SharePoint 보안 기초 입문 / 일반적인 함정을 피하기 위해

업데이트 12/18/07: 제거 또는 기본 그룹 이름 수정 몇 가지 기술적인 결과 대 한 폴 Liebrand의 문서를 참조 하십시오 (뿐만 아니라 그의 코멘트를 아래를 참조합니다).

개요:

SharePoint 보안 구성 및 관리 하기 쉽습니다.. 그러나, 그것은 정말 주위에 손을 포장 일부 처음 관리자에 대 한 어려운 것을 입증 했다. 뿐만 아니라, 내가 본 그들은 중간 시간에 어떤 구성을 수행 하지 않았기 때문에 금요일까지 그것을 잃 었에 월요일에 대 한 완벽 한 이해에와 서 일부 관리자. (이 문제가 자신을 인정합니다). 이 블로그 항목 잘하면 유용한 SharePoint 보안 입문서를 제공 하 고 보안 구성 유용한 향해 포인트.

중요 참고:

이 설명 상자의 SharePoint 보안 기반. 내 개인적인 경험으로는 동쪽으로 향하게 모스 주위 모스 특정 물건 여기 있을 수 있습니다., 하지만 난 그것은 WSS에 대 한 정확한. 그 사람이 어떤 오류 또는 누락을 보고 지적할 것 이다 그 의견에 희망 또는 이메일 날. 수정 서둘러 게시물을 만들 거 야.

기본 사항:

이 개요의 목적을 위해, 4 개의 기본적인 측면 보안: 사용자/그룹, 보안 개체, 사용 권한 수준 및 상속.

사용자 및 그룹 내려 휴식:

  • 개별 사용자: 디렉토리 또는 SharePoint에서 직접 만든 활성에서 뽑아.
  • 그룹: Active directory에서 직접 매핑된 또는에 만든 SharePoint. 그룹은 사용자의 컬렉션. 그룹은 사이트 모음에서 글로벌. 그들은 결코 "묶인" 특정 보안 개체에.

보안 개체 적어도 다운 휴식:

  • 사이트
  • 문서 라이브러리
  • 목록 및 문서 라이브러리의 개별 항목
  • 폴더
  • 다양 한 BDC 설정.

거기 다른 보안 개체, 그러나 당신은 그림.

사용 권한 수준: 세분화 된 번들 / 목록에 항목 만들기/읽기/삭제 같은 것 들을 포함 하는 낮은 수준의 액세스 권한.

상속: 기본적으로 엔터티 그들의 포함 하는 개체에서 보안 설정 상속. 하위 사이트는 부모 로부터 권한을 상속합니다. 자신의 사이트에서 상속 하는 문서 라이브러리. 등등에.

사용자 및 그룹 사용 권한 수준 상속을 통해 보안 개체와 관련.

가장 중요 한 보안 규칙 이해, 적 🙂 :

  1. 그룹은 단순히 사용자의 컬렉션.
  2. 그룹은 사이트 모음 내에서 글로벌 (즉. 사이트 수준에서 정의 된 그룹 같은 건 없다).
  3. 견딜 수 없는 그룹 이름, 그룹 안, 시내와 스스로의, 보안의 특정 수준을.
  4. 그룹에 특정 보안 개체의 맥락에 있는 보안.
  5. 모든 보안 개체에 대 한 같은 그룹에 서로 다른 사용 권한 수준을 할당할 수 있습니다..
  6. 웹 응용 프로그램 정책을 트럼프의이 모든 (아래 참조).

보안 관리자 그룹 및 사용자 목록의 바다에서 길을 잃 었 수 있습니다 항상 관리 하 고 그들의 보안 구성을 이해 하려면 이러한 공리계에 의존.

일반적인 함정:

  • 그룹 이름 잘못 권한을 암시합니다: 상자, SharePoint 그룹 이름이 암시는 고유의 보안 수준 집합을 정의 합니다.. 그룹 "참가자" 고려. 한 SharePoint 보안에 익숙하지 수 있습니다 잘 그 이름 확인 하 고 해당 그룹의 모든 구성원 기여할 수 있다는"가정" 포털에서 사이트/목록/라이브러리에. 그 사실 수 있습니다 하지만 되지 않기 때문에 그룹의 이름을 "참가자" 발생. 이 사실이 상자 그룹 추가/편집/삭제 콘텐츠 루트 사이트에 그들을 가능 하 게 하는 권한 수준이 제공 되었습니다 있기 때문에. 상속을 통해, "기여자" 그룹 추가/편집/삭제 모든 하위 사이트에서 콘텐츠 수 있습니다.. 하나 끊을 수 있다 "" 상속 체인 및 이러한 하위 사이트의 권한 수준 변경 소위 "참가자의 해당 회원" 그룹에 기여할 수 없습니다., 하지만 읽기 전용 (예를 들어). 이 좋은 아이디어를 되지 않을 것 이라고, 분명히, 그것은 매우 혼란 스러운 것 이기 때문.
  • 그룹 사이트 수준에서 정의 되지 않은. 그것은 사용자 인터페이스에 의해 혼동 하기 쉬운. Microsoft는 모든 사이트의 "사람들 및 그룹을 통해 사용자/그룹 관리에 편리한 링크를 제공합니다." 링크. 내가 사이트 "xyzzy 있을 때 생각 하기 쉽습니다." 그리고 난 xyzzy의 사람들을 통해 서 그룹 만들고 그룹 난 그냥 xyzzy에만 존재 하는 그룹 만든 연결. 이 아닌 경우. 실제로 만든 전체 사이트 모음에 대 한 그룹.
  • 그룹 회원 사이트에 의해 달라 지지 않는다 (즉. 그것은 같은 그룹을 사용 하는 어디에 나): "소유자 그룹을 고려" 그리고 두 사이트, "HR" "물류". 그것은 두 명의 별도 개인 사이트를 자신의 것 이라고 생각 하는 정상적인 것 — HR 소유자와 물류 소유자. 사용자 인터페이스를 쉽게 mishandle이 시나리오를 보안 관리자에 대 한. 내가 더 잘 알고 하지 않은 경우, 인사 관리 사이트를 통해 사용자 및 그룹 링크를 액세스할 수 있습니다., "소유자 선택" 그룹화 하 고 해당 그룹 내 HR 소유자를 추가. 한 달 후, 물류 라인에 온다. 나 물류 사이트에서 사용자 및 그룹 액세스, "소유자 올려 추가" 그룹. 거기 시간 소유자를 참조 하 고 그녀를 제거합니다, 생각 하는 나 물류 사이트 소유자에서 그녀을 제거 해요. 사실, 글로벌 소유자 그룹에서 그녀을 제거합니다. 환희가 ensues.
  • 특정 역할에 따라 이름 그룹 실패: "승인자" 그룹은 완벽 한 예제. 이 그룹 승인의 회원 수 있습니다? 어디 그들은 그것을 승인할 수 있습니다? 정말 사람들이 물류 부서 HR 문서를 승인할 수 있어야 할까요? 당연 하지. 조직 내에서 역할에 따라 항상 이름 그룹. 이 그룹이 특정 보안 개체에 대 한 부적절 한 사용 권한 수준을 할당 하 고 그 위험을 줄일 것입니다.. 그들의 의도 된 역할에 따라 이름 그룹. 이전 시간/물류 시나리오, 나 두 새로운 그룹을 창조 한다: "HR 소유자" "물류 소유자" 각각에 대 한 재치 있는 사용 권한 수준 및 해당 사용자가 자신의 일을 할 수에 필요한 최소 금액을 할당 하 고.

다른 유용한 참조:

만약 당신이 그것을 만들 었 어이:

의견을 통해 귀하의 의견 또는 이메일로 내게 알려 주십시오. 만약 당신이 다른 좋은 참조, 동일한 작업을 수행 하시기 바랍니다!

테크노 태그:

8 "에 대한 생각SharePoint 보안 기초 입문 / 일반적인 함정을 피하기 위해

  1. 페리

    더 많은 함정:

    * 다른 SSP에서에서 사용할 수 있으며 사용자 및 그룹 섹션에 표시 되지 않는 특정 특별 한 권한이 있다: "개인 설정 서비스 사용 권한" 및 "비즈니스 데이터 카탈로그 사용 권한"

    * 내가 읽고 있다는 것도 특별 한 SharePoint Designer 권한이 html 어딘가에 묻혀진 비밀 xml에서 사용할 수 있는.

    * 기본 및 보조 사이트 모음 관리자는 사이트 모음 설정에서 다른 보관 됩니다., 사용자 및 그룹 섹션에는 표시 되지 않습니다.

    * 특정 계정에 있는 마법의 (특별 한) 사용자 및 그룹 영역에 표시에 관계 없이 능력: 웹 서버에서 기본 제공 관리자 그룹의 구성원, 팜 서비스 계정.

    (PS: 스팸 코멘트 삭제 여기 가독성 향상.)

    회신
  2. 진 라이트
    이것은 매우 좋은 게시물. 내가 몇 가지 경우에이 함정에 빠 졌. 보안 관리 인증 방법 및 다른 보안 그룹화 방법을 혼합 시작할 때 복잡 한 얻을 수 있습니다.. 이 계획 프로세스의 일부로 고려 되어야 하 고 간과 해서는 안.
    회신
  3. 마크 밀러 썼다:
    (폴에서 주: 마크는 그의 코멘트에 작은 변화를 만들 달라고 하지만 그래서 새롭게 여기 변경 추가 하 고 원래 삭제 라이브 공간 코멘트를 편집할 수 없습니다.).
    Paul,
    이 정보를 제시에 대 한 요약 방법 잘 벗. 특히 "함정을 좋아" 섹션, 그 자신이 몇 가지에 빠졌고 이후.
    또 한 가지 당신이 말한 홈 런: 월요일에 학습 반드시 금요일에 그것을 기억 할 거 야 의미 하지는 않습니다.. 나 말고 누군가가 "간 질으로 자신의 블로그를 사용 하는 기 뻐" 정기적으로 수행 하지 중요 한 것 들에 대 한 시스템.
    좋은 일.
    안부,
    마크
    EndUserSharePoint.com

    11 월 27 9:04 오전
    (http://www.EndUserSharePoint.com)

    회신
  4. 폴 Galvin
    난 그것은 아마도 이러한 기본 그룹을 제거 하는 것이 좋습니다., 특히 기여자 및 소유자. 그들은 overbroad 고 쉽게 혼란. "모든 인증 된 사용자를 사용 하는 것을 선호합니다" "방문자의 장소" 그룹. 적절 하 게 설명 하는 이름으로는 광고 그룹 또는 SharePoint 그룹을 만드는 것이 좋습니다 것이 다음 사용자만 읽기 전용 액세스를 해야 합니다 특정 설정의 경우, 예를 들어. "물류 방문자".
    –폴 G
    회신
  5. 이름 없음
    당신이 해야 할 첫 번째 일은 그냥 방문자 덤프 것 같다, 기여자 및 소유자 그룹 논리 그룹으로 바꿉니다. 이 할 듯 싶어?
    회신

응답을 남기다

귀하의 이메일 주소는 공개되지 않습니다. 필요 입력 사항은 표시되어 있습니다 *