UPDATE 11/03/08: Pastikan untuk membaca komentar sangat baik dan rinci dari Dessie Lunsford untuk posting ini.

Saya telah bekerja pada proyek penyuntingan teknologi rahasia untuk buku datang dan referensi blog entry ini oleh Tyler Butler di MSDN ECM blog. Ini adalah pertama kalinya saya pribadi membaca definisi yang jelas dari makna akses terbatas. Berikut adalah daging dari definisi:

Dalam SharePoint, pengguna anonim’ hak ditentukan oleh tingkat izin akses terbatas. Akses terbatas adalah tingkat izin khusus yang tidak dapat ditetapkan ke pengguna atau grup langsung. Alasan yang ada adalah karena jika Anda memiliki perpustakaan atau subsite yang telah melanggar izin warisan, dan Anda memberikan akses pengguna/kelompok untuk hanya bahwa perpustakaan/subsite, untuk melihat isinya, pengguna/kelompok harus memiliki beberapa akses ke web akar. Jika pengguna/kelompok akan mampu People perpustakaan/subsite, Meskipun mereka memiliki hak ada, karena ada hal-hal di web akar yang diperlukan untuk membuat situs atau perpustakaan. Oleh karena itu, Ketika Anda memberi akses group hanya untuk subsite atau perpustakaan yang melanggar izin warisan, SharePoint akan secara otomatis memberikan akses terbatas ke grup atau pengguna web akar yang.

Pertanyaan ini muncul sekarang dan kemudian di Forum MSDN dan aku selalu ingin tahu (tapi tidak cukup penasaran untuk mencari itu keluar sebelum hari ini :)).

</akhir>

Berlangganan ke blog saya.

Ikuti saya di kegugupan di http://www.twitter.com/pagalvin

Dalam sebuah tanda bahwa sosial komputasi mulai lepas landas dengan SharePoint, Aku melihat peningkatan jumlah situs saya jenis pertanyaan. Satu pertanyaan yang umum terjadi hal seperti ini:

"Saya menjadi administrator dan saya perlu untuk dapat mengakses setiap situs saya. Bagaimana melakukannya?"

Triknya di sini adalah bahwa setiap situs saya sendiri situs koleksi. Keamanan SharePoint biasanya dikelola di tingkat situs koleksi dan ini perjalanan naik banyak SharePoint administrator. Biasanya, Dia sudah memiliki akses untuk mengkonfigurasi keamanan di "utama" situs koleksi dan mungkin tidak menyadari bahwa ini tidak secara otomatis bekerja untuk situs saya.

Koleksi situs secara kolektif tinggal di dalam sebuah wadah yang lebih besar, yang merupakan aplikasi web. Pertanian admin dapat dapat mengkonfigurasi keamanan di tingkat aplikasi web dan ini adalah bagaimana admin dapat memberikan mereka akses ke situs manapun koleksi dalam aplikasi web. Blog entry ini menggambarkan salah satu pengalaman pribadi saya dengan kebijakan aplikasi web. Aku didefinisikan kebijakan aplikasi web yang kebetulan: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Kebijakan aplikasi web dapat berbahaya dan saya menyarankan bahwa mereka digunakan secukupnya. Jika aku seorang admin (dan Syukurlah saya tidak), Aku akan membuat account AD terpisah bernama sesuatu seperti "SharePoint Web App Administrator" dan memberikan account tersebut satu peran keamanan aplikasi web yang dibutuhkan. Saya tidak akan mengkonfigurasi jenis hal untuk admin reguler pertanian atau individu situs koleksi admin. Itu akan cenderung menyembunyikan masalah potensial karena web app peran mengabaikan pengaturan keamanan tingkat yang lebih rendah.

</akhir>

Berlangganan ke blog saya.

Ikuti saya di kegugupan di http://www.twitter.com/pagalvin

UPDATE (02/29/08): Proyek codeplex baru ini tampaknya menyediakan metode untuk mengamankan individu kolom: http://www.codeplex.com/SPListDisplaySetting. Jika Anda memiliki pengalaman bekerja dengan, Silakan Tinggalkan Komentar.

Forum poster sering mengajukan pertanyaan seperti ini: "Aku punya pandangan manajer dan dan pemandangan staf daftar. Bagaimana caranya mendapatkan tampilan manajer agar staf tidak dapat menggunakannya?"

Mereka juga sering mengajukan pertanyaan terkait: "Saya ingin mengamankan kolom tertentu metadata sehingga hanya manajer dapat mengedit kolom sementara orang lain mungkin bahkan tidak melihat itu."

Jawaban ini berlaku untuk kedua WSS 3.0 dan MOSS:

• SharePoint tidak menyediakan dukungan out-of-the-box untuk mengamankan dilihat.
• SharePoint tidak menyediakan dukungan out-of-the-box untuk keamanan kolom.

Ada beberapa teknik yang dapat mengikuti untuk memenuhi persyaratan keamanan jenis ini. Berikut adalah apa yang saya bisa memikirkan:

• Menggunakan out-of-the-box item tingkat keamanan. Pemandangan selalu menghormati item keamanan level konfigurasi. Acara receiver dan/atau alur kerja dapat mengotomatisasi tugas.
• Menggunakan pandangan pribadi untuk "hak istimewa" pemandangan. Ini cukup mudah untuk mengatur. Namun, berkat "pribadi mereka" alam, ini perlu dikonfigurasi untuk setiap pengguna. Menggunakan konfigurasi standar keamanan untuk mencegah orang lain dari membuat pandangan pribadi.
• Menggunakan bagian web Lihat data dan menerapkan beberapa jenis solusi pemangkasan keamanan AJAXy.
• Roll fungsi tampilan daftar Anda sendiri dan memasukkan keamanan pemangkasan pada tingkat kolom.
• Memodifikasi bentuk-bentuk entri data dan menggunakan JavaScript dalam hubungannya dengan model keamanan untuk menerapkan pemangkasan kolom-tingkat keamanan.
• Menggunakan sebuah bentuk InfoPath untuk entri data. Menerapkan kolom-tingkat keamanan pemangkasan melalui layanan web panggilan untuk SharePoint dan kondisional menyembunyikan kolom seperlunya.
• Roll ASP Anda sendiri.Fungsi entri data bersih yang mengimplementasikan kolom tingkat keamanan pemangkasan.

Tak satu pun dari orang-orang pilihan benar-benar hebat, Tapi ada setidaknya untuk mengikuti jalan jika Anda perlu untuk, bahkan jika sulit.

CATATAN: Jika Anda pergi ke salah satu jalur ini, Jangan lupa tentang "tindakan-> Buka dengan Windows Explorer". Anda ingin memastikan bahwa Anda menguji dengan fitur untuk memastikan bahwa itu tidak bekerja sebagai pintu belakang"" dan kekalahan skema keamanan Anda.

Jika Anda memiliki ide untuk atau pengalaman dengan mengamankan kolom atau pandangan lain, Mohon email saya atau Tinggalkan komentar dan saya akan update posting ini yang sesuai.

</akhir>

Berlangganan ke blog saya.

UPDATE: Saya diposting pertanyaan ini untuk MSDN di sini (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) dan Michael Washam Microsoft menanggapi dengan jawaban yang ringkas.

Saya membuat sebuah layanan web untuk bertindak sebagai BDC ramah façade ke daftar SharePoint. Ketika saya menggunakan ini dari lingkungan pengembangan saya, bekerja dengan baik. Ketika saya bermigrasi ini ke server baru, Saya mengalami galat ini:

Berikut adalah baris 69:

menggunakan (SPSite site = new SPSite("http://localhost/sandbox"))

Aku mencoba variasi yang berbeda pada URL, termasuk menggunakan nama asli server, Alamat IP, akhiran garis miring pada URL, dll. Aku selalu punya kesalahan yang.

Saya menggunakan Google untuk penelitian ini. Banyak orang menghadapi masalah ini, atau variasi dari itu, tapi tidak ada yang tampaknya telah diselesaikan.

Angan lompatan Ninja MOSS disediakan seperti rinci kesalahan yang tidak terjadi kepada saya untuk memeriksa 12 sarang log. Akhirnya, tentang 24 jam setelah rekan saya direkomendasikan saya melakukannya, Aku memeriksa 12 sarang log dan menemukan ini:

Pengecualian terjadi saat mencoba untuk memperoleh pertanian lokal:
System.Security.SecurityException: Diminta registri akses tidak diperbolehkan.
di System.ThrowHelper.ThrowSecurityException(ExceptionResource sumber daya) di Microsoft.Win32.RegistryKey.OpenSubKey(Nama untai, Boolean dapat ditulisi) di Microsoft.Win32.RegistryKey.OpenSubKey(Nama untai) di Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() di Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() di Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& pertanian, Boolean& isJoined)
Zona Majelis yang gagal:  MyComputer

Ini membuka jalan baru penelitian, Jadi itu kembali ke Google. Yang membawa saya untuk ini forum post: http://Forums.codecharge.com/Posts.php?post_id = 67135. Itu tidak benar-benar membantu saya tapi itu mulai membuat saya berpikir bahwa ada masalah database dan/atau keamanan. Saya soldiered pada dan Andrew Connell posting akhirnya memicu pemikiran bahwa saya harus memastikan bahwa account identitas kolam aplikasi memiliki akses ke database. Saya pikir itu sudah. Namun, rekan saya pergi dan memberikan app renang identitas account akses penuh ke SQL.

Segera setelah dia membuat perubahan itu, semuanya mulai bekerja.

Apa yang terjadi selanjutnya terbaik dinyatakan sebagai haiku puisi:

Masalah mengangkat tangan mereka.
Anda ayunan dan miss. Coba lagi.
Sukses! Tapi bagaimana? Mengapa?

Ia tidak ingin meninggalkan hal-hal sendirian seperti itu, lebih memilih untuk memberikan izin diperlukan minimal (dan mungkin akan menulis sebuah blog entry; Aku mengalahkan dia ke pukulan, muhahahahaha!).

Dia dihapus berturut-turut izin dari identitas account kolam aplikasi sampai … tidak ada izin eksplisit untuk app renang identitas account sama sekali. Layanan web terus bekerja dengan baik.

Kami pergi dan reboot server. Segala sesuatu yang terus bekerja dengan baik.

Jadi, Untuk rekap: Kami memberikan akses penuh identitas kolam renang app dan kemudian mengambilnya. Layanan web mulai bekerja dan tidak pernah berhenti bekerja. Aneh.

Jika ada yang tahu mengapa yang harus bekerja, Silakan Tinggalkan Komentar.

</akhir>

Saya perlu untuk memenuhi persyaratan keamanan untuk sebuah bentuk InfoPath hari. Dalam situasi bisnis ini, sejumlah relatif kecil individu diizinkan untuk membuat bentuk InfoPath baru dan audiens yang lebih luas diperbolehkan untuk mengeditnya. (Ini adalah bentuk kesiapan baru-menyewa digunakan oleh sumber daya manusia yang meluncurkan alur kerja).

Untuk memenuhi tujuan tersebut, Saya membuat dibuat dua tingkat izin baru ("Buat dan perbarui" dan "Pembaruan hanya"), pecah warisan untuk Perpustakaan bentuk dan diberikan izin untuk yang "Buat, Update" pengguna dan terpisah "Pembaruan hanya" pengguna. Mekanisme semua bekerja, tapi ternyata menjadi sedikit lebih melibatkan daripada yang saya harapkan. (Jika Anda merasa sedikit gemetar pada SharePoint izin, Check out posting blog ini). Konfigurasi keamanan yang diperlukan untuk tingkat izin itu tidak jelas seperangkat izin granular. Membuat tingkat izin update-hanya untuk sebuah bentuk InfoPath, Saya melakukan hal berikut:

1. Membuat tingkat izin yang baru.
2. Membersihkan semua pilihan.
3. Dipilih hanya berikut dari "Daftar permissions":

• Mengedit item
• Lihat item
• Lihat halaman aplikasi

Memilih pilihan ini memungkinkan pengguna untuk memperbarui formulir, tapi tidak membuat.

Triknya adalah untuk mengaktifkan "Lihat halaman aplikasi". Tidak ada verbage apapun pada tingkat izin yang menunjukkan yang diperlukan untuk update-hanya bentuk InfoPath, tapi ternyata itu adalah.

Membuat-dan-Update itu bahkan orang asing. Aku mengikuti langkah yang sama, 1 melalui 3 di atas. Aku harus menambahkan khusus "situs izin" opsi: "Gunakan klien integrasi fitur". Lagi, Deskripsi ada tidak membuatnya tampak seperti seharusnya diperlukan untuk sebuah bentuk InfoPath, Tapi ada itu.

</akhir>

UPDATE 01/28/08: Proyek codeplex ini membahas masalah ini: http://www.codeplex.com/AccessChecker. Aku belum menggunakannya, tapi tampaknya menjanjikan jika ini adalah masalah yang Anda butuhkan untuk alamat dalam lingkungan Anda.

UPDATE 11/13/08: Joel Oleson menulis posting yang sangat baik pada lebih besar masalah manajemen keamanan di sini: http://www.sharepointjoel.com/Lists/Posts/post.aspx?Daftar = 0cd1a63d % 2D183c % 2D4fc2% 2 D 8320% 2Dba5369008acb&ID = 113. Ini link ke sejumlah sumber daya berguna lainnya.

Forum pengguna dan klien sering mengajukan pertanyaan sepanjang jalur tersebut: "Bagaimana melakukan saya menghasilkan daftar semua pengguna dengan akses ke situs" atau "bagaimana bisa saya secara otomatis memberitahukan semua pengguna dengan akses ke daftar tentang perubahan yang dibuat ke daftar?"

Ada ada keluar dari kotak solusi untuk ini. Jika Anda berpikir tentang hal itu sejenak, Tidaklah sulit untuk memahami mengapa.

Keamanan SharePoint sangat fleksibel. Ada setidaknya empat kategori utama pengguna:

• Pengguna anonim.
• SharePoint pengguna dan grup.
• Pengguna direktori aktif.
• Bentuk-bentuk otentikasi berbasis (FBA) pengguna.

Fleksibilitas berarti bahwa dari perspektif keamanan, situs SharePoint tertentu akan secara dramatis berbeda dari yang lain. Untuk menghasilkan daftar akses laporan, satu kebutuhan untuk memastikan bagaimana situs aman, query beberapa repositori profil pengguna yang berbeda dan kemudian hadir dalam mode berguna. Itu adalah masalah sulit untuk memecahkan Umum.

Bagaimana organisasi berurusan dengan ini? Saya akan senang mendengar dari Anda dalam komentar atau email.

</akhir>

UPDATE 12/18/07: Lihat artikel Paul Liebrand untuk konsekuensi beberapa teknis menghapus atau memodifikasi nama grup default (Lihat komentar di bawah ini juga).

Sekilas pandang:

Keamanan SharePoint mudah untuk mengkonfigurasi dan mengelola. Namun, Hal ini telah terbukti menjadi sulit bagi beberapa administrator pertama kali untuk benar-benar membungkus tangan mereka di sekitar itu. Tidak hanya itu, Saya telah melihat beberapa administrator yang datang ke pemahaman yang sempurna pada hari Senin hanya untuk telah hilang oleh Jumat karena mereka tidak perlu melakukan konfigurasi apapun dalam waktu intervensi. (Aku mengakui untuk memiliki masalah ini sendiri). Blog entry ini mudah-mudahan menyediakan SharePoint keamanan primer yang berguna dan menunjuk ke arah beberapa konfigurasi pengamanan.

Catatan penting:

Keterangan ini berdasarkan dari kotak keamanan SharePoint. Pengalaman pribadi saya berorientasi di sekitar MOSS sehingga mungkin terdapat MOSS beberapa spesifik hal di sini, tapi saya percaya secara akurat untuk WSS. Saya berharap bahwa siapa pun yang melihat semua kesalahan atau tidak akan menunjukkan bahwa dalam komentar atau email saya. Aku akan membuat koreksi posting tergesa-gesa.

Dasar-dasar:

Untuk tujuan dari tinjauan ini, ada empat aspek-aspek fundamental keamanan: pengguna/kelompok, Securable objects, tingkat izin dan warisan.

Pengguna dan grup istirahat ke:

• Masing-masing pengguna: Ditarik dari aktif direktori atau dibuat secara langsung dalam SharePoint.
• Kelompok: Dipetakan langsung dari active directory atau dibuat di SharePoint. Kelompok adalah kumpulan pengguna. Kelompok global dalam situs koleksi. Mereka tidak pernah "terikat" untuk objek securable tertentu.

Securable objects istirahat ke setidaknya:

• Situs
• Dokumen perpustakaan
• Setiap item dalam daftar dan dokumen perpustakaan
• Folder
• Berbagai pengaturan BDC.

Ada lain securable objects, tapi Anda mendapatkan gambar.

Izin tingkat: Seikat rinci / hak rendah tingkat akses yang mencakup hal-hal seperti membuat/membaca/menghapus entri dalam daftar.

Warisan: Secara default entitas mewarisi pengaturan keamanan dari objek yang mengandung mereka. Sub situs mewarisi izin dari orang tua mereka. Dokumen perpustakaan mewarisi dari situs mereka. Seterusnya dan sebagainya.

Pengguna dan grup yang berhubungan dengan securable objects melalui tingkat izin dan warisan.

Aturan-aturan keamanan yang paling penting untuk memahami, Ever 🙂 :

1. Kelompok yang cukup koleksi pengguna.
2. Kelompok global dalam situs koleksi (yaitu. tidak ada hal seperti itu sebagai sebuah kelompok yang didefinisikan pada tingkat situs).
3. Nama grup tidak, kelompok tidak, di lokasi dan dari diri mereka sendiri, memiliki tingkat keamanan tertentu.
4. Kelompok memiliki keamanan dalam konteks securable objek tertentu.
5. Anda dapat menetapkan tingkat berbeda izin untuk kelompok yang sama untuk setiap objek securable.
6. Web aplikasi kebijakan truf semua ini (Lihat di bawah).

Keamanan Administrator hilang di lautan daftar grup dan pengguna dapat selalu mengandalkan aksioma ini untuk mengelola dan memahami konfigurasinya keamanan.

Common Pitfalls:

• Nama grup palsu menyiratkan izin: Keluar dari kotak, SharePoint mendefinisikan sebuah set kelompok yang namanya berarti tingkat melekat keamanan. Mempertimbangkan kelompok "Kontributor". Salah satu yang tidak terbiasa dengan keamanan SharePoint mungkin baik melihat nama itu dan menganggap bahwa setiap anggota grup tersebut dapat "berkontribusi" untuk setiap situs/daftar/perpustakaan di portal. Itu mungkin benar, tetapi bukan karena nama kelompok ini kebetulan "kontributor". Hal ini hanya berlaku dari kotak karena kelompok telah menyediakan tingkat izin yang memungkinkan mereka untuk menambah/menyunting/menghapus konten di situs akar. Melalui warisan, "kontributor" kelompok juga dapat menambah/menyunting/menghapus konten di setiap sub situs. Satu dapat "break" rantai warisan dan perubahan tingkat izin sub-site seperti bahwa anggota apa yang disebut "kontributor" Grup tidak dapat memberikan kontribusi sama sekali, tapi hanya membaca (misalnya). Ini tidak akan ide yang baik, jelas, karena itu akan sangat membingungkan.
• Kelompok tidak didefinisikan pada tingkat situs. Mudah menjadi bingung oleh antarmuka pengguna. Microsoft menyediakan link nyaman ke pengguna Grup manajemen melalui setiap situs "orang-orang dan kelompok" link. Sangat mudah untuk percaya bahwa ketika aku di situs "tidak ada" cara membuat grup melalui orang-orang tidak ada 's dan kelompok link yang aku baru saja menciptakan sebuah kelompok yang hanya ada di tidak ada. Hal itu tidak terjadi. Saya benar-benar telah membuat grup untuk seluruh situs koleksi.
• Keanggotaan grup tidak bervariasi oleh situs (yaitu. ini adalah sama di mana-mana kelompok digunakan): Mempertimbangkan group "pemilik" dan dua situs, "HR" dan "Logistik". Itu akan menjadi normal untuk berpikir bahwa dua individu yang terpisah akan sendiri situs tersebut — pemilik HR dan pemilik logistik. User interface membuatnya mudah bagi administrator keamanan untuk mishandle skenario ini. Jika saya tidak tahu lebih baik, Saya mungkin mengakses orang dan kelompok link melalui situs HR, Pilih pemilik"" kelompok dan menambahkan pemilik HR saya ke grup yang. Sebulan kemudian, Logistik datang pada baris. Saya mengakses orang dan kelompok dari situs Logistics, menambahkan pull up "pemilik" kelompok. Saya melihat pemilik HR di sana dan menghapus nya, berpikir bahwa saya mengeluarkan dia dari pemilik situs logistik. Sebenarnya, Saya mengeluarkan dia dari kelompok pemilik global. Kegembiraan yang terjadi kemudian.
• Gagal untuk kelompok-kelompok nama yang didasarkan pada peran tertentu: "Approvers" kelompok adalah contoh sempurna. Apa yang bisa anggota menyetujui grup ini? Dimana mereka dapat menyetujui? Apakah saya benar-benar ingin Departemen Logistik orang mampu untuk menyetujui dokumen HR? Tentu saja tidak. Selalu nama kelompok berdasarkan peran mereka dalam organisasi. Ini akan mengurangi risiko bahwa kelompok diberikan tingkat izin tidak pantas untuk suatu securable obyek tertentu. Nama kelompok berdasarkan peran mereka dimaksudkan. Dalam skenario HR logistik sebelumnya, Saya harus membuat dua kelompok-kelompok baru: "HR pemilik" dan "logistik pemilik" dan menetapkan tingkat izin masuk akal untuk masing-masing dan jumlah minimum yang diperlukan untuk para pengguna untuk melakukan pekerjaan mereka.

Referensi lain yang berguna:

• Web aplikasi kebijakan gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Clearinghouse untuk keamanan SharePoint: http://www.sharepointsecurity.com/
• Link dari Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Jika Anda telah membuat ini jauh:

Tolong beritahu saya tahu pikiran Anda melalui komentar atau email saya. Jika Anda tahu lain referensi yang baik, Silakan melakukan hal yang sama!