โปรแกรมปรับปรุง 11/03/08: ได้อ่านข้อคิดเห็นดี และรายละเอียดจาก Dessie Lunsford การลงรายการบัญชีนี้.

ฉันได้ทำงานในโครงการแก้ไขเทคนิคลับในการจองขึ้นมา และจะอ้างอิง รายการบล็อกนี้ โดยไทเลอร์คนในบล็อก MSDN ECM. นี่เป็นครั้งแรกที่ตัวอ่านคำนิยามที่ชัดเจนของความหมายของการเข้าถึงที่จำกัด. นี่คือเนื้อของคำนิยาม:

ใน SharePoint, ผู้ใช้ที่ไม่ระบุชื่อ’ สิทธิ์จะถูกกำหนด โดยระดับสิทธิ์การเข้าถึงที่จำกัด. จำกัดการเข้าถึงเป็นสิทธิพิเศษที่ไม่สามารถกำหนดผู้ใช้ หรือกลุ่มโดยตรง. เหตุผลที่มีอยู่เป็น เพราะถ้าคุณมีไลบรารีหรือไซต์ย่อย ที่มีเสียสืบทอดสิทธิ์, และคุณให้ถึงกลุ่มผู้ใช้เฉพาะที่ไลบรารี/ย่อย, เมื่อต้องดูเนื้อหา, ผู้ใช้/กลุ่มต้องเข้าถึงบางเว็บราก. มิฉะนั้น ผู้ใช้/กลุ่มจะสามารถเรียกดูไลบรารี/ย่อย, ถึงแม้ว่าพวกเขามีสิทธิมี, เนื่องจากมีสิ่งในเว็บรากที่ต้องทำเว็บไซต์หรือไลบรารี. ดังนั้น, เมื่อคุณให้สิทธิ์กลุ่มเฉพาะกับไซต์ย่อยหรือไลบรารีที่จะทำลายการสืบทอดสิทธิ์, SharePoint โดยอัตโนมัติให้เข้าไปที่กลุ่มผู้ใช้ในเว็บราก.

คำถามนี้มาถึงตอนนี้แล้วในฟอรั่ม MSDN และฉันได้รับเสมออยากรู้อยากเห็น (แต่ไม่อยากรู้อยากเห็นพอจะคิดออกก่อนวันนี้ :)).

</สิ้นสุด>

สมัครสมาชิกไปยังบล็อกของฉัน.

ทำตามฉันใน Twitter ที่ http://www.twitter.com/pagalvin

ในเครื่องหมายที่สังคมคอมพิวเตอร์เริ่มถอดเสื้อกับ SharePoint, เห็นคำถามชนิดของไซต์ของฉันที่เพิ่มขึ้นจำนวน. หนึ่งคำถามทั่วไปบางอย่างเช่นนี้:

"ฉันดูแล และต้องสามารถเข้าถึงทุกเว็บไซต์ของฉัน. วิธีทำทำเช่นนั้น?"

เคล็ดลับที่นี่คือแต่ละไซต์ของฉัน ไซต์คอลเลกชันของตัวเอง. โดยปกติจัดการความปลอดภัยของ SharePoint ที่ระดับไซต์คอลเลกชัน และนี้ทริค่าหลายผู้ดูแล SharePoint. โดยปกติ, เธอได้เข้าถึงการตั้งค่าคอนฟิกความปลอดภัยหลัก"แล้ว" ไซต์คอลเลกชัน และอาจไม่ทราบว่า นี้ไม่ทำโดยอัตโนมัติงานสำหรับไซต์ของฉัน.

ไซต์คอลเลกชันโดยรวมอยู่ภายในภาชนะขนาดใหญ่, ซึ่งเป็นแอพลิเคชันเว็บ. ผู้ดูแลระบบฟาร์มสามารถสามารถกำหนดค่าความปลอดภัยระดับโปรแกรมประยุกต์เว็บ และนี่คือวิธีผู้ดูแลระบบสามารถอนุญาตให้ตัวเองเข้าถึงไซต์คอลเลกชันใด ๆ ในโปรแกรมประยุกต์เว็บ. รายการบล็อกนี้อธิบายถึงประสบการณ์ส่วนตัวกับเว็บแอพลิเคชันอย่างใดอย่างหนึ่ง. ฉันกำหนดนโยบายเว็บแอพลิเคชัน โดยบังเอิญ: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

เว็บแอพลิเคชันนโยบายอาจเป็นอันตราย และคำแนะนำว่า ให้ใช้เท่าที่จำเป็น. ถ้าผมเป็น admin (และขอบคุณ พระเจ้า ผมไม่), ฉันจะสร้างบัญชี AD แยกชื่อเหมือน "Web App ดูแล SharePoint" และให้ security role แอพลิเคชันเว็บก็บัญชีที่หนึ่ง. ฉันจะตั้งค่าคอนฟิกฟาร์มปกติ admin หรือผู้ดูแลระบบของคอลเลกชันไซต์แต่ละชนิดนี้. มันจะมักจะซ่อนปัญหาเนื่องจากบทบาท app เว็บแทนการตั้งค่าความปลอดภัยที่ระดับต่ำกว่า.

</สิ้นสุด>

สมัครสมาชิกไปยังบล็อกของฉัน.

ทำตามฉันใน Twitter ที่ http://www.twitter.com/pagalvin

โปรแกรมปรับปรุง (02/29/08): โครงการนี้ codeplex ใหม่น่าจะ ให้วิธีการรักษาความปลอดภัยในแต่ละคอลัมน์: http://www.codeplex.com/SPListDisplaySetting. ถ้าคุณมีประสบการณ์ทำงานกับมัน, กรุณาฝากความคิดเห็น.

ฟอรั่มโปสเตอร์มักถามคำถามดังนี้: "ฉันมีมุมมองผู้จัดการ และพนักงานมุมมองของรายการและ. วิธีทำฉันจองมองผู้จัดการเพื่อให้พนักงานสามารถใช้หรือไม่?"

พวกเขามักจะถามคำถามที่เกี่ยวข้อง: "อยากจะจองคอลัมน์เฉพาะ metadata เพื่อให้เฉพาะผู้จัดการอาจแก้ไขคอลัมน์ในขณะที่คนอื่นอาจมองไม่เห็นตัวมัน"

คำตอบเหล่านี้กับทั้ง WSS 3.0 และมอ:

• SharePoint ให้การสนับสนุนออกกล่องสำหรับมุมมองการรักษาความปลอดภัย.
• SharePoint ให้การสนับสนุนออกกล่องสำหรับคอลัมน์ความปลอดภัย.

มีหลายเทคนิคหนึ่งที่สามารถทำตามเพื่อตอบสนองความต้องการความปลอดภัยต่าง ๆ เหล่านี้. นี่คือสิ่งที่ผมสามารถคิดได้:

• ใช้ความปลอดภัยระดับสินค้าออกของกล่อง. มุมมองเสมอเกียรติความปลอดภัยระดับโครง. ตัวรับเหตุการณ์หรือลำดับงานสามารถทำการกำหนดความปลอดภัย.
• ใช้มุมมองส่วนบุคคล "ได้รับสิทธิพิเศษ" มุมมอง. เหล่านี้เป็นที่ตั้งที่ง่าย. อย่างไรก็ตาม, เนื่องจากตัวบุคคล"" ธรรมชาติ, ต้องการกำหนดค่าสำหรับแต่ละผู้ใช้. ใช้กำหนดค่ามาตรฐานความปลอดภัยเพื่อป้องกันผู้อื่นจากการสร้างมุมมองส่วนบุคคล.
• ใช้ web part มุมมองข้อมูล และใช้บางชนิดของระบบความปลอดภัย AJAXy ตัดแต่ง.
• ม้วนรายการงานของคุณเอง และรวมตัดแต่งความปลอดภัยในระดับคอลัมน์.
• ปรับเปลี่ยนฟอร์มป้อนข้อมูล และใช้ JavaScript ร่วมกับรูปแบบการรักษาความปลอดภัยที่สามารถตัดแต่งความปลอดภัยระดับคอลัมน์.
• ใช้แบบฟอร์มการ InfoPath สำหรับป้อนข้อมูล. ใช้ตัดแต่งความปลอดภัยระดับคอลัมน์ผ่านเรียกบริการเว็บ SharePoint และใส่ซ่อนฟิลด์ตามความจำเป็นที่.
• ม้วนฟังก์ชันรายการของข้อมูล ASP.NET ที่ใช้ตัดแต่งความปลอดภัยระดับคอลัมน์.

ตัวเลือกเหล่านั้นไม่มีจริง ๆ ที่ดี, แต่มีน้อยเส้นทางตามถ้าคุณต้องการ, แม้มันจะยาก.

หมายเหตุ: ถ้าคุณไปลงของเส้นทางเหล่านี้, อย่าลืม "การดำเนินการ-> เปิด ด้วย Windows Explorer". คุณต้องให้แน่ใจว่าคุณทดสอบคุณลักษณะที่เพื่อให้แน่ใจว่า มันไม่ทำงานเป็นประตูหลัง"" และกำจัดแผนความปลอดภัยของคุณ.

ถ้าคุณคิดหรือประสบการณ์รักษาความปลอดภัยคอลัมน์หรือมุมมองอื่น ๆ, กรุณา อีเมล์ผม หรือความคิดเห็น และฉันจะปรับปรุงการลงรายการบัญชีนี้ตามความเหมาะสม.

</สิ้นสุด>

สมัครสมาชิกไปยังบล็อกของฉัน.

โปรแกรมปรับปรุง: ลงฉันรายการคำถามนี้ MSDN ที่นี่ (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) และ Michael Washam ของ Microsoft ตอบ ด้วยคำตอบที่กระชับ.

สร้างบริการเว็บเป็นการ ซุ้ม BDC เอื้อเฟื้อ ไปยังรายการ SharePoint. เมื่อฉันใช้นี้จากสภาพแวดล้อมการพัฒนาของฉัน, ทำงานดี. เมื่อฉันย้ายนี้ไปยังเซิร์ฟเวอร์ใหม่, ฉันพบข้อผิดพลาดนี้:

นี่คือรายการ 69:

โดยใช้ (SPSite ไซต์ = SPSite ใหม่("http://localhost/sandbox"))

พยายามรูปแบบต่าง ๆ บน URL, รวมทั้งการใช้ชื่อจริงของเซิร์ฟเวอร์, อยู่ IP, เครื่องหมายทับต่อท้ายใน URL, ฯลฯ. จะมีข้อผิดพลาดที่.

ผมใช้ Google การวิจัยเรื่อง. หลายคนประสบปัญหานี้, หรือรูปแบบของมัน, แต่ไม่มีใครดูเหมือนจะแก้ไขได้.

มอ tricksy ให้ดังกล่าวเป็นรายละเอียดข้อผิดพลาดที่มันไม่ได้เกิดขึ้นให้ตรวจสอบการ 12 บันทึกกลุ่ม. ในที่สุด, เกี่ยวกับการ 24 ชั่วโมงหลังจาก เพื่อนร่วมงานของฉัน แนะนำให้ทำเช่นนั้น, ฉันได้ตรวจสอบออกแบบ 12 กลุ่มล็อก และพบ:

ข้อยกเว้นเกิดขึ้นขณะพยายามที่จะซื้อฟาร์มในท้องถิ่น:
System.Security.SecurityException: ไม่อนุญาตการเข้าถึงรีจิสทรีที่ร้องขอ.
ที่ System.ThrowHelper.ThrowSecurityException(ทรัพยากร ExceptionResource) ที่ Microsoft.Win32.RegistryKey.OpenSubKey(ชื่อสาย, บูลีนเขียน) ที่ Microsoft.Win32.RegistryKey.OpenSubKey(ชื่อสาย) ที่ Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() ที่ Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() ที่ Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& ฟาร์ม, บูลีน& isJoined)
โซนของแอสเซมบลีที่ล้มเหลวได้:  MyComputer

นี้เปิด avenues ใหม่ของการวิจัย, ดังนั้น ก็ไป Google. ที่นำฉันไป โพสต์ฟอรั่ม: http://forums.codecharge.com/posts.php?post_id = 67135. ที่ไม่ได้จริง ๆ ช่วยฉัน แต่มันเริ่มทำให้ฉันคิดว่า มีปัญหาฐานข้อมูลและ/หรือความปลอดภัย. ฉัน soldiered บน และ แอนดรู Connell ลงทริกเกอร์จนคิดว่า ฉันควรแน่ใจว่า บัญชีรหัสประจำตัวของพูลโปรแกรมประยุกต์มีราคาที่เหมาะสมเข้าถึงฐานข้อมูล. ฉันคิดว่า มันไม่ได้แล้ว. อย่างไรก็ตาม, เพื่อนร่วมงานของฉันไป และ app ตัวบัญชีเต็มรูปแบบสระให้ SQL.

ทันทีที่เธอทำที่การเปลี่ยนแปลง, ทุกอย่างเริ่มต้นทำงาน.

ต่อไปอะไรเกิดขึ้นสุดแสดงในรูป ไฮกู บทกวี:

ปัญหายกมือของพวกเขา.
คุณสวิงและนางสาว. ลองอีกครั้ง.
ความสำเร็จ! แต่วิธี? ทำไม?

เธอไม่ต้องการปล่อยให้สิ่งเดียวเช่นนั้น, ท่านที่ต้องการให้สิทธิ์ที่จำเป็นต่ำสุด (และอาจ คัดสรรเขียนรายการบล็อก; ฉันชนะเธอจะหมัด, muhahahahaha!).

เธอเอาสิทธิ์ต่อจากบัญชีประจำสระ app จน … มีไม่มีสิทธิ์ใด ๆ ชัดเจนสำหรับบัญชีประจำสระ app เลย. การบริการเว็บที่ยังคงทำงานเพียงแค่ปรับ.

เราไป และเริ่มระบบใหม่เซิร์ฟเวอร์. ทุกอย่างยังคงทำงานดี.

ดังนั้น, การปะยางรถ: เราให้ app ตัวเต็มสระแล้ว เอาไป. บริการเว็บเริ่มต้นการทำงาน และไม่เคยหยุดทำงาน. แปลกประหลาด.

ถ้าใครรู้เหตุที่ควรมีการทำงาน, กรุณาฝากความคิดเห็น.

</สิ้นสุด>

ฉันต้องการความปลอดภัยสำหรับฟอร์ม InfoPath วันนี้. ในสถานการณ์ทางธุรกิจนี้, ตัวเลขค่อนข้างเล็กของบุคคลที่ได้รับอนุญาตให้สร้างฟอร์ม InfoPath ใหม่ และผู้ชมกว้างมากสามารถแก้ไขได้. (นี่คือการจ้างงานใหม่บนประจำฟอร์มใช้ โดยทรัพยากรมนุษย์ที่เปิดเวิร์กโฟลว์).

เพื่อตอบสนองวัตถุประสงค์นั้น, สร้างสร้างสองใหม่ระดับของสิทธิ์ ("สร้าง และปรับปรุง" และ "ปรับปรุงเท่านั้น"), ยากจนสืบทอดสำหรับไลบรารีแบบฟอร์ม และกำหนดสิทธิ์ในการ "สร้าง, การปรับปรุง" ผู้ใช้และการแยก "ปรับปรุงเท่านั้น" ผู้ใช้. กลไกทั้งหมดที่ทำงาน, แต่มันกลายเป็นเกี่ยวข้องน้อยกว่า. (ถ้าคุณรู้สึกว่าเสียงสั่นเล็กน้อยบน SharePoint สิทธิ์, ตรวจสอบบทความบล็อกนี้). การกำหนดค่าความปลอดภัยที่จำเป็นสำหรับระดับสิทธิ์ไม่สิทธิ์เม็ดชุดชัดเจน. สร้างระดับการปรับปรุงเฉพาะสิทธิ์สำหรับฟอร์ม InfoPath, ค่ะต่อไปนี้:

1. สร้างระดับสิทธิ์ใหม่.
2. ล้างเก็บตัวเลือกทั้งหมด.
3. เลือกเฉพาะต่อไปนี้จาก "อนุญาตรายการ":

• แก้ไขรายการ
• ดูสินค้า
• ดูแอพลิเคชันหน้า

เลือกตัวเลือกเหล่านี้ช่วยให้ผู้ใช้สามารถปรับปรุงฟอร์ม, แต่ไม่สร้าง.

เคล็ดลับคือการ เปิดใช้งาน "หน้าดูแอพลิเคชัน". ไม่มี verbage ใด ๆ ในระดับสิทธิ์ที่แสดงว่า การปรับปรุงเฉพาะฟอร์ม InfoPath, แต่เปิดออกได้.

สร้าง--การปรับปรุง และถูกคนแปลกหน้าได้. ผมทำตามขั้นตอนเดียว, 1 ผ่าน 3 ข้างต้น. ผมจะเพิ่มสิทธิ์เว็บไซต์"โดยเฉพาะ" ตัวเลือก: "ใช้คุณลักษณะการรวมของไคลเอ็นต์". อีกครั้ง, มีคำอธิบายไม่ได้เหมือนมันควรจะเป็นสำหรับฟอร์ม InfoPath, แต่มี.

</สิ้นสุด>

โปรแกรมปรับปรุง 01/28/08: โครงการนี้ codeplex จัดการปัญหานี้: http://www.codeplex.com/AccessChecker. ฉันได้ใช้มัน, แต่มีลักษณะสัญญาถ้าเป็นปัญหาคุณจำเป็นต้องอยู่ในสภาพแวดล้อมของคุณ.

โปรแกรมปรับปรุง 11/13/08: Joel Oleson wrote ขึ้นประกาศในดีมากบนขนาดใหญ่รักษาความปลอดภัยการจัดการปัญหานี่: http://www.sharepointjoel.com/Lists/Posts/Post.aspx?รายการ = 0cd1a63d % 2D183c % 2D4fc2% 2 D 8320% 2Dba5369008acb&ID = 113. เชื่อมโยงกับหมายเลขทรัพยากรที่มีประโยชน์อื่น ๆ.

ผู้ใช้ forum และลูกค้ามักจะถามคำถามตามแนวเส้นเหล่านี้: "วิธีทำฉันสร้างรายชื่อของผู้ใช้ทั้งหมดมีการเข้าถึงไปยังไซต์" หรือ "วิธีสามารถฉันโดยอัตโนมัติเตือนผู้ใช้ทุกคนเข้าถึงรายการที่เกี่ยวกับการเปลี่ยนแปลงที่เกิดขึ้นในรายการ?"

มีไม่ออกของการแก้ปัญหากล่องนี้. หากคุณคิดเกี่ยวกับมันเลย, ไม่ยากที่จะเข้าใจเหตุผล.

ความปลอดภัยของ SharePoint มีความยืดหยุ่นมาก. มีอย่างน้อยสี่ประเภทที่สำคัญของผู้ใช้:

• ผู้ใช้ที่ไม่ระบุชื่อ.
• ผู้ใช้ของ SharePoint และกลุ่ม.
• ผู้ใช้ไดเรกทอรีที่ใช้งานอยู่.
• แบบฟอร์มโดยใช้การรับรองความถูกต้อง (FBA) ผู้ใช้.

ความคล่องตัวหมายความ ว่า จากมุมมองด้านความปลอดภัย, ไซต์ SharePoint กำหนดจะแตกต่างจากที่อื่นอย่าง. เพื่อสร้างรายงานรายการการเข้าถึง, หนึ่งต้องการสำรวจวิธีที่ไซต์การรักษาความปลอดภัย, สอบถามเก็บข้อมูลของโพรไฟล์ผู้ใช้ที่แตกต่างกันหลาย และปัจจุบันในประโยชน์. มีปัญหาหนักเพื่อแก้ปัญหาโดยทั่วไปใน.

อย่างไรเป็นองค์กรจัดการกับนี้? ฉันอยากได้ยินจากคุณในข้อคิดเห็น หรือ อีเมล.

</สิ้นสุด>

โปรแกรมปรับปรุง 12/18/07: ดูบทความของ Paul Liebrand สำหรับผลทางด้านเทคนิคบางอย่างของเอาออก หรือปรับเปลี่ยนชื่อกลุ่มเป็นค่าเริ่มต้น (ดูความคิดเห็นของเขาด้านล่างเช่นกัน).

ภาพรวม:

ความปลอดภัยของ SharePoint จะง่ายต่อการตั้งค่าคอนฟิก และจัดการ. อย่างไรก็ตาม, มันได้พิสูจน์ให้เป็นเรื่องยากสำหรับผู้ดูแลบางครั้งแรกจริง ๆ ห่อมือรอบ ๆ. ไม่เฉพาะที่, ฉันได้เห็นผู้ดูแลมาเข้าใจสมบูรณ์วันจันทร์จะได้หายไปได้ภายในวันศุกร์เนื่องจากมีการกำหนดค่าใด ๆ ในเวลาอยู่ระหว่างกลาง. (ข้าพเจ้ายอมรับว่า มีปัญหานี้เอง). รายการบล็อกนี้ช่วยให้รองพื้นรักษาความปลอดภัยของ SharePoint มีประโยชน์ และหวังว่าชี้ไปทางบางความปลอดภัยกำหนดแนวทางปฏิบัติ.

หมายเหตุสำคัญ:

คำอธิบายนี้จะขึ้นอยู่กับความปลอดภัยของ SharePoint กล่อง. ประสบการณ์ส่วนตัวเป็นจุดเด่นมอดังนั้นอาจมีบางมอเฉพาะสิ่งที่นี่, แต่ผมเชื่อว่า มันถูกต้องสำหรับ WSS. หวังว่า ทุกคนที่เห็นข้อผิดพลาดหรือการละเว้นใด ๆ จะชี้ที่ออกในข้อคิดเห็น หรือ อีเมล์ผม. ผมจะทำการแก้ไขรีบลง.

ข้อมูลพื้นฐานของเดสก์ท็อป:

สำหรับวัตถุประสงค์ในภาพรวมนี้, มีลักษณะพื้นฐาน 4 การรักษาความปลอดภัย: กลุ่มผู้ใช้, วัตถุที่กำหนดสิทธิ์ได้, ระดับสิทธิ์และสืบทอด.

ผู้ใช้และกลุ่ม ทำลายลงไป:

• แต่ละคน: ดึงจากที่ใช้งานอยู่ไดเรกทอรี หรือสร้างขึ้นโดยตรงใน SharePoint.
• กลุ่ม: แมปโดยตรงจากไดเรกทอรีที่ใช้งานอยู่ หรือสร้างใน SharePoint. กลุ่มคือ กลุ่มของผู้ใช้. กลุ่มที่เป็นส่วนกลางในไซต์คอลเลกชัน. พวกเขาจะไม่ "ผูก" วัตถุที่กำหนดสิทธิ์ได้เฉพาะ.

วัตถุที่กำหนดสิทธิ์ได้ ทำลายลงไปน้อย:

• เว็บไซต์
• ไลบรารีเอกสาร
• สินค้าแต่ละรายการในรายการและไลบรารีเอกสาร
• โฟลเดอร์
• การตั้งค่าต่าง ๆ ของ BDC.

มีวัตถุอื่น ๆ ที่กำหนดสิทธิ์ได้, แต่คุณได้รับรูปภาพ.

ระดับของสิทธิ์: Granular / สิทธิการเข้าถึงระดับต่ำสุดที่รวมสิ่งต่าง ๆ เช่นสร้าง/อ่าน/ลบรายการในรายการ.

สืบทอด: โดยเอนทิตีเริ่มต้นสืบทอดการตั้งค่าความปลอดภัยจากวัตถุที่มีความ. ไซต์ย่อยสืบทอดสิทธิ์จากวัตถุแม่ของพวกเขา. ไลบรารีเอกสารสืบทอดมาจากเว็บไซต์ของพวกเขา. อื่น ๆ และอื่น ๆ.

ผู้ใช้และกลุ่มที่เกี่ยวข้องกับวัตถุที่กำหนดสิทธิ์ได้ผ่านระดับสิทธิ์และสืบทอด.

กฎความปลอดภัยสำคัญที่สุดที่จะเข้าใจ, เคย🙂 :

1. กลุ่มเป็นเพียงคอลเลกชันของผู้ใช้.
2. กลุ่มเป็นส่วนกลางในไซต์คอลเลกชัน (อาทิ. ไม่มีสิ่งดังกล่าวเป็นกลุ่มที่กำหนดไว้ในระดับไซต์).
3. ชื่อกลุ่มไม่ซิ, กลุ่มไม่, ใน และ ของตัวเอง, มีความปลอดภัยในระดับใด ๆ โดยเฉพาะ.
4. กลุ่มมีความปลอดภัยในบริบทของวัตถุกำหนดสิทธิ์ได้.
5. คุณอาจกำหนดระดับของสิทธิ์ที่แตกต่างกันในกลุ่มเดียวกันสำหรับทุกวัตถุที่กำหนดสิทธิ์ได้.
6. เว็บแอพลิเคชันนโยบายทรัมพ์ทั้งหมดนี้ (ดูด้านล่าง).

หายไปในทะเลของรายการและกลุ่มผู้ใช้ผู้ดูแลระบบความปลอดภัยสามารถไว้ในสัจพจน์เหล่านี้เพื่อจัดการ และเข้าใจการตั้งค่าคอนฟิกความปลอดภัย.

ข้อผิดพลาดทั่วไป:

• ชื่อกลุ่มแอบเป็นสิทธิ์แบบสิทธิ์: กล่อง, SharePoint กำหนดชุดของกลุ่มชื่อเป็นสิทธิ์แบบมีความปลอดภัยโดยธรรมชาติ. พิจารณากลุ่ม "ผู้สนับสนุน". ไม่คุ้นเคยกับความปลอดภัยของ SharePoint อาจดีดูชื่อ และคิดว่า สมาชิกของกลุ่มที่สามารถ "มีส่วนร่วม" ทุกไซต์/รายการ/ไลบรารีในเว็บไซต์. ที่อาจเป็นจริงแต่ไม่ได้ เพราะชื่อของกลุ่มเกิดขึ้น เป็น "ผู้สนับสนุน". ก็เฉพาะกล่องเนื่องจากกลุ่มมีการให้ระดับของสิทธิ์ที่ช่วยให้พวกเขาสามารถเพิ่ม/แก้ไข/ลบเนื้อหาที่ไซต์ราก. ผ่านการสืบทอด, ที่ "ผู้ให้การสนับสนุน" กลุ่มอาจจะเพิ่ม/แก้ไข/ลบเนื้อหาที่แต่ละไซต์ย่อย. หนึ่งสามารถ "แบ่ง" สายสืบทอดและเปลี่ยนระดับสิทธิ์ของย่อยไซต์ดังกล่าวให้สมาชิกที่เรียกว่า "ผู้สนับสนุน" กลุ่มไม่สนับสนุนเลย, แต่อ่าน (ตัวอย่างเช่น). นี้จะไม่เป็นความคิดที่ดี, เห็นได้ชัด, เนื่องจากมันจะสับสนมาก.
• ไม่มีกำหนดกลุ่มที่ระดับไซต์. มีอินเทอร์เฟซผู้ใช้สับสน. Microsoft ให้การเชื่อมโยงที่สะดวกเพื่อการบริหารจัดการกลุ่มผู้ใช้ผ่านทางเว็บไซต์ทุก "คนและกลุ่ม" การเชื่อมโยง. ง่ายให้เชื่อได้ว่าเมื่อฉันที่เว็บไซต์ "xyzzy" ผมสร้างกลุ่มผ่านคนของ xyzzy และกลุ่มเชื่อมโยงที่ฉันเพิ่งได้สร้างกลุ่มที่มีอยู่ที่ xyzzy. เป็นกรณีไม่. เราได้สร้างกลุ่มสำหรับไซต์ทั้งหมดจริง.
• สมาชิกกลุ่มไม่แตกต่างกันไปตามไซต์ (อาทิ. มันจะเหมือนกันทุกที่กลุ่มนี้จะใช้): พิจารณากลุ่มคำ "เจ้า" และสองไซต์, "HR" และ "โลจิสติกส์". มันจะปกติคิดว่า บุคคลสองแยกจะเป็นเจ้าของเว็บไซต์เหล่านั้น — เจ้าของ HR และเจ้าของโลจิสติกส์. อินเทอร์เฟซสำหรับผู้ใช้ทำให้ง่ายสำหรับผู้ดูแลระบบรักษาความปลอดภัยเพื่อ mishandle สถานการณ์นี้. ถ้าฉันไม่ได้รู้ดี, ฉันเข้าถึงการเชื่อมโยงคนและกลุ่มผ่านไซต์ HR, เลือกเจ้าของ"" กลุ่ม และเพิ่มเจ้าของฉันชั่วโมงกลุ่ม. หนึ่งเดือนต่อมา, โลจิสติกส์ที่มาบนบรรทัด. ฉันเข้าถึงประชาชนและกลุ่มจากเว็บไซต์โลจิสติกส์, เพิ่มดึงขึ้นมาเจ้า"" กลุ่ม. ผมเห็นเจ้าของ HR มี และเอาเธอ, คิดว่า ผมกำลังเอาเธอจากเจ้าของเว็บไซต์โลจิสติกส์. อันที่จริง, ผมกำลังเอาเธอจากกลุ่มเจ้าของโลก. Hilarity การ์ตูน.
• เสียชื่อกลุ่มตามบทบาทเฉพาะ: อนุมัติ"" กลุ่มเป็นตัวอย่างที่สมบูรณ์แบบ. สิ่งที่สามารถสมาชิกของกลุ่มการอนุมัตินี้? ซึ่งสามารถที่อนุมัติหรือไม่? ฉันจริง ๆ ต้องคนแผนกโลจิสติกส์เพื่อให้สามารถอนุมัติเอกสาร HR? ไม่แน่นอน. ชื่อกลุ่มตามบทบาทของตนในองค์กรเสมอ. นี้จะช่วยลดความเสี่ยงที่กลุ่มกำหนดระดับการอนุญาตที่ไม่เหมาะสมสำหรับวัตถุที่กำหนดสิทธิ์ได้เฉพาะ. ชื่อกลุ่มตามบทบาทของตนกำหนดไว้. ในสถานการณ์ก่อนหน้านี้ HR/โล จิสติกส์, ฉันควรสร้างกลุ่มใหม่สอง: "เจ้าของ HR" และ "เจ้าของโลจิสติกส์" และกำหนดระดับของสิทธิ์ที่เหมาะสมสำหรับแต่ละรายการและยอดเงินต่ำสุดที่จำเป็นสำหรับผู้ใช้การทำงานของพวกเขา.

อ้างอิงที่เป็นประโยชน์อื่น ๆ:

• เว็บแอพลิเคชันนโยบาย gotcha ของ: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Clearinghouse สำหรับความปลอดภัยของ SharePoint: http://www.sharepointsecurity.com/
• เชื่อมโยงจากโจเอล Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

ถ้าคุณได้ทำเรื่องนี้ไกล:

กรุณาแจ้งให้เราทราบว่าความคิดของคุณผ่านข้อคิดเห็น หรือส่ง. ถ้าคุณทราบอ้างอิงอื่น ๆ ดี, กรุณาทำอย่างเดียว!