AKTUALIZACJA 11/03/08: Pamiętaj przeczytać doskonały i szczegółowy komentarz od Dessie Lunsford do tego posta.

Pracuję na tajnych technologii edycji projektu dla nadchodzącego książki i odwołuje Ten wpis w blogu przez Tyler Butler na blogu MSDN ECM. To jest po raz pierwszy osobiście czytać jasne określenie znaczenia ograniczony dostęp. Tutaj jest mięso definicji:

W programie SharePoint, anonimowi użytkownicy’ prawa są określane przez poziom uprawnień ograniczony dostęp. Ograniczony dostęp jest poziom specjalne uprawnienia, które nie mogą być przypisane do użytkownika lub grupy bezpośrednio. Powodem, dla którego istnieje dlatego, że jeśli masz biblioteki lub podwitryny doszło do dziedziczenia uprawnień, i dać dostęp użytkownika/grupy tylko że biblioteka/podwitryny, Aby wyświetlić jego zawartość, użytkownik lub grupa musi mieć dostęp do głównej sieci web. W przeciwnym razie użytkownik lub grupa będzie mógł przeglądać biblioteki/podwitryny, nawet jeśli mają prawa, bo tam są rzeczy w głównej sieci web, które są potrzebne do renderowania na miejscu lub w bibliotece. W związku z tym, Kiedy dasz grupy uprawnienia tylko do podwitryny lub biblioteki, która łamie dziedziczenia uprawnień, Programu SharePoint automatycznie da ograniczony dostęp do tej grupy lub użytkownika na głównej sieci web.

To pytanie pojawia się teraz, a następnie na forum MSDN i zawsze byłem ciekaw (ale nie na tyle ciekawi, aby obliczać ono na zewnątrz przed dniem dzisiejszym :)).

</koniec>

Subskrybowanie mój blog.

Follow me on Twitter wiek na http://www.twitter.com/pagalvin

Na znak, że informatyka społecznego zaczyna się zdjąć z programu SharePoint, Widzę, że zwiększona liczba pytań typu Moja witryna. Jedno wspólne pytanie idzie coś takiego:

"Jestem administratorem i muszę mieć dostęp każdy moja witryna. Jak zrobić to?"

Sztuką jest to, że każda moja witryna jest jego własny zbiór witryn. SharePoint bezpieczeństwa jest zwykle podawana w witrynie kolekcja poziom i to wycieczki do wielu administrator programu SharePoint. Normalnie, ona ma już dostęp do konfigurowania zabezpieczeń w głównej"" zbiory witryn i nie może zrozumieć, że to automatycznie nie działa na moje tereny.

Zbiory witryn wspólnie żyć wewnątrz większego pojemnika, czyli aplikacja sieci web. Administratorzy farmy mogą można skonfigurować zabezpieczeń na poziomie aplikacji sieci web i jest to, jak Administratorzy mogą udzielić sobie dostęp do każdego zbioru witryn w aplikacji sieci web. Ten wpis w blogu opisuje jeden z moich osobistych doświadczeń z zasady aplikacji sieci web. Ja zdefiniowane zasady aplikacji sieci web przez przypadek: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Zasady aplikacji sieci Web może być niebezpieczne i sugerują, że one być stosowane z umiarem. Gdyby jakiś admin (i dzięki Bogu jestem nie), Chciałbym utworzyć osobne konto AD o nazwie coś w stylu "SharePoint Web App Administrator" i dać tego jednego konta roli bezpieczeństwa aplikacji www, musi. Nie chcieliby skonfigurować tego rodzaju rzeczy administrator farmy regularne lub indywidualne witryny kolekcja adminów. To będzie mają tendencję do ukrywania potencjalnych problemów, ponieważ rola aplikacji sieci web zastępuje ustawienia niższy poziom zabezpieczeń.

</koniec>

Subskrybowanie mój blog.

Follow me on Twitter wiek na http://www.twitter.com/pagalvin

AKTUALIZACJA (02/29/08): Ten nowy projekt codeplex wydaje się zapewnienie Metoda zabezpieczenia poszczególnych kolumn: http://www.codeplex.com/SPListDisplaySetting. Jeśli masz jakiekolwiek doświadczenie w pracy z nim, Proszę zostawić komentarz.

Forumowiczów często pytanie jak to: "Mam widok menedżera i pracowników widok listy. Jak zabezpieczyć widoku kierownika, że personel nie można go używać?"

One również często zadać pytanie dotyczące: "Chcę zabezpieczyć określonych metadane kolumna, tak że tylko menedżerowie mogą edytować kolumna, podczas gdy inni nie mogą nawet zobaczyć go."

Odpowiedzi na te pytania dotyczą zarówno WSS 3.0 i mech:

• SharePoint nie przewidują wsparcie out-of--box zabezpieczanie odsłon.
• SharePoint nie zapewniają wsparcie out-of--box dla bezpieczeństwa kolumn.

Istnieje kilka technik jeden można wykonać, aby spełnić tego rodzaju wymogów bezpieczeństwa. Oto co myślę:

• Użyj zabezpieczenia na poziomie elementu out-of--box. Widok na zawsze cześć konfiguracji zabezpieczeń na poziomie elementu. Odbiorniki zdarzenia i/lub przepływu pracy można zautomatyzować bezpieczeństwa przydziału.
• Użyj widoki osobiste "uprzywilejowane" Widoki. Są dość łatwo umieszczać w górze. Jednakże, ze względu na ich osobiste"" natura, te muszą być skonfigurowane dla każdego użytkownika. Wykorzystanie standardowych zabezpieczeń konfiguracji aby zapobiec ktoś Tworzenie widoku osobistym.
• Za pomocą składnika web part widok danych i wykonania pewnego rodzaju AJAXy rozwiązanie przycinanie.
• Roll własne funkcje wyświetlania listy i włączenie przycinania zabezpieczeń na poziomie kolumny.
• Modyfikowanie formularze wprowadzania danych i JavaScript jest używany w połączeniu z modelu zabezpieczeń do wykonania kolumna poziom bezpieczeństwa przycinanie.
• Użyj formularza programu InfoPath do wprowadzania danych. Wdrożenia przycinania kolumna poziom bezpieczeństwa za pomocą wywołania usługa sieci web programu SharePoint i warunkowo ukryć pola potrzebne.
• Toczyć własne ASP.NET dane wejścia funkcja, która implementuje kolumna poziom bezpieczeństwa przycinanie.

Żadna z tych opcji są naprawdę wielkie, że, ale ma co najmniej ścieżkę do naśladowania, jeśli trzeba, nawet jeśli trudno.

UWAGA: Jeśli możesz zejść z tych ścieżek, nie zapomnij o "akcji-> Otwórz w Eksploratorze systemu Windows". Chcesz aby upewnić się, że test z tej funkcji, aby upewnić się, że to nie działa jako "tylne drzwi" i pokonać swój system bezpieczeństwa.

Jeśli masz inne pomysły lub doświadczenia z zapewnieniem kolumn lub widoki, Proszę e-mail ja lub zostawić komentarz i zaktualizuję wpis odpowiednio.

</koniec>

Subskrybowanie mój blog.

AKTUALIZACJA: I zaksięgowana to pytanie MSDN tutaj (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) i Michael Washam z Microsoft odpowiedział z zwięzłe odpowiedzi.

Utworzony usługi sieci web do działania jako BDC przyjazne elewacji do listy programu SharePoint. Kiedy używane to z mojego środowiska programistycznego, prawidłowo pracował. Kiedy I migracji to do nowego serwera, I napotkał ten błąd:

Oto linii 69:

przy użyciu (Witryny SPSite = nowe SPSite("http://localhost/sandbox"))

Próbowałem różnych zmian na adres URL, w tym przy użyciu serwera prawdziwe nazwisko, jego adres IP, końcowe ukośniki na adres URL, itp. Zawsze mam ten błąd.

Kiedyś Google do badań. Mnóstwo ludzi twarz tego problemu, lub zmiany to, ale nikt nie wydawało się to rozwiązać.

MOSS gdy tricksy świadczone takie szczegółowe błąd, że nie przyszło mi do sprawdzenia 12 gałąź Dzienniki. Ostatecznie, o 24 godzin po mój kolega zaleca się że mogę tak zrobić, Sprawdziłem 12 ul dziennika i ufundować ten:

Wystąpił wyjątek podczas próby pozyskania lokalnych farm:
System.Security.SecurityException: Dostępu do rejestru wymagane jest niedozwolone.
w System.ThrowHelper.ThrowSecurityException(ExceptionResource zasobów) w Microsoft.Win32.RegistryKey.OpenSubKey(Ciąg nazwy, Wartość logiczna zapisywalny) w Microsoft.Win32.RegistryKey.OpenSubKey(Ciąg nazwy) w Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() w Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() w Microsoft.SharePoint.Administration.SPFarm.FindLocal(Farmy programu SharePoint& zagroda, Wartość logiczna& isJoined)
Strefy do wirtualny plik dziennika nie powiodła się, był:  Mój komputer

To otworzyło nowe możliwości badawcze, tak to był powrót do Google. To doprowadziło mnie do tego post na forum: http://forums.codecharge.com/Posts.php?post_id = 67135. Że tak naprawdę nie pomaga mi, ale to się zaczęło, co mi myśleć, że było problemu bazy danych i/lub bezpieczeństwa. Ja soldiered na pierwszego i Andrew Connell po końcu wyzwalane myśli że powinien upewnij się, że konto tożsamości puli aplikacji miał odpowiedniego dostępu do bazy danych. Myślałem, że to już nie. Jednakże, mój kolega poszedł i dał app basen tożsamości konta pełnego dostępu do SQL.

Jak tylko odbył zmianą, wszystko zaczęło się pracy.

Najlepiej co odnosiło dalej wyrażona jako Haiku poemat:

Problemy podnieść ich ręce.
Huśtawka i miss. Próbuj ponownie.
Sukces! Ale jak? Dlaczego?

Chciała pozostawić rzeczy samodzielnie like that, preferowanie udzielić minimalne wymagane uprawnienia (i prawdopodobnie mając pisania pozycji blogu; I beat jej do dziurkowania, muhahahahaha!).

Okręt usunięte z konta tożsamości puli aplikacji do kolejnych uprawnienia … nie było już żadnych wyraźnej zgody na konto tożsamości puli aplikacji w ogóle. Usługa sieci web w dalszym ciągu działać dobrze.

Poszliśmy i ponownym uruchomieniu serwerów. Wszystko nadal działają dobrze.

Tak, do clip show: Daliśmy pełny dostęp tożsamości puli aplikacji i następnie zabrał go. Usługa sieci web rozpoczął pracę i nigdy nie przestał działać. Dziwaczne.

Jeśli każdy użytkownik wie, dlaczego powinny który pracował, Proszę zostawić komentarz.

</koniec>

Potrzebne do spełnienia wymagań bezpieczeństwa dla formularza programu InfoPath dzisiaj. W tej sytuacji firmy, stosunkowo niewielka liczba osób mogą tworzyć nowy formularz programu InfoPath i znacznie szerszej publiczności są dozwolone do edycji. (To jest wynajem nowy formularz na pokład używane przez zasoby ludzkie, który uruchamia przepływ pracy).

Aby spełnić ten cel, I stworzył powstały dwa nowe poziomy uprawnień ("Tworzenie i aktualizacja" i "tylko do aktualizacji"), złamał dziedziczenia dla biblioteki formularzy i przypisane uprawnienia na "Utwórz, Aktualizacja" użytkownika i oddzielnej "aktualizacji tylko" użytkownik. Wszystkie mechanizmy pracował, ale okazało się być trochę bardziej wciągające niż się spodziewałem. (Jeśli czujesz się trochę chwiejny na uprawnień programu SharePoint, Sprawdź ten post blog). Konfigurację zabezpieczeń wymagany poziom uprawnień nie było oczywiste zestaw uprawnień granulowanych. Aby utworzyć poziom uprawnień tylko do aktualizacji dla formularza programu InfoPath, Zrobiłem następujące:

1. Utworzyć nowy poziom uprawnień.
2. Usunąć wszystkie opcje.
3. Wybrane tylko następujące "Uprawnienia do listy":

• Edytuj elementy
• Wyświetlanie elementów
• Wyświetlanie stron aplikacji

Te opcje pozwala użytkownikowi aktualizacji formularza, ale nie to.

Sztuką było umożliwienie "Wyświetlanie stron aplikacji". Nie ma żadnych verbage na poziom uprawnień, który wskazuje, że jest wymagane tylko do aktualizacji formularzy programu InfoPath, ale okazuje się, że jest.

Tworzenie i aktualizacja była nawet obcy. Ja nastąpił ten kroki te same, 1 przez 3 powyżej. Musiałem dodać specjalnie uprawnienia witryny"" Opcja: "Użyj funkcji integracja klienta". Ponownie, Opis tam nie sprawiają, że wydaje się, że powinno być wymagane dla formularza programu InfoPath, ale nie jest to.

</koniec>

AKTUALIZACJA 01/28/08: Projekt codeplex rozwiązuje ten problem: http://www.codeplex.com/AccessChecker. Nie używali go, ale wygląda obiecująco, jeśli jest to problem, trzeba adres w środowisku.

AKTUALIZACJA 11/13/08: Joel Oleson napisał bardzo dobry post na większe bezpieczeństwo zarządzania problem tutaj: http://www.sharepointjoel.com/ Lists/Posts/Post.aspx?Lista = 0cd1a63d % 2D183c % 2D4fc2 %2 D 8320% 2Dba5369008acb&ID = 113. Linki do wielu innych przydatnych zasobów.

Forum użytkowników i klientów często zadać pytanie wzdłuż tych linii: "Jak wygenerować listę wszystkich użytkowników z dostępem do witryny" lub "jak można I automatycznie alert wszystkich użytkowników z dostępem do listy o zmiany na liście?"

Tam jest nie obecnie rozwiązanie tego. Jeśli myślisz o tym przez chwilę, nie jest trudno zrozumieć, dlaczego.

SharePoint bezpieczeństwa jest bardzo elastyczny. Istnieją co najmniej cztery główne kategorie użytkowników:

• Anonimowi użytkownicy.
• SharePoint użytkownicy i grupy.
• Aktywnych użytkowników katalogu.
• Formularze oparte uwierzytelniania (PARYŻU W RODZINIE ŻYDOWSKIEJ) Użytkownicy.

Elastyczność oznacza, że z punktu widzenia bezpieczeństwa, dowolnej danej lokacji programu SharePoint będzie znacznie różni się od innego. Aby wygenerować raport listy dostępu, należy upewnić się, jak strona jest zabezpieczona, kwerendy repozytoriów wielu profil innego użytkownika i następnie przedstawić go w sposób przydatny. To trudny problem do rozwiązania ogólnie.

Jak organizacje mają do czynienia z tym? Bardzo chciałbym usłyszeć od Ciebie w komentarzach lub Adres e-mail.

</koniec>

AKTUALIZACJA 12/18/07: Paul Liebrand w artykule pewne konsekwencje techniczne usuwanie lub modyfikowanie domyślnej nazwy grupy (Zobacz także jego komentarz poniżej).

Przegląd:

SharePoint bezpieczeństwa jest łatwe do konfigurowania i zarządzania. Jednakże, on okazał się być trudne dla niektórych administratorów po raz pierwszy naprawdę owinąć swoje ręce wokół niego. Nie tylko, że, Mam widział Niektórzy administratorzy są doskonałe zrozumienie w poniedziałek tylko do stracili to piątek, bo nie mają robić żadnej konfiguracji w czasie interwencji. (Przyznam, że o ten problem, ja). Ten wpis w blogu mam nadzieję, że zawiera przydatne podkład zabezpieczeń programu SharePoint i punkty wobec niektórych konfiguracji najważniejsze wskazówki dotyczące zabezpieczeń.

Uwaga:

Ten opis jest oparty na polu SharePoint bezpieczeństwa. Moje osobiste doświadczenie jest zorientowana wokół MOSS, więc mogą być pewne MOSS konkretnych rzeczy tutaj, ale uważam, że jest to dokładne dla WSS. Mam nadzieję, że ktoś widząc błędy lub przeoczenia będzie podkreślić, że w komentarzach lub e-mail ja. Zrobię korekty po pośpiechu.

Podstawy:

Dla celów tego przeglądu, Istnieją cztery podstawowe aspekty bezpieczeństwa: użytkowników/grup, zabezpieczanych obiektów, poziomy uprawnień i dziedziczenie.

Użytkownicy i grupy przerwa w dół do:

• Użytkowników indywidualnych: Wyciągnął z aktywnym katalogu lub utworzonych bezpośrednio w programie SharePoint.
• Grupy: Mapowane bezpośrednio z usługi active directory lub utworzone w SharePoint. Grupy są to zbiór użytkowników. Grupy są globalne w zbiorze witryn. Oni nigdy nie "związane są" dla określonego obiektu zabezpieczanego.

Zabezpieczanych obiektów break down do co najmniej:

• Stron
• Biblioteki dokumentów
• Poszczególne pozycje na listach i w bibliotekach dokumentów
• Foldery
• Różne ustawienia usługi łączności danych biznesowych.

Tam inne zabezpieczany obiektów, ale masz obraz.

Poziomy uprawnień: Pakiet materiałów sypkich / niski poziom dostępu do praw, które obejmują takie rzeczy jak tworzenie, odczyt/usuwanie wpisów w listach.

Dziedziczenie: Domyślnie elementy dziedziczą ustawienia zabezpieczeń z ich obiektu zawierającego. Podwitryny dziedziczą uprawnienia z rodziców. Biblioteki dokumentów dziedziczą z ich strony. Tak dalej i tak dalej.

Użytkownicy i grupy odnoszą się do zabezpieczanych obiektów za pośrednictwem poziomów uprawnień i dziedziczenie.

Najważniejsze zasady bezpieczeństwa, aby zrozumieć, Ever 🙂 :

1. Grupy są po prostu Kolekcje użytkowników.
2. Grupy są globalne w zbiorze witryn (tj.. istnieje coś takiego jak grupa zdefiniowane na poziomie witryny).
3. Nazwa grupy nie wytrzymać, grupy nie, w i o sobie, mają szczególne poziom bezpieczeństwa.
4. Grupy mają bezpieczeństwa w kontekście konkretnego obiektu zabezpieczany.
5. Może przypisać różne poziomy uprawnień do tej samej grupy dla każdego obiektu zabezpieczanego.
6. Zasady aplikacji sieci Web atutem tego wszystkiego (patrz poniżej).

Administratorzy zabezpieczeń zagubiony w morzu grupy i użytkownika oferty zawsze możesz liczyć na te Aksjomaty do zarządzania i zrozumieć ich konfiguracji zabezpieczeń.

Typowych pułapek:

• Nazwy grup fałszywie pociąga za sobą uprawnienie: Po wyjęciu z pudełka, SharePoint definiuje zestaw grup, których nazwy oznacza związane poziom bezpieczeństwa. Należy wziąć pod uwagę grupy "Autor". Jeden nieobeznanych z SharePoint bezpieczeństwa może dobrze przyjrzeć się tej nazwy i zakładam, że każdy członek tej grupy może "przyczynić się" do każdej witryny/listy/biblioteki w portalu. Może to być prawdą, ale nie dlatego, że nazwa grupy stanie się "autor". Tylko to prawda po wyjęciu z pudełka, bo Grupa przedstawiła poziom uprawnień, który pozwala na Dodawanie/edycja/usuwanie zawartości na stronie głównej. Za pomocą dziedziczenia, uczestników"" Grupa może również dodać/wydawać/delegować treść na każdej stronie. Jeden może "złamać" łańcucha dziedziczenia i zmiany uprawnień poziom sub-strony, takie że członkowie tzw "respondenta" Grupa nie może przyczynić się w ogóle, ale tylko do odczytu (na przykład). To nie byłby to dobry pomysł, Oczywiście, od tego czasu byłoby bardzo mylące.
• Grupy nie są zdefiniowane na poziomie witryny. Nietrudno pomylić się przy użyciu interfejsu użytkownika. Firma Microsoft udostępnia wygodny link do użytkownika/grupy zarządzania za pośrednictwem Każda witryna "osób i grup" link. To jest łatwo uwierzyć, że gdy jestem na stronie "xyzzy" i stworzyć grupę przez xyzzy dla osób i grup łącze które właśnie stworzyliśmy grupę, która istnieje tylko w xyzzy. To nie przypadek. Faktycznie stworzyliśmy grupę do zbierania całej witryny.
• Członkostwo grupy nie zależy od strony (tj.. tak samo jest wszędzie tam, gdzie jest używana grupa): Należy wziąć pod uwagę grupy "właściciela" i dwa miejsca, "HR" i "Logistyka". Byłoby to normalne, aby myśleć, że dwie odrębne osoby chcieliby własne tych miejsc — właścicielem HR i właścicielem logistyki. Interfejs użytkownika ułatwia administratorowi zabezpieczeń mishandle tego scenariusza. Gdybym nie wiedział lepiej, Może uzyskać dostęp do osób i grup linki za pośrednictwem strony HR, Wybierz "właścicieli" grupy i dodać mój właściciel HR do tej grupy. Miesiąc później, Logistyka jest na linii. Dostęp do osób i grup ze strony logistyki, dodać podciągnąć właścicieli"" Grupa. Zobacz właściciela HR i usunąć ją, myśli, że jestem jej usunięcie z właścicieli na stronie logistyki. W zasadzie, Jestem usunięcie jej z globalnej grupy właścicieli. Następuje wesołość.
• Nie nazwę grupy w oparciu o szczególnej roli: "Osoby zatwierdzające" Grupa jest doskonałym przykładem. Co można członków tej grupy Zatwierdź? Gdzie oni to zatwierdzić? Naprawdę chcesz dział logistyki ludzi, aby mogli zatwierdzać dokumenty HR? Oczywiście nie. Zawsze nazwę grupy na podstawie ich roli w organizacji. Zmniejszy to ryzyko, że grupa jest przypisany poziom uprawnień nieodpowiednie dla określonego obiektu zabezpieczanego. Nazwa grupy w oparciu o ich rolę. W poprzednim scenariuszu HR/logistyka, Powinien zostały utworzone dwa nowe grupy: "HR właścicieli" i logistyka właścicieli"" i przypisać poziomy uprawnień sensowne dla każdego i kwota minimalna wymagana dla tych użytkowników wykonywać swoją pracę.

Inne przydatne odnośniki:

• Sieci Web aplikacji polityki haczyka: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Clearinghouse dla SharePoint bezpieczeństwa: http://www.sharepointsecurity.com/
• Linki z Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Jeśli już się to znacznie:

Podobać się puszczać mi znać swoje myśli poprzez komentarze lub napisz do mnie. Jeśli znasz inne dobre referencje, proszę zrobić to samo!