更新プログラム 11/03/08: 優秀な詳細なコメントをお読みください。 デシエ ジェシカランスフォード この記事に.

来る本のための秘密の技術編集プロジェクトに取り組んでいるし、それを参照 タイラー バトラー MSDN ECM のブログにこのブログのエントリ. これは限られたアクセスの意味の明確な定義を個人的に読んだの初めて. ここでは、定義の肉:

SharePoint で, 匿名ユーザー’ 権利が制限付きアクセスのアクセス許可レベルによって決定されます。. 制限付きアクセスをユーザーに割り当てることはできませんまたは直接グループ特別なアクセス許可レベルです。. ライブラリまたはサブサイトがある場合は、アクセス許可の継承が壊れているために、それが存在する理由です。, そのライブラリ/サブサイトにのみユーザー/グループのアクセスを与える, その内容を表示するために, ユーザー/グループがルート web へのアクセスが必要. それ以外の場合、ユーザー/グループ ライブラリ/サブサイトを参照することはできません。, にもかかわらず、そこの権利があります。, ルート web サイトまたはライブラリをレンダリングするために必要なものがあるので. したがって, サブサイトまたはアクセス許可の継承を解除ライブラリにのみのグループのアクセス許可を与えるとき, SharePoint 自動的に限られたアクセスをそのグループまたはユーザーにルート web に与える.

この質問今して MSDN フォーラムに来るし、私は常に好奇心をしてきた (しかし、十分に好奇心今日の前にそれを把握するには :)).

</終了>

私のブログを購読します。.

私は Twitter の上に従ってください。 http://www.twitter.com/pagalvin

社会的なコンピューティングと SharePoint 離陸し始めているサインイン, 私は、個人用サイトのタイプの質問数の増加を参照してください。. 1 つの一般的な質問はこのような何かを行く:

「私は管理者と私はすべての個人用サイトにアクセスできるようにする必要があります. どのようにすれば?"

ここでのトリックは、独自のサイト コレクションを各個人用サイトには. SharePoint のセキュリティはサイト コレクション レベルで管理され通常、これは SharePoint 管理者の多くを旅行. 通常, 彼女は既に「メインのセキュリティ設定へのアクセス" サイト コレクションとこれに自動的に個人用サイトの動作しないことに気付いていない可能性があります.

サイト コレクションのコンテナーの内部に大きい総称してライブ, web アプリケーションであります。. ファーム管理者は、web アプリケーション レベルでセキュリティを構成することができます。、これは、どのように管理者自身 web アプリケーション内のサイト コレクションへのアクセスを与えることができます。. このブログのエントリは、web アプリケーション ポリシーとの私の個人的な経験の 1 つについて説明します. 事故によって web アプリケーション ポリシーを定義: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web アプリケーションのポリシーは、危険することができます、私は彼らが控えめに使用することをお勧め. 管理者がなら (良さに感謝私はないと), 「SharePoint Web アプリケーションの管理者のような名前を付けた別の広告アカウントを作成する" 必要な web アプリケーション セキュリティの役割その 1 つのアカウントを与える. この種の通常のファーム管理者または個々 のサイト コレクション管理者のものを構成していないと思います. それは web アプリケーション ロールは低レベルのセキュリティ設定をオーバーライドするために潜在的な問題を非表示にする傾向があります。.

</終了>

私のブログを購読します。.

私は Twitter の上に従ってください。 http://www.twitter.com/pagalvin

更新プログラム (02/29/08): この新しい codeplex プロジェクトの個々 の列を固定する方法を提供するようです。: http://www.codeplex.com/SPListDisplaySetting. 作業の経験がある場合, くださいコメントを残す.

フォーラム ポスターは頻繁にこのような質問をします。: 「マネージャー ・眺めるリストのスタッフ ビュー. スタッフはそれには使えないのでにマネージャーの表示を保護する方法?"

彼らもよく、関連質問します。: 「他の人もそれを見る可能性がありますできませんがマネージャーのみ列を編集できるようにする特定のメタデータ列をセキュリティで保護します。"

これらの答えは、両方の WSS に適用します。 3.0 苔:

• SharePoint ボックスの回のセキュリティ保護をサポートしていません.
• SharePoint のセキュリティ列をボックスのサポートはありません。.

これらの種類のセキュリティ要件を満たすために従うことができますいくつかのテクニックの 1 つがあります. ここでは、私が考えることができます。:

• ボックスのアイテム レベルのセキュリティを使用して、. ビューは、常に項目レベルのセキュリティ構成を優先します。. イベント レシーバーおよびワークフロー セキュリティの割り当てを自動化することができます。.
• "特権の個人用ビューを使用します。" 表示モード. これらは十分に簡単にセットアップ. ただし, 彼らの"個人のために" 自然, これらはユーザーごとに構成する必要があります。. 誰が個人用ビューを作成するを防ぐために標準のセキュリティ構成を使用します。.
• データ ビュー web パーツを使用していくつかの種の AJAXy セキュリティ トリミング ソリューションを実装します。.
• 独自リスト表示機能を展開し、列レベルでのセキュリティ トリミングを組み込む.
• データ入力フォームを変更して JavaScript を列レベルのセキュリティ トリミングを実装するセキュリティ モデルと組み合わせて使用してください。.
• データ入力のための InfoPath フォームを使用します。. SharePoint と条件付きで必要に応じてフィールドの非表示に web サービス呼び出しによって列レベルのセキュリティ トリミングを実装します。.
• 独自の ASP をロールバックします。列レベルのセキュリティ トリミングを実装する NET データ エントリ関数.

これらのオプションのどれも本当に素晴らしいです。, 存在する必要がある場合に、少なくとも、パス, 場合でも、ハード.

メモ: 場合は、これらのパスのいずれかの下に行く, 「アクションについて - 忘れてはいけない> Windows エクスプ ローラーで開く". あなたは、"バック ドアとして動作しないことを確認する機能をテストすることをできるようにしたいです。" セキュリティ スキームの敗北.

他のアイデアや列またはビューのセキュリティ保護と経験がある場合, してください。 私にメールします。 または、コメントを残すし、私はこの投稿を適切に更新されます。.

</終了>

私のブログを購読します。.

更新プログラム: 私はここで MSDN にこの質問を掲示されます。 (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) マイクロソフトの Michael Washam は簡潔な答えと答えたと.

として、web サービスを作成します。 BDC に優しいファサード SharePoint リストに. とき私の開発環境からこれを使用, それは見事に働きました. とき私はこれは新しいサーバーに移行, 私はこのエラーが発生しました:

ここでは行 69:

使用してください。 (SPSite サイト新しい SPSite =("http://localhost/sandbox"))

URL 上のさまざまなバリエーションを試みた, サーバーの実際の名前の使用を含む, その IP アドレス, 末尾のスラッシュが url, など. 私は常にそのエラーを得た.

私は使用されます。 Google それを研究するには. 多くの人々 がこの問題に直面します。, またはそのバリエーションです。, しかし、誰もそれを解決するように見えた.

Tricksy モス提供など詳細は私に確認するには発生しなかったエラー、 12 ハイブ ログ. 最終的に, について 24 時間後 私の同僚 そんなにお勧め, 私はチェック アウト、 12 ハイブのログし、この発見:

地元の農場を取得しようとして例外が発生しました:
System.Security.SecurityException: 要求されたレジストリ アクセスは許可されていません.
System.ThrowHelper.ThrowSecurityException で(ExceptionResource リソース) atMicrosoft.Win32.RegistryKey.OpenSubKey(文字列名, 書き込み可能なブール値) atMicrosoft.Win32.RegistryKey.OpenSubKey(文字列名) Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString で() atMicrosoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() atMicrosoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& ファーム, ブール値& つなげて)
失敗したアセンブリのゾーンだった:  マイ コンピューター

これは研究の新しい道を開いてください。, それは Google に戻っていたので. これに私を導いた フォーラムの投稿: http://forums.codecharge.com/posts.php?post_id = 67135. それは本当に私を助けていないが、それはデータベースやセキュリティ問題があったと思わせて起動でした。. 私は辛抱を アンドリュー ・ コネル アプリケーション プールの id アカウントがデータベースへの適切なアクセスを持っていたことを確認する必要があることを考えて最後にトリガーされた投稿します。. 私はすでにやったと思った. ただし, 私の同僚に行ったし、SQL にアプリケーション プールの id アカウント フル アクセスを与えた.

彼女は、変更を加えたとすぐ, すべての作業を開始しました。.

次に何が起こった最高として表現します。 俳句 詩:

問題を自分たちの手を上げる.
あなたのスイングとミス. もう一度やり直してください.
成功! しかし、どのように? なぜ?

彼女はそのような事を放っておくことはしたくないです。, 最低限必要なアクセス許可を与えることを好む (おそらく、目にブログ エントリを書く; 私は彼女にパンチをビートします。, muhahahahaha!).

彼女は、アプリケーション プール id アカウントまでから一連のアクセス許可を削除 … すべてのアプリケーション プール id アカウントの任意の明示的な権限はもはや. Web サービスをうまく続けてください。.

我々 は行って、サーバーを再起動. すべては仕事を続けてください。.

だから, 要約するには: 我々 はアプリケーション プールの id のフル アクセスを与え、それからそれを離れて取った. Web サービスが作業を開始し、作業を停止しません。. 奇妙です.

だれでもなぜ、働いている必要があります知っている場合, くださいコメントを残す.

</終了>

今日は InfoPath フォームのセキュリティ要件を満たすために必要な. このビジネスの状況で, 比較的少数の個人は、新しい InfoPath フォームを作成する許可されより多くの人がそれを編集できます。. (これは新規採用搭乗にフォーム人間のリソースによって使用されるワークフローが起動されます。).

その目的を達成するには, 作成した 2 つの新しいアクセス許可レベルを作成 (「の作成し、更新" 「更新専用」と), フォーム ライブラリの継承を破ったし、のアクセス許可割り当てを作成する」、, 更新" ユーザーと別の"更新のみ" ユーザー. 働いたすべての力学, しかし、それは私が予想よりも少し含むことが判明. (SharePoint アクセス許可レベルには少し不安定に感じる場合, このブログ記事をチェック アウト). アクセス許可レベルの必要なセキュリティ構成が細分化された権限の明白なセット. InfoPath フォームの更新のみのアクセス許可レベルを作成するには, 次のでした。:

1. 新しいアクセス許可レベルを作成します。.
2. すべてのオプションをオフに離れて.
3. 「許可リスト」から以下のみの選択:

• アイテムを編集します。
• アイテムの表示
• アプリケーション ページの表示

フォームを更新することができますこれらのオプションを選択します。, 作成されません。.

トリックは、「アプリケーション ページの表示」を有効にするのには. 更新専用フォームに必要なアクセス許可レベルを示す任意の verbage はありません。, ターンは、それを.

見知らぬ人に作成更新されました。. 同じの手順, 1 を介して 3 上. 具体的には「サイト アクセス許可を追加しなければならなかった" オプション: 「クライアント統合機能をの使用」. もう一度, そこの説明はことはありませんそれを InfoPath フォームに必須にするべきであるように見える, しかしそこには.

</終了>

更新プログラム 01/28/08: この codeplex プロジェクトこの問題に対処します。: http://www.codeplex.com/AccessChecker. 私はそれを使用していません。, しかし、これが環境内で必要な問題が有望に見える.

更新プログラム 11/13/08: ジョエル ネルス非常に良い記事を書いている、大きなセキュリティ管理の問題にここで: http://www.sharepointjoel.com/Lists/Posts/Post.aspx?リスト 0cd1a63d ％ 2D183c ％ 2D4fc2 ％ 2 D 8320 -ba5369008acb =&ID = 113. 多数の有用なリソースへのリンクします。.

フォーラムのユーザーとクライアントはこれらの線に沿って質問します。: 「生成方法は、リストのすべてのユーザーにサイトへアクセスを行う" または、「方法は自動的にすべてのユーザーをリストに加えられた変更についてリストへのアクセスを警告することができます。?"

このボックスのソリューションの出力がないです。. ちょっと考える場合, それは理由を理解するは難しいではないです。.

SharePoint のセキュリティは非常に柔軟です. ユーザーの少なくとも 4 つの主要なカテゴリがあります。:

• 匿名ユーザー.
• SharePoint ユーザーとグループ.
• Active Directory ユーザー.
• フォーム ベースの認証 (FBA) ユーザー.

つまり、セキュリティの観点から、柔軟性, 任意の SharePoint サイトは劇的に違う別だろう. アクセス一覧レポートを生成するために, 1 つは、サイトのセキュリティ保護の方法を確認する必要があります。, 複数の異なるユーザー プロファイル ・ リポジトリをクエリと、その有用な方法. 一般的に解決困難な問題であります。.

どのように組織は、これに対処します。? 私はコメントであなたから聞いてみたいと思いますか 電子メール.

</終了>

更新プログラム 12/18/07: 削除するか、既定のグループ名の変更のポール Liebrand のいくつかの技術の結果をご覧ください。 (以下の彼のコメントを見る).

概要:

SharePoint のセキュリティは構成し、管理が容易. ただし, それは本当にその周りに手をラップするいくつかの初めての管理者ことが難しいことを証明して. それだけでなく, その間に構成を行うには持っていなかったので、金曜日までにそれを失っているだけに月曜日に完璧な理解に来ていくつかの管理者を見ています。. (自分自身、この問題を認める). このブログのエントリがうまくいけば有用な SharePoint セキュリティ入門を提供し、いくつかのセキュリティの構成のベスト プラクティスを指して.

重要な注意事項:

この説明は、SharePoint のセキュリティ ボックスから基づいてください。. ここでいくつかのコケ特定のものがありますので、私の個人的経験を向きモス周辺, WSS のため正確だと思いますが、. 私は願って、すべてのエラーまたは不作為を見て誰もが指摘コメントまたは 私にメールします。. ポスト急いで訂正を作ってあげる.

基礎:

この概要の目的のため, セキュリティの 4 つの基本的な側面があります。: ユーザー/グループ, セキュリティ保護可能なオブジェクト, アクセス許可レベルと継承.

ユーザーとグループ ダウンを破る:

• 個々 のユーザー: ディレクトリまたは SharePoint で直接作成されたアクティブから引っ張ら.
• グループ: Active directory から直接マップされたまたは作成できる SharePoint. グループは、ユーザーのコレクション. グループは、サイト コレクションのグローバル. 決して「縛られています。" 特定のセキュリティ保護可能なオブジェクトを.

セキュリティ保護可能なオブジェクト 少なくともダウンを破る:

• サイト
• ドキュメント ライブラリ
• リストおよびドキュメント ライブラリ内の個々 のアイテム
• フォルダー
• BDC のさまざまな設定.

ありますその他のセキュリティ保護可能なオブジェクト, しかし、画像を取得.

アクセス許可レベル: 粒状のバンドル / リストにエントリを作成、読み取り、削除のようなものは、低レベルのアクセス権.

継承: 既定のエンティティによってそれぞれの格納オブジェクトからセキュリティ設定を継承します。. サブサイトが親からアクセス許可を継承します。. ドキュメント ライブラリは、サイトから継承します。. などなどなど.

ユーザーおよびグループに関連するセキュリティ保護可能なオブジェクトのアクセス許可レベルと継承を介して.

最も重要なセキュリティの規則を理解するには, これまで🙂 :

1. グループはユーザーの集まりです。.
2. グループがグローバル サイト コレクション内で (すなわち. サイト レベルで定義されているグループのようなものはありません。).
3. グループ名は耐されていません, グループにはありません。, 自分の, セキュリティの特定のレベルがあります。.
4. グループは、特定のセキュリティ保護可能なオブジェクトのコンテキストのセキュリティを持っています。.
5. すべてのセキュリティ保護可能なオブジェクトの同じグループに異なるアクセス許可レベルを割り当てることがあります。.
6. Web アプリケーションのポリシーをすべてを切り札 (以下を参照してください。).

セキュリティ管理者グループおよびユーザーのリストの海で失われた常に管理し、セキュリティの構成を理解するこれらの公理を頼ることができます。.

一般的な落とし穴:

• グループ名を偽って示唆アクセス許可: ボックスのうち, SharePoint は、その名前が示す固有のレベルのセキュリティ グループのセットを定義します. 「投稿者」グループを検討してください. 不慣れな SharePoint のセキュリティのいずれか可能性がありますもその名前を見て、そのグループのすべてのメンバー」が貢献できると仮定" 任意のサイト/リスト/ライブラリは、ポータル内に. することがないので、グループの名前がたまたま「投稿者」. グループはルート サイトにコンテンツを追加/編集/削除することができますアクセス許可レベルを提供されていますので、箱から出して場合のみです。. 継承を通じて, 「貢献者" グループの可能性がありますもすべてのサブサイトでコンテンツを追加/編集/削除. 1 つことができる"破る" 継承チェーンとサブ サイトのアクセス許可レベルを変更してそのメンバーがいわゆる「寄稿者" グループは全然貢献できません。, しかし、読み取りのみ (たとえば). これは良い考えではないだろう, 明らかに, それは非常に混乱すると思いますので.
• グループは、サイト レベルで定義されていません. ユーザー インターフェイスが混同する簡単です。. マイクロソフトは、すべてのサイトの"ユーザーとグループでユーザー/グループ管理に便利なリンクを提供しています" リンク. それは簡単には私のサイト"xyzzy で信じ" xyzzy の人々 を使用してグループを作成して、グループは、xyzzy でのみ存在するグループを作成したリンク. それはケースではないです。. 私は実際に全体のサイト コレクションのグループを作成しました.
• グループ メンバーシップがサイトによって変化しません。 (すなわち. それはどこでも同じグループの使用): グループ所有者"を考慮します。" 2 つのサイト, 「HR" 「物流」. それは通常の 2 つの別々 の個人はこれらのサイトを所有するいると思うだろう — HR 所有者と物流の所有者. セキュリティ管理者がこのシナリオを誤って処理するが簡単なユーザー インターフェイス. 私はよく知っていない場合, HR サイトを介してユーザーとグループのリンクをアクセス可能性があります。, "所有者を選択します。" グループし、そのグループに私の HR の所有者を追加. 1 ヶ月後, 物流がオンラインになります。. 物流サイトからユーザーとグループにアクセスします。, "所有者をプルを追加します。" グループ. 人事担当者にして彼女を削除, 物流現場の所有者から彼女を削除いることを考えてください。. 実際, グローバルの所有者グループから彼女を削除して. はしゃぎのすさまじい.
• 特定の役割に基づく名前グループの失敗: 「承認者" グループは、完璧な例. 何ができるこのグループ承認のメンバー? 彼らはそれを承認することができます。? 私は本当に人々 物流部門人事文書を承認することができるをたく? コースではないです。. 組織内の役割に基づいてグループの名前を常に. これはグループが特定のセキュリティ保護可能なオブジェクトに対して不適切なアクセス許可レベルに割り当てられているリスクを軽減します。. 彼らの意図されていた役割に基づくグループの名前. 前の HR/ロジスティクス シナリオで, 2 つの新しいグループを作成する必要があります。: 「HR の所有者" "物流の所有者" およびそれらのユーザーを自分の仕事を行うに必要な最小限の各の良識があるアクセス許可レベルを割り当てる.

その他の有用な参照:

• Web アプリケーション ポリシー ガッチャ: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• SharePoint のセキュリティのためのクリアリングハウス: http://www.sharepointsecurity.com/
• Joel Oleson からのリンク: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

加えた場合それこれまでのところ:

私のコメントを介して自分の考えを知っている、または私にメールを教えてください。. 他の良い参照を知っている場合, 同じにしないでください。!