાવવામાં.
• જૂથો: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" ચોક્કસ મેળવી શકાય તેવું પદાર્થ માટે.

મેળવી શકાય તેવું પદાર્થો ઓછામાં ઓછા કરવા માટે ખોટકો:

• સાઇટ્સ
• દસ્તાવેજ પુસ્તકાલયો
• યાદીઓ અને દસ્તાવેજ લાઈબ્રેરીઓ વ્યક્તિગત આઇટમ્સ
• ફોલ્ડર્સ
• વિવિધ BDC સેટિંગ્સ.

ત્યાં અન્ય સાચવી પદાર્થો, પરંતુ તમે ચિત્ર વિચાર.

પરવાનગી સ્તરો: દાણાદાર એક બંડલ / low level access rights that include such things as create/read/delete entries in lists.

વારસો: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

વપરાશકર્તાઓ અને જૂથો પરવાનગી સ્તર અને વારસો મારફતે મેળવી શકાય તેવું પદાર્થો સંબંધિત.

સમજવાના સૌથી મહત્વનું સુરક્ષા નિયમો, Ever 🙂 :

1. જૂથો માત્ર વપરાશકર્તાઓ સંગ્રહ છે.
2. જૂથો સાઇટ સંગ્રહ અંદર વૈશ્વિક છે (દાખલા તરીકે. એક સાઇટ સ્તરે વ્યાખ્યાયિત જૂથ જેમ કે વસ્તુ છે કોઈ).
3. ગ્રુપ નામ withstanding નથી, જૂથો નથી, પોતાની અને, have any particular level of security.
4. Groups have security in the context of a specific securable object.
5. તમે દરેક સાચવી પદાર્થ માટે જ જૂથ માટે અલગ પરવાનગી સ્તર સોંપી શકે છે.
6. વેબ એપ્લિકેશન નીતિઓ હુકમ આ તમામ (જુઓ નીચે).

જૂથ અને વપરાશકર્તા સૂચિઓ એક સમુદ્ર હારી સુરક્ષા સંચાલકો હંમેશા તેમની સુરક્ષા રૂપરેખાંકન મેનેજ કરો અને સમજવા માટે આ axioms પર આધાર રાખે છે શકે છે.

સામાન્ય મુશ્કેલીઓ:

• ગ્રુપ નામો ખોટી રીતે પરવાનગી સૂચિત: આ બોક્સની બહાર, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" ગ્રુપ બધા સહયોગ ન કરી શકે, પરંતુ માત્ર વાંચી (ઉદાહરણ માટે). This would not be a good idea, દેખીતી રીતે, તે ખૂબ જ ગુંચવણભરી હશે કારણ.
• જૂથો સાઇટ સ્તરે વ્યાખ્યાયિત નથી. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" કડી. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
• જૂથો સભ્યપદ સાઇટ દ્વારા અલગ અલગ નથી (દાખલા તરીકે. તે દરેક જગ્યાએ જૂથ વપરાય છે તે જ છે): Consider the group "Owner" અને બે સાઇટ્સ, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, હું એચઆર સાઇટ મારફતે લોકો અને સમૂહો લિંક્સ ઍક્સેસ શકે છે, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. હકીકતમાં, I’m removing her from the global Owners group. Hilarity ensues.
• ચોક્કસ ભૂમિકા પર આધારિત જૂથો નામ નિષ્ફળતા: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, હું બે નવા જૂથો ખોલવું જોઈએ: "HR Owners" and "Logistics Owners" અને દરેક માટે યોગ્ય પરવાનગી સ્તર અને તેમની નોકરી કરવા માટે તે વપરાશકર્તાઓ માટે જરૂરી ન્યુનત્તમ જથ્થો સોંપી.

અન્ય ઉપયોગી સંદર્ભો:

• વેબ એપ્લિકેશન નીતિ gotcha માતાનો: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• શેરપોઈન્ટ સુરક્ષા માટે ક્લિઅરીંગહાઉસ: http://www.sharepointsecurity.com/
• જોએલ Oleson લિંક્સ: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

જો તમે આ કરી છે તો અત્યાર સુધી:

Please let me know your thoughts via the comments or email me. If you know other good references, પણ આવું જ કરો!