ACTUALIZARE 11/03/08: Asiguraţi-vă că pentru a citi comentariu excelent şi detaliate de la Roxana Lunsford la acest post.

Am fost de lucru la un proiect secret tech editare pentru o carte de sus-vine şi aceasta face referire Această intrare de blog de Tyler Butler pe blog-ul MSDN ECM. Aceasta este prima dată când am citit personal o definiţie clară în sensul de acces limitat. Aici este carne de definiţia:

În SharePoint, utilizatorii anonimi’ drepturile sunt determinate de nivelul de permisiunea de acces limitat. Acces limitat este un nivel de permisiune specială, care nu poate fi atribuit de utilizator sau de grup direct. Motivul pentru care există este pentru că dacă aveţi o bibliotecă sau subsite-ul care a rupt moștenire permisiuni, şi da un utilizator/grup de acces numai că biblioteca/subsite, pentru a vizualiza conţinutul acestuia, Grupul de utilizator trebuie să aibă unele acces web rădăcină. Altfel grupul de utilizator va fi în imposibilitatea de a parcurge Biblioteca/subsite, chiar dacă acestea au drepturi acolo, pentru că există lucruri în web rădăcină, care sunt necesare pentru a face site-ul sau library. Prin urmare, Când dai un permisiunile grupului numai la un subsite sau bibliotecă care este de rupere moștenire permisiuni, SharePoint automat va da acces limitat la acest grup sau utilizator pe web rădăcină.

Această întrebare apare acum şi apoi pe MSDN forumuri şi am fost întotdeauna curios (dar nu destul de curios să dau afară înainte de astăzi :)).

</scop>

Aboneaza-te la blog-ul meu.

Urmaţi-mă pe Twitter, la http://www.twitter.com/pagalvin

Într-un semn că sociale de calcul a început să decoleze cu SharePoint, Văd un număr crescut de întrebări de tip site-ul meu. O întrebare comună merge ceva de genul:

"Eu sunt un administrator şi am nevoie pentru a putea accesa fiecare site-ul meu. Cum pot face asta?"

Truc aici este că fiecare site-ul meu este propria sa colecție de site-ul. Securitate SharePoint este administrat în mod normal la nivelul colecției de site-ul şi acest lucru excursii până multe o administratorului SharePoint. În mod normal, ea are deja acces la configurare securitate în principal"" site-ul colecţii şi nu poate realiza că acest lucru nu funcţionează automat pentru site-urile mele.

Colecțiile de site-ul colectiv trăiesc în interiorul-un recipient mai mare, care este aplicaţia web. Administratorii de fermă pot pot configura securitate la nivelul app web şi acest lucru este cum administratori se poate acorda accesul la orice site-ul de colectare în aplicaţia web. Această intrare de blog-ul descrie una dintre experienţele mele personale cu politicile de aplicatie web. Am definit o politică de aplicaţie web de accident: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Politici de aplicaţie web pot fi periculoase şi vă sugerez că acestea să fie utilizate cu moderaţie. Dacă am fost un admin (şi, slavă Domnului nu sunt), Mi-ar crea un cont separat de anunţuri numit ceva de genul "SharePoint Web App Administrator" şi să dea acel cont o aplicaţie web securitate rolul are nevoie. Nu ar configura acest tip de lucru pentru regulate ferma admin sau administratori de colecție site-ul individuale. Acesta va au tendinţa de a ascunde potenţiale probleme deoarece web app rolul suprascrie orice setări de nivel de securitate inferior.

</scop>

Aboneaza-te la blog-ul meu.

Urmaţi-mă pe Twitter, la http://www.twitter.com/pagalvin

ACTUALIZARE (02/29/08): Acest nou proiect de codeplex pare să ofere o metodă pentru asigurarea coloanele individuale: http://www.codeplex.com/SPListDisplaySetting. Dacă aveţi orice experienţă de lucru cu ea, vă rugăm să lăsaţi un comentariu.

Postere forum frecvent cere o întrebare ca aceasta: "Am o vedere de managerul şi şi vedere personal o listă. Cum pot securiza vizualizarea manager, astfel încât personalul nu pot folosi?"

De asemenea, frecvent cere o întrebare legate: "Vreau să asigure o coloană de metadate specifice, astfel încât numai managerii pot edita acea coloană în timp ce alţii nu pot vedea chiar ea."

Aceste răspunsuri se aplică atât AAC 3.0 şi MOSS:

• SharePoint nu oferă suport de out-of--box pentru securizarea views.
• SharePoint nu oferă suport de out-of--box pentru coloanele de securitate.

Există mai multe tehnici o puteţi urma pentru a îndeplini aceste tipuri de cerințele de securitate. Aici este ceea ce pot să cred că:

• Utilizează securitatea la nivel de element de out-of--box. Vedere respecta întotdeauna configurare de securitatea la nivel de element. Eveniment receptoare şi/sau flux de lucru poate automatiza cesiune de securitate.
• Utilizaţi vizualizări personale pentru "privilegiat" vizualizari. Acestea sunt destul de uşor de configurat. Cu toate acestea, din cauza lor personale"" natura, Acestea trebuie să fie configurat pentru fiecare utilizator. Utilizarea standard de securitate de configurare pentru a împiedica pe altcineva de la crearea o vizualizare personală.
• Utilizaţi o parte de web date Vezi şi pune în aplicare un fel de soluţie de tundere AJAXy de securitate.
• Roll propria funcţionalitate de afişare listă şi să includă tunderea de securitate la nivel de coloană.
• Modifica date forme de intrare şi de a folosi JavaScript în legătură cu modelul de securitate să implementeze securitatea la nivel de coloană tunderea.
• Utilizaţi un formular InfoPath pentru introducerea datelor. Punerea în aplicare a tăia securitatea la nivel de coloană prin intermediul web serviciu chemare la spre SharePoint şi condiţional ascunde câmpuri în funcţie de necesităţi.
• Roll propria ASP.NET date intrare funcţia care implementează tunderea de securitatea la nivel de coloană.

Dintre aceste opţiuni niciunul nu într-adevăr mare, dar există cel puţin o cale de urmat în cazul în care aveţi nevoie pentru a, chiar dacă este greu.

NOTĂ: Dacă te duci în jos oricare dintre aceste căi, nu uitaţi despre "acţiuni-> Deschide cu Windows Explorer". Doriţi să vă asiguraţi că vă testaţi cu această caracteristică pentru a vă asigura că nu funcţionează ca un "back door" şi înfrângerea schema de securitate.

Dacă aveţi alte idei pentru sau experienţe cu asigurarea coloane sau views, vă rog e-mail-mă sau lăsaţi un comentariu şi voi actualiza această postare după caz.

</scop>

Aboneaza-te la blog-ul meu.

ACTUALIZARE: Am postat această întrebare de la MSDN aici (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) şi Michael Washam de la Microsoft a răspuns cu un raspuns concis.

Am creat un serviciu web pentru a acţiona ca un Faţada BDC-friendly la o listă SharePoint. Când am folosit acest lucru din mediul meu de dezvoltare, it worked fin. Când acest lucru-am migrat la un nou server, Am întâlnit această eroare:

Aici este linie 69:

folosind (Site-ul SPSite = nou SPSite("http://localhost/sandbox"))

Am încercat diferite variante pe URL-ul, inclusiv folosind numele real al serverului, adresa sa de IP, trailing slash-uri pe URL-ul, etc. Întotdeauna am primit această eroare.

Am folosit Google de cercetare se. O mulţime de oameni se confruntă cu această problemă, sau variante ale acestuia, dar nimeni nu părea să-l rezolvate.

Care MOSS furnizate astfel detaliate eroare că ea nu a avut loc la mine pentru a verifica 12 jurnalele de stup. În cele din urmă, despre 24 ore după colegul meu recomandat am face acest lucru, Am verificat 12 Stupul jurnal şi a întemeia this:

A produs o excepție în timp ce încearcă să obţină agricole locale:
System.Security.SecurityException: Nu este permis accesul registry solicitate.
la System.ThrowHelper.ThrowSecurityException(ExceptionResource resurse) la Microsoft.Win32.RegistryKey.OpenSubKey(Şir de nume, Boolean inscriptibil) la Microsoft.Win32.RegistryKey.OpenSubKey(Şir de nume) la Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() la Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() la Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& ferma, Boolean& isJoined)
Zona de asamblare care nu a fost:  MyComputer

Acest lucru a deschis căi noi de cercetare, Deci, a fost înapoi la Google. Care ma condus la acest forum post: http://forums.codecharge.com/Posts.php?% post_id = 67135. Că într-adevăr nu ajută-mă, dar ea a început a face eu cred ca exista o problema de date şi/sau securităţii. Am soldiered şi Andrew Connell posta în cele din urmă declanşat crezut că eu ar trebui să asiguraţi-vă că cont de identitatea de aplicații pe au avut acces adecvat la baza de date. Am crezut că a făcut-o deja. Cu toate acestea, colegul meu a mers şi a dat app piscină identitatea cont acces deplin la SQL.

De îndată ce ea a făcut această schimbare, totul a început să lucreze.

Ce următoare s-a întâmplat este mai bună exprimat ca o haiku poezie:

Probleme ridica mâinile lor.
Leagan si dor. încearcă din nou.
Succesul! Dar cum? de ce?

Ea nu a vrut să plece lucruri singur ca asta, preferând să dea permisiunea minime necesare (şi, probabil, cu un ochi scris o intrare de blog; Am bătut-o pentru a punch, muhahahahaha!).

Ea eliminat succesive permisiunile la piscină app identitatea contul până … nu mai era nici permisiunea explicită pentru app piscină identitatea contul la toate. Serviciul de web a continuat să funcţioneze bine.

Am mers şi repornit servere. Totul a continuat să funcţioneze bine.

Deci, pentru a recapitulare: am dat app identitate completa acces la piscină şi apoi a luat-o distanţă. Serviciul de web a început să lucreze şi niciodată nu a oprit de lucru. Bizar.

Dacă cineva ştie de ce care ar trebui să au lucrat, vă rugăm să lăsaţi un comentariu.

</scop>

Am nevoie pentru a satisface o cerinţă de securitate pentru un formular InfoPath astăzi. În această situaţie de afaceri, un număr relativ mic de persoane sunt permise pentru a crea un nou formular InfoPath şi un public mult mai larg sunt permise să editaţi-l. (Acest lucru este nou-închiriere pe internat forma utilizate de resurse umane care lansează un flux de lucru).

Pentru a îndeplini acest obiectiv, Am creat creat două noi niveluri de permisiune ("Creaţi şi le actualizaţi" şi "update numai"), a rupt moştenire pentru biblioteca de formulare şi atribuit permisiuni pentru a "crea, actualizare" utilizatorului şi un separată "update numai" utilizator. Toate mecanicii lucrat, dar sa dovedit a fi un pic mai care implică decât am aşteptat. (Dacă vă simţiţi un pic şubredă pe SharePoint permisiuni, Verificaţi acest blog post). Configuraţia de securitate necesare pentru nivelul de permisiune nu a fost evident setul de permisiuni de granulare. Pentru a crea un nivel de permisiune de actualizare-doar pentru un formular InfoPath, Am făcut următoarele:

1. Creaţi un nou nivel de permisiune.
2. Clar departe toate opţiunile.
3. Selectat numai următoarele din "Lista de permisiuni":

• Editare elemente
• Vezi articole
• Vezi aplicatia pagini

Selectând aceste opţiuni permite unui utilizator pentru a actualiza un formular, dar nu crea-o.

Truc a fost la spre enable "Vedere aplicarea paginile". Nu există nici verbage la nivel de permisiune care indică care a cere pentru actualizare-numai formularele InfoPath, dar se pare că este.

Crea-şi-actualizare a fost chiar străin. Am urmat aceeaşi paşi, 1 prin 3 de mai sus. Am avut de a adăuga în mod special un Site permisiunea"" opţiune: "Utilizarea caracteristici de integrare client". Din nou, Descrierea acolo nu face se pare ca acesta ar trebui să fie necesară pentru un formular InfoPath, dar asta este.

</scop>

ACTUALIZARE 01/28/08: Proiectul codeplex abordează această problemă: http://www.codeplex.com/AccessChecker. Nu am folosit-o, dar se pare promiţătoare, în cazul în care aceasta este o problemă aveţi nevoie pentru a adresa în mediul de.

ACTUALIZARE 11/13/08: Joel Oleson a scris un post foarte bun mai mare de securitate managementul problema aici: http://www.sharepointjoel.com/Lists/Posts/Post.aspx?Lista = 0cd1a63d % 2D183c % 2D4fc2% 2 D 8320% 2Dba5369008acb&ID = 113. Se leagă la un număr de alte resurse utile.

Forumul utilizatorilor şi clienţilor adesea cere o întrebare de-a lungul acestor linii: "Cum am genera o listă cu toţi utilizatorii cu acces la un site" sau "cum pot eu automat alerta toti utilizatorii cu acces la lista despre modificările efectuate la lista de?"

Nu există nici în afara caseta soluţia pentru acest. Dacă te gândeşti la asta, pentru o clipă, nu este greu să înţeleagă de ce.

Securitate SharePoint este foarte flexibil. Există cel puţin patru categorii importante de utilizatori:

• Utilizatorii anonimi.
• SharePoint utilizatori și grupuri.
• Active Directory users.
• Formulare pe bază de autentificare (HAMBURG) utilizatorii.

Flexibilitatea înseamnă că dintr-o perspectivă de securitate, orice dat site-ul SharePoint va fi dramatic diferite de la un alt. Pentru a genera un raport de lista de acces, unul are nevoie pentru a stabili cum site-ul este securizat, interogare mai multe arhive de profil utilizator diferite şi apoi să le prezinte într-un mod util. Aceasta este o problemă greu de rezolvat generic.

Cum sunt organizaţii care se ocupă cu acest lucru? Mi-ar plăcea să aud de la tine în comentarii sau e-mail.

</scop>

ACTUALIZARE 12/18/07: A se vedea articolul Paul Liebrand pentru unele consecinţe tehnice de eliminarea sau modificarea numele grupului implicit (a se vedea comentariul lui de mai jos, precum şi).

Privire de ansamblu:

Securitate SharePoint este uşor pentru a configura şi gestiona. Cu toate acestea, sa dovedit a fi dificil pentru unii administratori de prima dată pentru a împacheta într-adevăr mâinile lor în jurul acestuia. Nu numai că, Am vazut Unii administratori de ajunge la o înţelegere perfectă luni, doar pentru a l-au pierdut de vineri deoarece ei nu au a face orice configuraţie în timpul intervin. (Recunosc că pentru a avea această problemă eu). Această intrare de blog, sperăm, oferă un grund de securitate SharePoint utile şi puncte faţă de unele de configurare de securitate cele mai bune practici.

Notă importantă:

Această descriere se bazează pe afară de la cutie de securitate SharePoint. Experienţa mea personală este orientat în jurul MOSS, aşa că pot exista unele chestii MOSS specifice aici, dar cred că este corect pentru AAC. Sper că oricine văzând orice erori sau omisiuni vor sublinia că în comentarii sau e-mail-mă. Voi face corecţii post-grabă.

Fundamentele:

În scopul de această prezentare generală, Există patru aspecte fundamentale pentru securitate: utilizatori/grupuri, SecurAble obiecte, nivelurile de permisiune şi moştenire.

Utilizatori și grupuri rupe în jos pentru a:

• Utilizatori individuali: Tras din activ, Director sau create direct în SharePoint.
• Grupuri: Mapate direct din active directory sau create în SharePoint. Grupurile sunt o colecţie de utilizatori. Grupurile sunt la nivel global într-o colecţie de site-ul. Ei sunt mai "legat" la un anumit obiect securizabil.

SecurAble obiecte rupe în jos pentru a cel puţin:

• Site-uri
• Biblioteci de documente
• Elemente individuale în liste și biblioteci de documente
• Dosare
• Diferite setări de BDC.

Nu există alte obiecte securizabil, dar ai poza.

Nivelurile de permisiune: Un pachet de granulare / drepturile de acces la nivel scăzut care includ lucruri cum ar fi crearea/citi/sterge intrările în listele.

Moştenire: În mod implicit entităţi moștenesc setările de securitate care conţine obiectul lor. Subsite-urile moștenesc permisiunea de la lor mamă. Bibliotecile de documente moşteni de la site-ul lor. Şi aşa mai departe.

Utilizatorii şi grupurile se referă la obiecte securizabil prin niveluri de permisiune şi moştenire.

Cele mai importante reguli de securitate pentru a înţelege, Ever 🙂 :

1. Grupurile sunt pur şi simplu colecţii de utilizatori.
2. Grupurile sunt la nivel global în termen de o colecţie de site-ul (adică. nu există un astfel de lucru ca un grup definit la nivel de site-ul).
3. Nume de grup nu reziste, grupurile nu, În şi de ei înşişi, au orice nivel special de securitate.
4. Grupurile au de securitate în contextul unui anumit obiect securizabil.
5. Poate atribui niveluri de permisiune diferite pentru acelaşi grup pentru fiecare obiectul securizabil.
6. Politici de aplicaţie web atu toate astea (a se vedea mai jos).

Administratorii de securitate pierdut într-o mare de listări de grup și utilizator puteţi baza întotdeauna pe aceste axiome pentru a gestiona şi de a înţelege lor de securitate de configurare.

Capcane comune:

• Grupa nume fals implica permisiunea: Afară de la cutie, SharePoint defineşte un set de grupuri ale căror nume implică un nivel inerente de securitate. Considera grupul "Contribuitor". Unul familiarizat cu SharePoint de securitate poate bine uita-te la acest nume şi presupune că orice membru al acelui grup "contribui" orice site-ul/lista/Biblioteca în portal. Aceasta poate fi adevărat, dar nu pentru că numele grupului se întâmplă să fie "contribuitor". Acest lucru este adevărat numai în afară de la cutie pentru că grupul a fost furnizat de un nivel de permisiune care să le permită pentru a adăuga/edita/şterge conţinut la site-ul rădăcină. Prin mostenire, contribuabili"" grup, de asemenea, pot adauga/edita/şterge conţinut la site-sub-ul fiecare. Unul pot "rupe" lanţul de moştenire şi schimba nivelul de permisiune de un sub-site-ul astfel că membri ai aşa-numitele "contribuitor" Grupul nu poate contribui la toate, dar doar citit (de exemplu). Acest lucru nu ar fi o idee buna, în mod evident, deoarece ar fi foarte confuz.
• Grupurile nu sunt definite la nivel de site-ul. Este uşor de a fi confundate de interfaţa cu utilizatorul. Microsoft oferă o legătură convenabilă la utilizatorul/grupul de management prin intermediul site-ului fiecare "oameni şi grupuri" link-ul. Este uşor să credem că atunci când eu sunt la site-ul "xyzzy" şi creează un grup prin xyzzy pe oameni şi grupuri link că am creat doar un grup care există doar la xyzzy. Că nu este cazul. De fapt am creat un grup de colectare întreg site-ul.
• Grupuri de membru nu variază în funcţie de site-ul (adică. este la fel peste tot grupul este utilizat): Considera grupul "proprietar" şi două site-uri, "HR" şi "Logistica". Ar fi normal să cred că doi indivizi separaţi ar proprii aceste site-uri — un proprietar de HR şi un proprietar de logistică. Interfaţa este uşor pentru un administrator de securitate a mishandle acest scenariu. În cazul în care nu am stiut mai bine, S-ar putea accesa oameni şi grupuri de link-uri prin intermediul site-ului HR, Selectaţi "proprietarii" de grup şi se adaugă meu proprietar de HR la acel grup. O lună mai târziu, Logistica vine pe linie. Accesa oameni şi grupuri din situl de logistică, Adauga trage "proprietarii" Grupa. Văd proprietarul HR acolo şi elimina i, gândindu-mă că eu sunt scoaterea ei din proprietarii de site-ul logistica. de fapt, Eu sunt scoaterea ei din grupul proprietarii globale. Ilaritate apare.
• În caz contrar să numele grupuri bazate pe rol specific: "Aprobatori" Grupul este un exemplu perfect. Ce pot membri ai acestui grup de aprobare? În cazul în care pot ei să-l aprobe? Chiar vreau oameni Departamentul de logistica pentru a aproba documente HR? Desigur, nu. Întotdeauna numele grupurilor bazat pe rolul lor în cadrul organizaţiei. Acest lucru va reduce riscul că grupul este atribuit un nivel inadecvat permisiunea pentru un anumit obiect securizabil. Numele grupurilor bazat pe rolul lor destinate. În scenariul anterior HR/logistica, Mi-ar trebui să am creat două noi grupuri: "Proprietarii de HR" şi proprietarii de logistică"" şi atribui niveluri de permisiune sensibil pentru fiecare şi suma minimă necesară pentru cei care utilizatorii să facă treaba lor.

Alte referinţe utile:

• Web cerere politica gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Clearinghouse pentru securitate SharePoint: http://www.sharepointsecurity.com/
• Link-uri la Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Dacă le-aţi făcut acest lucru de departe:

Vă rog să-mi spuneţi-vă gândurile prin comentarii sau e-mail-mă. Daca stiti alte referinte bune, vă rugăm să facă acelaşi lucru!