AKTUALIZÁCIA 11/03/08: Uistite sa, že prečítať vynikajúce a podrobný komentár od Dessie Lunsford na tento príspevok.

Bol som pracoval na tajných tech úpravu projektov pre pripravované knihy a to Odkazy Tento blog vstupe Tyler Butler na blogu MSDN ECM. Toto je prvýkrát, čo som osobne čítal jasnú definíciu pojmu obmedzený prístup. Tu je mäso definície:

V službe SharePoint, anonymní používatelia’ práva sú stanovené úrovne povolení obmedzený prístup. Obmedzený prístup je na úrovni špeciálne povolenie, ktoré nie je možné priradiť používateľovi alebo skupine priamo. Existuje dôvod je, pretože ak máte knižnicu alebo podlokality, ktorý porušil oprávnenie dedičské, a poskytnúť používateľ alebo skupina prístup len že knižnica/podlokalita, Ak chcete zobraziť jej obsah, používateľ alebo skupina musí mať určitý prístup k koreňovej webovej. Inak bude používateľ alebo skupina sa nedá Prehľadávať knižnice/podlokalita, aj keď tam majú práva, pretože tam sú veci na koreň web, ktoré sú potrebné k tomu, lokalitu alebo knižnicu. Preto, keď dáte povolenia skupiny len na podlokalite alebo Knižnica, ktorá je lámanie oprávnenie dedičské, SharePoint automaticky poskytne obmedzený prístup na skupinu alebo používateľa na koreňovom webe.

Táto otázka príde až teraz a potom na fórach MSDN a vždy som bol zvedavý (ale nie dosť zvedavý na to prísť pred dnes :)).

</koniec>

Vyberajte môj blog.

Nasledujte ma na stebėtų na http://www.twitter.com/pagalvin

V znamení, že sociálne výpočtovej začína vzlietnuť so službou SharePoint, Vidím, že zvýšený počet otázky typu moje stránky. Jedno spoločné otázky ide niečo takého:

"Ja som správca a musím byť schopný pristupovať k každej osobnej lokality. Ako to mám urobiť?"

Trik je tu, že každého Osobná lokalita je vlastnej kolekcie lokality. SharePoint zabezpečenia zvyčajne spravuje na úrovni kolekcie lokality a tento výlet sa veľa správcu lokality SharePoint. Normálne, ona už má prístup konfigurácia zabezpečenia v hlavnom"" kolekcie lokality a neuvedomujú, že to nebude automaticky pracovať pre moje stránky.

Spoločne žijú vnútri väčšej nádoby kolekcie lokalít, čo je webová aplikácia. Správcovia farmy môžete nakonfigurovať zabezpečenie na úrovni webovej aplikácie, a to je, ako správcovia mohli prideliť prístup na všetky kolekcie lokalít vo webovej aplikácii. Tento blog vstupe opisuje jeden z mojej osobnej skúsenosti s web aplikácia politiky. Som náhodou definovaný politika webovej aplikácie: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Webová aplikácia politiky môžu byť nebezpečné a navrhujem, že byť používaná striedmo. Keby admin (a vďaka Bohu nie som), By som vytvoriť samostatnú reklamu účet s názvom niečo ako "Web App správcu lokality SharePoint" a že jeden účet rolu zabezpečenia aplikácie web, je potrebné. By nakonfigurovať tento druh vec pre pravidelné farmy admin alebo jednotlivé lokality kolekcia adminy. Budú to tendenciu skryť potenciálne problémy, pretože web app úlohu prepíše akékoľvek nižšiu úroveň zabezpečenia nastavenia.

</koniec>

Vyberajte môj blog.

Nasledujte ma na stebėtų na http://www.twitter.com/pagalvin

AKTUALIZÁCIA (02/29/08): Tento nový projekt codeplex zdá sa poskytuje metódu pre zabezpečenie jednotlivých stĺpcov: http://www.codeplex.com/SPListDisplaySetting. Ak máte akékoľvek skúsenosti s prácou s ním, Prosím, zanechajte komentár.

Fórum plagáty často opýtať, ako to: "Mám zobrazenie správcu a a personál názor zoznamu. Ako urobiť zabezpečiť zobrazenie pre manažéra, tak, že zamestnanci môžu používať?"

Oni tiež často opýtať súvisiace: "Chcem zabezpečiť špecifické metadáta stĺpca tak, aby len správcovia môžu upravovať stĺpca iní možno nie je ani vidieť."

Tieto odpovede sa vzťahujú na obe WSS 3.0 a MACHU:

• SharePoint nepodporuje out-of--box pre zabezpečenie zobrazení.
• SharePoint nepodporuje out-of--box pre bezpečnosť stĺpce.

Existuje niekoľko techník jeden môžete sledovať splniť tieto druhy bezpečnostných požiadaviek. Tu je, čo si myslíte o:

• Použiť zabezpečenie na úrovni položky mimo box. Názory vždy česť položka úroveň zabezpečenia konfigurácie. Prijímače udalostí alebo pracovného postupu môžete automatizovať priradenia zabezpečenia.
• Používať osobné zobrazenia pre "privilegované" zobrazení. Tieto sú dostatočne jednoduché nastavenie. Avšak, Vzhľadom na ich "osobnú" Príroda, Tieto sa musia byť nakonfigurované pre každého používateľa. Umožňuje zabrániť komukoľvek vytvoriť osobné zobrazenie konfigurácie štandardného zabezpečenia.
• Pomocou webová časť zobrazenia údajov a zaviesť nejaký druh AJAX zabezpečenia orezávanie riešenie.
• Roll svoj vlastný displej funkcie zoznamu a zahŕňajú bezpečnostné okresanie na úrovni stĺpca.
• Upravovať formuláre na zadávanie údajov a používať JavaScript v spojení s model zabezpečenia realizovať úrovni stĺpca bezpečnostné okresanie.
• Použitie formulára programu InfoPath pre zadávanie dát. Implementovať úrovni stĺpca bezpečnostné okresanie cez webovú službu volania SharePoint a podmienečne skryť polia podľa potreby.
• Roll svoj vlastný ASP.NET dáta vstupu funkcia, ktorá implementuje stĺpec úrovni bezpečnostné okresanie.

Žiadna z týchto možností sú naozaj skvelé, ale je tu aspoň na cestu nasledovať, ak potrebujete, aj keď je to ťažké.

POZNÁMKA: Ak pôjdete dole niektorý z týchto ciest, Nezabudnite o "akcie-> Otvoriť v programe Windows Prieskumník". Si chcete byť istí, že test s funkciou uistite sa, že to nefunguje ako "zadné vrátka" a poraziť svojho systému zabezpečenia.

Ak máte ďalšie nápady alebo skúsenosti s zabezpečenie stĺpce alebo zobrazení, prosím napíšte mi alebo zanechať komentár a budem aktualizovať tento názor podľa potreby.

</koniec>

Vyberajte môj blog.

AKTUALIZÁCIA: Som vyslaný túto otázku MSDN tu. (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) a Michael Washam Microsoft odpovedal stručnú odpoveď.

Som vytvoril webovú službu konať ako BDC-priateľské fasády do zoznamu lokality SharePoint. Keď som použil z môjho vývojové prostredie, fungovalo to dobre. Keď som sa sťahoval to na nový server, Som narazil na túto chybu:

Tu je riadok 69:

pomocou (SPSite stránky = nové SPSite("http://localhost/sandbox"))

Skúšal som rôzne variácie na URL, vrátane použitia skutočný názov servera, svoju IP adresu, lomítka na URL, atď. Vždy som dostal túto chybu.

Použil som Google do výskumu. Veľa ľudí čelia tomuto problému, alebo varianty, ale nikto sa zdalo, že to vyriešil.

Hravé mech poskytuje podrobné chyba, že nenapadlo mi skontrolovať 12 úľ denníky. Nakoniec, o 24 hodín po môj kolega odporúča sa urobiť, tak, Overil som si 12 úľ denníka a našiel toto:

Pri pokuse získať miestnej farme sa vyskytla výnimka:
System.Security.SecurityException: Požadované prístup k registru nie je povolený.
v System.ThrowHelper.ThrowSecurityException(ExceptionResource prostriedok) v Microsoft.Win32.RegistryKey.OpenSubKey(Názov reťazca, Boolovská hodnota zapisovateľný) v Microsoft.Win32.RegistryKey.OpenSubKey(Názov reťazca) v Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() v Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() v Microsoft.SharePoint.Administration.SPFarm.FindLocal(Farmu SP& farma, Boolovská hodnota& isJoined)
Zóna zhromaždenia, ktoré sa nepodarilo bola:  MyComputer

Tým sa otvorili nové možnosti výskumu, tak to bolo späť na Google. To ma viedlo k tomuto príspevky vo fóre: http://forums.codecharge.com/posts.php?post_id = 67135. Že ani naozaj pomôcť me ale sa na začiatku, čo ma premýšľať, nebolo databázy alebo bezpečnostný problém. Na soldiered a Andrew Connell príspevok konečne naštartoval myslel, že som mali uistiť, že účet identita fondu aplikácií mal primeraný prístup k databáze. Myslel som, že to už urobil. Avšak, môj kolega išiel a dal app bazén identitu účet plný prístup k SQL.

Akonáhle urobila zmenu, všetko, čo začal pracovať.

Čo sa stalo potom je najlepšie vyjadrené ako Haiku báseň:

Problémy zvýšiť svoje ruky.
Swing a chýbať. skús znova.
Úspech! Ale ako? prečo?

Ona nechcela nechať veci takhle, radšej dať minimálne požadované povolenie (a pravdepodobne vzhľadom na písanie záznamu blogu; Porazil ju na punč, muhahahahaha!).

Ona odstránené po sebe idúce povolenia z app identitu účet fondu až do … tam bol už nie akéhokoľvek výslovného povolenia pre konto identitu fondu aplikácií vôbec. Webová služba aj naďalej fungovať v pohode.

Sme šli a restartoval servery. Všetko, čo naďalej funguje.

Takže, pre pripomenutie: dal app bazén identitu úplný prístup a potom vzal preč. Webovú službu začal pracovať a nikdy prestalo pracovať. Bizarné.

Ak niekto vie, prečo že by pracovali, Prosím, zanechajte komentár.

</koniec>

Som musel spĺňať bezpečnostné požiadavky pre formulár programu InfoPath dnes. V tejto situácii podniku, relatívne malý počet jedincov sú umožnené vytvoriť nový formulár programu InfoPath a oveľa širšie publikum sú povolené upravovať. (Toto je nový-prenájom na palubu formulár používa ľudské zdroje spustí tok činností).

Na splnenie tohto cieľa, Vytvoril som vytvoril dve nové úrovne povolení ("vytvoriť a aktualizovať" a "aktualizovať iba"), zlomil dedičnosti pre knižnicu formulárov a priradené povolenia na "vytvoriť, Aktualizácia" používateľ a samostatný "aktualizácia iba" používateľ. Všetkých mechanici pracoval, ale to sa ukázalo byť trochu viac zahŕňajúce, než som očakával. (Ak sa cítite trochu neisto na povolenia služby SharePoint, Pozrite sa na tento blog post). Požadované bezpečnostné konfigurácia úrovne povolenia nebolo zrejmé sadu granulovaného povolenia. Vytvoriť úrovne iba na aktualizáciu povolenia pre formulár programu InfoPath, Som urobil nasledujúce:

1. Vytvorenie novej úrovne povolení.
2. Upratať všetky možnosti.
3. Vybrané len nasledovné údaje od "Povolenia zoznamu":

• Upraviť položky
• Zobrazenie položiek
• Zobraziť stránky aplikácií

Výberom týchto volieb umožňuje užívateľovi aktualizovať formulár, ale nie ju vytvoriť.

Trik bol povoliť "Zobraziť stránky aplikácií". Nie je žiadne verbage na úroveň povolení, ktorá označuje, že má potrebný len na aktualizáciu formulárov programu InfoPath, ale ukázalo sa, že to je.

Vytvorenie a aktualizácia bola ešte zvláštnejšie. Sledoval som rovnaké kroky, 1 prostredníctvom 3 vyššie. Musel som pridať špeciálne stránky povolenie"" možnosť: "Použiť funkcie integrácie klientov". Znova, Popis tam nerobí to vyzerať, ako by malo byť povinné pre formulár programu InfoPath, ale je to.

</koniec>

AKTUALIZÁCIA 01/28/08: Tento projekt codeplex rieši tento problém: http://www.codeplex.com/AccessChecker. Osobne som nepoužil to, ale vyzerá to sľubne, ak to je problém musíte riešiť vo vašom prostredí.

AKTUALIZÁCIA 11/13/08: Joel Oleson napísal veľmi dobré miesto na širšiu problematiku bezpečnosti riadenia tu: http://www.sharepointjoel.com/Lists/Posts/Post.aspx?Zoznam = 0cd1a63d % 2D183c % 2D4fc2% 2 D 8320% 2Dba5369008acb&ID = 113. Odkazy na mnoho ďalších užitočných zdrojov.

Fórum užívateľov a klienti často opýtať pozdĺž týchto liniek: "Ako môžem vytvoriť zoznam všetkých používateľov s prístupom k lokalite" alebo "ako možno som automaticky upozorní všetci používatelia s prístupom do zoznamu o zmeny vykonané v zozname?"

Neexistuje žiadny out box riešenie pre tento. Ak si myslíte, že o tom na chvíľu, nie je ťažké pochopiť, prečo.

SharePoint bezpečnosť je veľmi flexibilné. Existujú najmenej štyri hlavné kategórie užívateľov:

• Anonymní používatelia.
• SharePoint používatelia a skupiny.
• Active Directory users.
• Overenie založené na formulároch (FBA) užívatelia.

Pružnosť znamená, že z hľadiska bezpečnosti, akejkoľvek danej lokality SharePoint bude dramaticky líšia od druhej. S cieľom vytvoriť zostavu programu access zoznam, je potrebné zistiť, ako je zabezpečené stránky, vyhľadávanie viacerých zdrojov OER profil iného používateľa a potom prezentovať užitočné spôsobom. To je ťažko problém vyriešiť druhovo.

Ako sú organizácie zaoberajú touto? Rád by som počuť od vás v komentároch alebo e-mailom.

</koniec>

AKTUALIZÁCIA 12/18/07: Paul Liebrand v článku niektoré technické dôsledky odstránenie alebo zmena predvolené názvy skupín (aj viď jeho komentár nižšie).

Prehľad:

SharePoint zabezpečenia je ľahko konfigurovať a spravovať. Avšak, to sa ukázala byť ťažké pre niektorí správcovia prvýkrát naozaj zalamovanie rukami okolo neho. Nielen, že, Videl som niektoré správcovia prísť na dokonalé pochopenie v pondelok len stratili to piatok, pretože nemali robiť všetky konfigurácie v intervenčnom období. (Priznám sa, že má tento problém sám). Tento blog vstupe dúfajme, že poskytuje užitočné primer zabezpečenia SharePoint a smeruje k niektoré konfigurácie bezpečnosť best practices.

Dôležitá poznámka:

Tento opis vychádza z krabice SharePoint zabezpečenia. Moja osobná skúsenosť je orientované okolo Mach, takže tam môže byť nejaké MOSS konkrétne veci tu, ale verím, že je to presné pre WSS. Dúfam, že niekto vidieť akékoľvek chyby alebo opomenutia bude bod, ktorý sa v komentároch alebo napíšte mi. Budem robiť opravy, miesto zhonu.

Základy:

Na účely tohto prehľadu, Existujú štyri základné aspekty bezpečnosti: používatelia a skupiny, objekty so zabezpečením, úrovne povolení a dedičnosť.

Používatelia a skupiny break nadol:

• Jednotliví používatelia: Vytiahol z aktívneho adresára alebo vytvorený priamo na lokalite SharePoint.
• Skupiny: Mapované priamo zo služby active directory alebo vytvorené v SharePoint. Skupiny sú zbierka užívateľov. Skupiny sú globálne v kolekcii lokalít. Oni sú nikdy "viazané" pre konkrétny objekt so zabezpečením.

Objekty so zabezpečením break nadol aspoň:

• Stránky
• Knižnice dokumentov
• Jednotlivé položky v zoznamoch a knižniciach dokumentov
• Priečinky
• Rôznych nastavení BDC.

Tam iných objekty so zabezpečením, ale dostanete obrázok.

Úrovne povolení: Zväzok zrnitý / nízka úroveň prístupových práv, ktoré patria také veci, ako vytvoriť, čítať alebo odstránenie položiek v zoznamoch.

Dedičnosť: V predvolenom nastavení subjekty dedí nastavenia zabezpečenia obsahujúci objekt. Podlokality dedia povolenia od svojej materskej spoločnosti. Dokumentov knižnice dedia z ich stránok. Tak ďalej a tak ďalej.

Používatelia a skupiny súvisia so zabezpečením objektov pomocou úrovní povolení a dedičnosť.

Najdôležitejšie bezpečnostné pravidlá pochopiť, Vždy 🙂 :

1. Skupiny sú jednoducho kolekcie užívateľov.
2. Skupiny sú globálnych v rámci kolekcie lokality (tj. neexistuje žiadna taká vec ako skupina definované na úrovni lokality).
3. Názov skupiny nie odolávať, skupiny nie, v meste a na seba, mať žiadnu konkrétnu výšku zabezpečenia.
4. Skupiny majú zabezpečenia v kontexte konkrétnemu objektu.
5. Môžete priradiť rôzne úrovne povolení do tej istej skupiny pre každý objekt so zabezpečením.
6. Webová aplikácia politiky tromf všetkých týchto (Pozri nižšie).

Administrátori pre zabezpečenie stratený v mori užívateľov a skupín užívateľov výpisy môže vždy spoľahnúť na tieto axiómy riadiť a pochopiť ich konfigurácia zabezpečenia.

Spoločnej úskalia:

• Názvy skupín falošne znamenať povolenie: Po vybalení z krabice, SharePoint definuje množinu skupín, ktorých mená znamenajú vlastné úrovne zabezpečenia. Zvážte skupiny "Prispievateľ". Jeden oboznámení s SharePoint zabezpečenia môže dobre pozrite sa na tento názov a predpokladať, že každý člen tejto skupiny "prispieť" k akejkoľvek lokality / / knižnica zoznamov na portáli. To môže byť pravda, ale nie preto, že názov skupiny sa stáva "prispievateľ". To je pravda len z krabice pretože skupina poskytuje úrovne povolení, ktorá im umožní pridať/editovať/mazať obsah v koreňovej lokality. Dedením, "prispievatelia" skupiny môžu tiež pridať/editovať/mazať obsah v každom sub-stránky. Jeden môže "zlomiť" dedičnosť reťazec a zmeniť úrovne povolení sub-stránky takýchto že členom tak-zvané "prispievateľa" skupina nemôže prispieť vôbec, ale iba čítať (napríklad). To by nebolo dobrý nápad, Samozrejme, Vzhľadom k tomu, že by bolo veľmi mätúce.
• Skupiny nie sú definované na úrovni lokality. Je ľahké byť zmätení používateľského rozhrania. Microsoft poskytuje pohodlné prepojenie používateľ alebo skupina riadenia prostredníctvom každej lokalite "ľudí a skupín" odkaz. Je ľahké sa domnievať, že keď som na mieste "minového" vytvoriť skupinu cez xyzzy minového na ľudí a skupiny odkaz, ktorý ste práve vytvorili skupinu, ktorá existuje iba na xyzzy minového. To nie je prípad. Vlastne ste vytvorili skupinu pre celú miesto zberu.
• Členstvo v skupinách nelíšila od lokality (tj. je to rovnaké všade skupine sa používa): Zvážte skupiny "vlastník" a dve stránky, "HR" a "Logistických". To by bolo normálne myslieť, že dva samostatné jednotlivcov by vlastné tieto stránky — majiteľom HR a majiteľ logistiky. Používateľské rozhranie uľahčuje zabezpečenia správcu, aby ste nezaobchádzali tento scenár. Ak nevedel lepšie, Možno prístup ľudí a skupín odkazov cez stránku HR, Vyberte "majitelia" skupiny a do skupiny pridať môj HR vlastník. O mesiac neskôr, Logistika prichádza na linke. Aj prístup ľudí a skupiny na lokalite logistiky, Pridať vytiahnuť majiteľa"" skupina. Pozri majiteľ HR a odstráňte ju, myslel, že som odstrániť ju od vlastníkov lokality logistiky. v skutočnosti, Som odstránenie ju z globálnej majitelia skupiny. Veselí vyplýva.
• Tým, že názov skupiny založené na špecifickú úlohu: "Schvaľovateľov" skupina je dokonalým príkladom. Čo môžu členovia tejto skupiny schváliť? Kde sa schváliť? Naozaj chcem ľudí logistické oddelenie môcť schváliť HR dokumenty? Samozrejme nie. Vždy názov skupiny na základe ich úlohu v rámci organizácie. Tým sa zníži riziko, že skupina priradenú úroveň nevhodné povolenia pre konkrétny objekt so zabezpečením. Názov skupiny na základe ich plánované úlohy. V predchádzajúcom scenári HR/logistika, By sa vytvoriť dve nové skupiny: "Majitelia HR" a "majitelia logistiky" a priradiť rozumné úrovne pre každý a minimálne množstvo požadované pre tých užívateľov, robiť svoju prácu.

Ďalšie užitočné odkazy:

• Webová aplikácia politiky gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Stredisko zabezpečenia služby SharePoint: http://www.sharepointsecurity.com/
• Odkazy od Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Ak ste urobil ste to tak ďaleko:

Prosím, dajte mi vedieť vaše myšlienky prostredníctvom komentáre, alebo mi email. Ak poznáte iné dobré referencie, Urobte to isté!