Планирование безопасности служб Excel

Содержание:

• О безопасности служб Excel

• Планирование проверки подлинности пользователей

• Планирование обмена данными между серверами

• Планирование проверки подлинности внешних данных

• Таблицы

О безопасности служб Excel

Помимо требований безопасности при развертывании Microsoft Office SharePoint Server 2007, нужно проверить вопросы безопасности развертывания из Службы Excel в Microsoft Office SharePoint Server 2007. Windows SharePoint Services 3.0 — это платформа, на которой построен Office SharePoint Server 2007.

ФункцииСлужбы Excel в Microsoft Office SharePoint Server 2007 в сочетании с Office SharePoint Server 2007 являются основным методом контроля, обеспечения безопасности и управления доступом к книгам Excel предприятия. Службы Excel — это приложение корпоративного класса, разработанное с учетом производительности, масштабируемости и безопасности. Развертывание Службы Excel обеспечивает отображение (и интерактивность) книг и позволяет без труда использовать компоненты книг, например, диаграммы и отчеты PivotTable, которые можно отображать на цифровых панелях бизнес-аналитики.

Службы Excel позволяет использовать для настраиваемых приложений вычисления в таблицах Excel со стороны сервера и дает пользователям возможность блокировать книги и обеспечивать безопасность личных данных и интеллектуальной собственности. Благодаря этому данные книг защищены, а пользователи, которые работают с ними на сервере, могут воспользоваться всеми преимуществами обновления данных и пересчета в Службы Excel.

Обеспечение безопасности — важный компонент включения этих методов отображения данных. При планировании среды нужно продумать множество факторов — это поможет защитить книги при отображении на сервере. Нужно спланировать управление безопасностью книг и самого сервера. Службы Excel обеспечивает достаточную степень контроля обработки и отображения книг Excel. Таким образом можно управлять открытием книг на сервере и специальными возможностями каждой книги.

В этой статье содержится обзор параметров безопасности Службы Excel и связанных компонентов, которые нужно учесть при планировании развертывания. Кроме того, здесь есть рекомендации по использованию Службы Excel как вспомогательного средства обеспечения безопасности и управления доступом к книгам на сервере.

Модель безопасностиСлужбы Excel построена на базе концепции, говорящей, что для обеспечения целостности и качества данных администратору необходимо уметь централизованно управлять общими ресурсами и доступом пользователей к корпоративной интеллектуальной собственности, хранящейся в книгах. С этой целью Службы Excel позволяет указывать:

• Надежные расположения файлов   библиотеки документов SharePoint, пути UNC или веб-сайты HTTP, которые нужно четко назвать надежными, прежде чем Служба вычислений Excel сможет к ним подключиться. Служба вычислений Excel открывает книги, хранящиеся только в надежных расположениях файлов.

• Надежные поставщики данных   существуют внешние базы данных, которым Служба вычислений Excel однозначно доверяет при обработке подключений к данным в книгах. Служба вычислений Excel пытается обработать только подключения к данным от надежного поставщика.

• Надежные библиотеки подключений к данным   существуют библиотеки документов SharePoint, содержащие файлы подключений к данным Office (ODC). Файлы ODC используются для централизованного управления подключениями к внешним источникам данных. Вместо того, чтобы включить встроенные подключения к внешним источникам данных, Служба вычислений Excel можно настроить так, чтобы файлы ODC в обязательном порядке использовались для всех подключений к данным. Файлы ODC хранятся в библиотеках подключений к данным, и эти библиотеки нужно в явной форме сделать надежными в Служба вычислений Excel для обеспечения доступа к книгам.

  По умолчанию междоменный доступ к книге и подключению к данным не разрешен. Чтобы разрешить междоменный доступ к книгам в надежных расположениях (и подключениям к надежным библиотекам) из веб-частей, страниц или веб-служб, нужно запустить программу командной строки Stsadm.exe, как в следующем примере, где имя поставщика общих служб — имя поставщика общих служб служб Excel:

  stsadm.exe -o Set-EcsSecurity -Ssp <имя поставщика общих служб> -AllowCrossDomainAccess true|false

  Запрашивающие веб-страницы и книги или подключения к данным должны находиться в одной и той же ферме.

  Примечание

  При открытии книги в Служба вычислений Excel временный файл сохраняется в папке %TEMP% на сервере приложений, где запущено приложение Служба вычислений Excel.

Планирование проверки подлинности пользователей

Книги Excel, открываемые из Служба вычислений Excel, должны храниться в базе данных контентаOffice SharePoint Server 2007, поскольку Windows SharePoint Services 3.0 обслуживает все списки контроля доступа (ACL) этих файлов. Кроме того, Служба вычислений Excel может открывать книги с использованием путей UNC и веб-сайтов HTTP, но для хранения книг рекомендуется использовать базу данных контента Office SharePoint Server 2007.

Проверку подлинности учетных записей пользователей на сайте портала SharePoint выполняет Windows SharePoint Services 3.0. По умолчанию Windows SharePoint Services 3.0 использует встроенную проверку подлинности Windows.

Помимо перечисленных методов проверки подлинности, Службы Excel поддерживает общую проверку на основе форм. Настройка этого метода проверки подлинности Windows SharePoint Services 3.0 на является темой данной статьи.

Планирование обмена данными между серверами

Метод обмена данными между веб-серверами и серверами приложений Служба вычислений Excel и между серверами приложений и внутренними источниками данных можно выбрать, настроив Службы Excelдля использования доступа к данным надежной подсистемы или делегирования. Надежная подсистема — это выбранная по умолчанию настройка фермы серверов Windows, поскольку модель делегирования не требует дополнительной настройки. В модели надежной подсистемы интерфейсные веб-серверы и серверы приложений Служба вычислений Excel считают надежными учетные записи соответствующих приложений Office SharePoint Server 2007 с использованием поставщика общих служб.

В среде надежных подсистем при открытии файлов из Office SharePoint Server 2007 можно сверить разрешения файлов с данными учетных записей пользователей, даже если Kerberos не настроен. Если серверы приложений Служба вычислений Excel открывают книги из общих папок UNC или веб-сайтов HTTP, учетные записи пользователей невозможно олицетворить, и приходится использовать учетную запись процесса.

Примечание

Чтобы олицетворить учетную запись пользователя и внедрить проверку подлинности книги, необходимо настроить ограниченное делегирование Kerberos между серверами приложений Служба вычислений Excel и ресурсами UNC или HTTP.

Ограниченное делегирование Kerberos — наиболее безопасная конфигурация обмена данными между интерфейсными веб-серверами и серверами приложений Служба вычислений Excel. Это самая безопасная настройка доступа к внутренним источникам данных с серверов приложений. Это предпочтительная конфигурация развертывания Службы Excel. При подключении к внешним источникам данных проверка подлинности Windows будет работать только при внедрении модели делегирования.

Планирование проверки подлинности внешних данных

В книгах бывают встроенные прямые подключения к данным и ссылки на подключения к файлам данных, которые хранятся в библиотеках подключений к данным. При обновлении, в зависимости от конфигурации Службы Excel, встроенные подключения используются для передачи запросов к источнику данных, или использовать ссылку на библиотеку для запроса файла ODC. В файле ODC содержится информация о подключении к данным. Они должны храниться в библиотеке подключений к данным.

Чтобы настроить Службы Excel для обработки подключений к внешним источникам данных, нужно выбрать настройку из раздела Внешние данные страницы "Надежные расположения файлов служб Excel" веб-приложения центра администрирования SharePoint.

Чтобы выбрать настройки администрирования Службы Excel, откройте веб-приложение центра администрирования SharePoint из Office SharePoint Server 2007 и сделайте следующее.

Выбор настроек администрирования служб Excel

1. На странице центра администрирования нажмите Управление приложениями.

2. На странице "Управление приложениями" в разделе Общие службы Office SharePoint Server 2007 щелкните Создание или настройка общих служб данной фермы.

3. На странице "Управление общими службами данной фермы" щелкните Общие службы 1 (по умолчанию). Это настраиваемый поставщик общих служб.

4. На домашней странице общих служб в разделе Параметры служб Excel щелкните Надежные расположения файлов.

5. На странице "Надежные расположения файлов служб Excel" выберите Добавить надежное расположение файлов.

6. В разделе Адрес укажите расположение и введите имя библиотеки документов SharePoint, добавляемой как надежное расположение файлов в Службы Excel. Если библиотека документов хранится в базе данных контента Windows SharePoint Services 3.0 убедитесь, что Windows SharePoint Services 3.0 выбран в качестве Типа расположения.

Для большинства развертываний ферм со встроенными подключениями необходимо делегирование. Когда Служба вычислений Excel извлекает данные о подключении, настраиваются режимы учетных данных "Сохраненные" (извлекаемые из базы данных SSO), "Встроенные" или "Нет". Для подключений к данным со встроенными учетными данными необходимо делегирование (для развертываний на нескольких серверах). При автономном развертывании делегирование не является необходимым.

Представьте себе подключения к данным книги, открытой с сервера приложений Служба вычислений Excel, который использует сохраненные учетные данные. Служба вычислений Excel приходится извлекать допустимые учетные данные из базы данных проверки подлинности единого входа. Далее эти учетные данные используются при проверке подлинности с использованием источника данных, прежде чем установить соединение.

Службы Excel три метода проверки подлинности данных: встроенная проверка Windows, SSO и никакой проверки.

Встроенная проверка подлинности Windows

Обычно для использования встроенной проверки подлинности Windows необходимо ограниченное делегирование Kerberos, то есть наиболее безопасный метод проверки подлинности. Ограниченное делегирование Kerberos рекомендуется включить для проверки подлинности с интерфейсных веб-серверов на серверы приложений с Служба вычислений Excel, и с Служба вычислений Excel на внешние источники данных. Для Службы Excel рекомендуется использовать встроенную проверку подлинности Windows.

Проверка подлинности SSO

Проверка подлинности SSO позволяет пользователям подключаться к нескольким системным ресурсам без многократного указания учетных данных. Office SharePoint Server 2007 внедряет проверку подлинности SSO, добавляя службу Windows и базу данных безопасных учетных данных. С помощью подключаемых функций SSO, которые поддерживает Службы Excel, можно внедрить собственного поставщика SSO. В Office SharePoint Server 2007 есть поставщик Windows SSO, который работает с Службы Excel.

У любого поставщика SSO, внедренного с помощью Службы Excel, должен быть флаг для каждой записи SSO, который определяет, используются ли для записи учетные данные на основе Windows или учетные данные другой среды. У поставщика Windows SSO в Office SharePoint Server 2007 есть предназначенные для этого флаги. Службы Excel использует базу данных SSO для извлечения учетных данных при проверке подлинности подключения.

Проверка подлинности SSO в Office SharePoint Server 2007 поддерживает отдельные сопоставления и групповые сопоставления. SSO хранит набор учетных данных идентификаторов приложения (App ID) ресурсов, которые хранятся в базе данных SSOOffice SharePoint Server 2007. Для отдельных сопоставлений уровень безопасности сверяет учетные записи пользователей с несколькими отдельными записями App ID, которые хранятся в базе данных SSO. Отдельные сопоставления пригодятся в том случае, если понадобится информация о входе в систему при подключении отдельных учетных записей пользователей к общим ресурсам.

Для групповых привязок уровень безопасности сверяет учетные данные групп, состоящих из пользователей разных доменов, с одним набором учетных записей ресурсов, которым соответствуют App ID из базы данных SSO. Групповые сопоставления обслуживать проще, чем отдельные, и работают они лучше.

Чтобы включить функции SSO в Office SharePoint Server 2007, нужно запустить службу единого входа Microsoft и выбрать настройки SSO в веб-приложении центра администрирования SharePoint. Следующая процедура используется для настройки базы данных SSO для проверки подлинности подключений к данным.

Запуск службы единого входа

1. В разделе Администрирование щелкнитеСлужбы.

2. Дважды щелкните элемент Служба единого входа Microsoft.

3. На вкладке Вход на странице "Свойства службы единого входа" выберите Эта учетная запись, а затем введите домен, имя пользователя и пароль, которые использовались для установки и управления сервера.

4. Нажмите кнопку Применить.

5. На вкладке Общие на странице "Свойства службы единого входа" выберите тип запуска Автоматический, нажмите Пуск, а затем ОК.

   Примечание

   Запустите службу единого входа на всех интерфейсных веб-серверах и серверах приложений фермы, где запущено приложение Служба вычислений Excel.

Управление параметрами единого входа

1. В оснастке Администрирование откройте приложение веб-сайта центра администрирования SharePoint.

2. На домашней странице центра администрирования щелкните пункт Операции.

3. В разделе Настройка безопасности щелкните Управление параметрами единого входа.

4. На странице "Управление параметрами единого входа" щелкните Управление параметрами сервера.

5. В поле Учетная запись учетной записи администратора SSO введите тот же домен и имя пользователя, которые использовались для настройки службы единого входа. Если это имя пользователя является участником группы безопасности Windows, можно ввести вместо него имя группы Windows.

6. В поле Учетная запись администратора определения корпоративного приложения введите тот же домен и имя пользователя, которые использовались для настройки службы единого входа.

Не используется

Если указать Нет в качестве метода проверки подлинности для развертывания Службы Excel, Службы Excel попытается использовать для подключения к указанной в строке базе данных встроенную строку подключения. В зависимости от конкретного поставщика базы данных некоторые базы позволяют использовать строки подключения для проверки подлинности пользователя.

Службы Excel не анализирует строки подключения для определения метода проверки подлинности. Строка подключения просто передается поставщику базы данных. В строках может быть указано, что необходима проверка подлинности Windows. Кроме того, в строках может содержаться имя пользователя и пароль. В любом случае, если выбран метод Нет, Службы Excel необходимо олицетворение учетной записи автоматической службы.

Если поставщик базы данных определяет, что в строке подключения указана встроенная проверка подлинности Windows, и если база данных разрешает доступ, подключение устанавливается с использованием контекста безопасности учетной записи автоматической службы. Если в строке подключения есть имя пользователя и пароль и база данных разрешает доступ, подключение устанавливается с использованием контекста учетной записи, подлинность которой проверена.

Учетная запись автоматической службы

Учетная запись автоматической службы — это запись с низким уровнем разрешений, которую Служба вычислений Excel может олицетворить при установке подключения к данным с использованием учетных данных SSO из среды, не основанной на Windows, или при выборе метода проверки подлинностиНет. Если такая учетная запись не настроена, при установке подключения к данным с использованием учетных данных SSO из среды, не основанной на Windows, или при выборе метода проверки подлинности Нет, не удастся.

Олицетворение учетной записи автоматический службы защищает базы данных Office SharePoint Server 2007 и остальные источники данных, к которым может непосредственно подключиться Службы Excel, от несанкционированных подключений с клиентских компьютеров, использующих Служба вычислений Excel для открытия подключений к внешним данным. При олицетворении такой записи учетные данные, связанные с потоком приложений Служба вычислений Excel, нельзя использовать для подключения к любым другим базам данных. Кроме того, при олицетворении учетной записи автоматической службы запросы к внешним данным запускаются в контексте безопасности учетной записи с низким уровнем разрешений, в не потока приложений Служба вычислений Excel с большим количеством разрешений.

Можно настроить учетную запись автоматической службы либо как учетную запись домена, либо как учетную запись локального компьютера. Если она настроена как учетная запись локального компьютера, убедитесь, что конфигурации всех серверов приложений с Служба вычислений Excel совпадают. Ограничение разрешений сделает возможным для учетной записи автоматической службы только вход в сеть. Убедитесь, что у учетной записи автоматической службы нет доступа к каким-либо источникам данных или базам данных Office SharePoint Server 2007. Следующая процедура позволяет включить учетную запись автоматической службы.

Включение учетной записи автоматической службы

1. В полях Имя и Пароль в разделе Внешние данные на странице "Параметры служб Excel" введите имя и пароль.

2. Нажмите кнопку ОК.

Параметры безопасности.

Чтобы выбрать настройки администрирования Службы Excel, включая настройки безопасности, откройте веб-приложение центра администрирования SharePoint из раздела "Администрирование" Microsoft Windows Server 2003 и сделайте следующее.

Выбор настроек безопасности служб Excel

1. На странице центра администрирования нажмите Управление приложениями.

2. На странице "Управление приложениями" в разделе Общие службы Office SharePoint Server 2007 щелкните Создание или настройка общих служб данной фермы.

3. На странице "Управление общими службами данной фермы" щелкните Общие службы 1 (по умолчанию). Это настраиваемый поставщик общих служб.

4. На домашней странице общих служб, раздел Параметры служб Excel, щелкните Изменить параметры служб Excel.

Кроме того, на странице "Параметры служб Excel" можно настроить параметры метода доступа к файлу и шифрования данных, которые непосредственно влияют на безопасность развертывания.

Метод доступа к файлу

На странице "Параметры служб Excel" в разделе Безопасность в области Способ доступа к файлам выберите Олицетворение или Учетная запись процесса.

• Олицетворение   позволяет запускать поток только в контексте безопасности процесса, которым он владеет. Выберите Олицетворение, чтобы Служба вычислений Excel в обязательном порядке проверял подлинность пользователей при попытке открыть книги, которые хранятся в местах UNC и HTTP. Это не повлияет на книги, которые хранятся в базах данных Office SharePoint Server 2007. В большинстве развертываний фермы серверов, где интерфейсные веб-серверы и серверы приложений Служба вычислений Excel запускаются на разных компьютерах, для олицетворения потребуется ограниченное делегирование Kerberos.

• Учетная запись процессов   Если серверы приложений Служба вычислений Excel открывают рабочие книги из общих расположений UNC или веб-сайтов HTTP, учетная запись пользователя не может быть олицетворена, и следует использовать учетную запись процесса.

Шифрование данных

Для шифрования передачи данных между серверами приложений Служба вычислений Excel, источниками данных, компьютерами клиентов и интерфейсными веб-серверами можно использовать развертывание IPSec (Internet Protocol Security) или SSL (Secure Sockets Layer). Чтобы включить обязательную передачу шифрованных данных между клиентскими компьютерами и интерфейсными веб-серверами, нужно изменить настройку Шифрование подключения сНет на Все подключение. Нет — настройка по умолчанию. Если изменить настройку Шифрование подключения наВсе подключения, сервер приложений Служба вычислений Excel будет допускать обмен данными между клиентскими компьютерами и интерфейсными веб-серверами только через подключения SSL.

Если принято решение о зашифрованной передаче данных, необходимо будет вручную настроить IPSec или SSL. Можно использовать зашифрованные подключения между компьютерами клиентов и интерфейсными веб-серверами, а незашифрованные — между интерфейсными веб-серверами и серверами приложений Служба вычислений Excel.

Надежные расположения файлов

Надежные расположения файлов — это сайты SharePoint, пути UNC или веб-сайты HTTP, с которых сервер с Служба вычислений Excel может подключаться к книгам.

В разделе Расположение страницы "Надежные расположения файлов служб Excel" можно настроить адрес, тип размещения и доверие к дочерним библиотекам надежных расположений файлов. Выбрав Доверять дочерним, можно улучшить управляемость, но это приведет также и к возникновению потенциального риска для безопасности, поскольку дочерние сайты и каталоги надежных расположений будут становиться надежными сразу после создания.

Работа с таблицей
Используйте таблицуНадежные расположения файлов (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73327&clcid=0x419) (на английском языке) для записи имен надежных сайтов SharePoint, путей UNC и веб-сайтов HTTP.

В разделе Управление сеансами можно настроить параметры, которые помогут обеспечить надежность ресурсов и повысить производительность и безопасность Служба вычислений Excel. Если у многочисленных пользователей одновременно открыто несколько сеансов Служба вычислений Excel, производительность может пострадать. Выбрав две разных настройки лимита времени открытых сеансов, можно проконтролировать потребление ресурсов Служба вычислений Excel.

Настройка Таймаут сеанса определяет период, в течение которого сеанс Служба вычислений Excel остается открытым с момента последней команды пользователя. Параметр Короткий таймаут сеанса определяет период, в течение которого сеанс Служба вычислений Excel остается открытым и неактивным после первоначального запроса. Кроме того, можно выбрать значение Максимальная длительность запроса, то есть допустимое количество секунд для запроса на единичный сеанс. Ограничив время открытого сеанса, можно помочь снизить риск атак типа "отказ в обслуживании".

В разделе Свойства книги можно выбрать максимальный размер книги, которую можно открыть в ходе сеанса Служба вычислений Excel. При открытии очень больших рабочих книг производительность и доступность источников могут быть снижены. Если не проконтролировать допустимый размер книг, открытых в ходе сеансов Служба вычислений Excel, пользователи могут перегрузить ресурс и вызвать сбой сервера.

Примечание

Если сервер приложений с Служба вычислений Excel дает сбой или выключается, все открытые сеансы сервера теряются. В автономной установке исчезает доступ к Службы Excel. Загрузка, повторный расчет, обновление или получение книг с помощью Служба вычислений Excel невозможны. На ферме серверов, где есть несколько серверов приложений с Служба вычислений Excel отключение одного сервера не влияет на открытые сеансы других серверов. Пользователям, открывшим сеансы на отключенном сервере, предлагается заново открыть книги. При запуске нового сеанса пользователи автоматически маршрутизируются на активный сервер приложений с Служба вычислений Excel.

В разделе Внешние данные можно определить, будут ли книги, хранящиеся в надежных расположениях файлов и открываемые в сеансах Служба вычислений Excel, иметь доступ к внешнему источнику данных. Параметру Разрешить внешние данные можно присвоить одно из значений Нет, Только надежные библиотеки подключений к данным или Надежные библиотеки подключений к данным и внедренные. При выборе параметра Только надежные библиотеки подключений к данным или Надежные библиотеки подключений к данным и внедренные книги, хранящиеся в надежных расположениях данных, смогут получить доступ к источникам внешних данных.

Подключения к внешним данным возможны только в том случае, если они встроены в книгу или если книга содержит ссылку на них. Перед открытием книги Служба вычислений Excel проверяет список надежных расположений файлов. При выборе параметра Нет, Служба вычислений Excel будет блокировать любые попытки доступа к источнику внешних данных. При управлении подключениями к данным для большого числа создателей книг можно выбрать параметр Только надежные библиотеки подключений к данным. Это означает, что все подключения к данным всех книг, созданные авторами книг, чья подлинность проверена, должны использовать надежные библиотеки подключений к данным для подключения к любым внешним источникам данных.

При управлении подключениями данных для небольшого числа авторов рабочих книг целесообразно использовать параметр Надежные библиотеки подключений к данным и внедренные. Это дает авторам возможность внедрять прямые подключения во внешние источники данных в рабочих книгах, однако остается возможность доступа к надежным библиотекам в случае неудачи подключения по внедренным ссылкам.

В разделе Предупреждать об обновлении в области Внешние данные можно выбрать отображение предупреждения перед обновлением книги из внешнего источника данных. Установка флажка Предупреждение об обновлении включено означает, что внешние данные не будут автоматически обновлены без подтверждения пользователя.

В области Прекратить в случае сбоя обновления при открытии можно остановить открытие книги вСлужба вычислений Excel, если она содержит неработающее подключение. Установка флажка Прекращение при открытии включено означает, что кэшированные значения не отображаются, если при открытии книги операция обновления дает сбой. Если она заканчивается успешно, кэшированные данные отображаются. Если снять флажок Прекращение при открытии включено, кэшированные значения могут отобразиться, хотя операция обновления не удастся.

В области Время жизни кэша внешних данных в разделе Внешние данные можно указать максимальное время использования кэшированных значений до истечения срока действия.

Чтобы предоставить доступ к книгам, которые хранятся в надежных местах, только надежным пользователям, необходимо внедрить во всех надежных расположениях файлов списки ACL.

Существует три основных варианта развертывания Службы Excel с Office SharePoint Server 2007: корпоративное, для небольшого отдела и настраиваемое.

При корпоративном развертывании нужно учесть следующие рекомендации:

• Не настраивать поддержку выбранных пользователем функций.

• Не позволять использовать в книгах встроенные подключения к данным для прямого доступа к внешним источникам данных.

• Ограничить использование библиотек подключений к данным для доступа к внешним данным из книг.

• Ограничить размер книг, которые можно открывать в Служба вычислений Excel.

• Избирательно сделать надежными определенные расположения файлов и не выбирать параметр Доверять дочерним для надежных сайтов и каталогов.

При развертывании в небольших отделах нужно учесть следующие рекомендации:

• Сделать надежными все расположения файлов, в которых сотрудники отдела сохраняют книги.

• Выбрать параметр Доверять дочерним для всех надежных сайтов и каталогов.

• Если возникнут проблемы, избирательно ограничить доступ к определенным расположениям.

При настраиваемом развертывании нужно учесть следующие рекомендации:

• Позволить Служба вычислений Excel открывать большие книги.

• Настроить параметр длительного таймаута сеанса.

• Настроить использование больших кэшей данных.

• Создать для этого отдела одно надежное расположение.

• Не включать параметр Доверять дочерним этого надежного расположения.

Поставщики надежных данных

Доступ к внешним данным можно проконтролировать, однозначно выбрав надежных поставщиков данных, и внеся их в список надежных поставщиков. В этом списке указаны конкретные поставщики внешних данных, к которым могут подключаться книги, открытые в Служба вычислений Excel.

Перед тем, как создать экземпляр поставщика данных, который позволит подключать книги к источнику внешних данных, Служба вычислений Excel проверяет данные подключения и определяет, есть ли этот поставщик в списке надежных поставщиков данных. Если да, программа пытается установить соединение, если нет, запрос соединения игнорируется.

Работа с таблицей
Запишите в таблицу Надежные поставщики данных (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73325&clcid=0x419) (на английском языке) имена надежных поставщиков.

Надежные библиотеки подключений к данным

Надежная библиотека подключений к данных — это библиотека, из которой можно безопасно открывать файлы ODC. Библиотеки защищают и управляют подключениями к данным книг, к которым подключается сервер с Служба вычислений Excel. В списке надежных библиотек указаны конкретные библиотеки подключений к данным, из которых книги, открытые в Служба вычислений Excel, могут открывать файлы ODC.

Если в книге, которая открывается на сервере с Служба вычислений Excel, есть ссылка на подключение к данным, сервер проверяет данные подключения и список надежных библиотек. Если библиотека есть в списке, программа пытается установить соединение, если ее нет, запрос игнорируется.

Работа с таблицей
Запишите в таблицу Надежные библиотеки подключений к данным (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73324&clcid=0x419) (на английском языке) названия надежных библиотек.

Разрешения только на просмотр

Можно выбрать пользователей, которым разрешается только просматривать книги, добавив их в группу Office SharePoint Server 2007 "Наблюдатели" или создав новую группу, которой присвоено только разрешение просмотра. Это разрешение присваивается группе "Наблюдатели" по умолчанию. Пользователи, добавленные в группу с таким разрешением, могут просматривать, открывать книги, работать с ними, обновлять и пересчитывать значения, но подключаться к источнику файлов могут только черезСлужбы Excel. Это помогает защитить проприетарную информацию. Данные источника никогда не отображаются для указанных пользователей.

Книги и объекты данных книги с разрешением только на просмотр нельзя открыть в Office Excel 2007; однако в Office Excel 2007 можно отобразить снимок книги, где будут только значения и форматирование из просматриваемых с сервера диапазонов.

В Office SharePoint Server 2007 можно выбрать настройки сайта, которые позволяют контролировать доступ к данным книги, делая централизованно управляемые книги, которые открываются в веб-браузере, доступными только для просмотра. Кроме того, в Office SharePoint Server 2007 можно выбрать настройки сайта, позволяющие книгам обновлять внешние данные на сервере и обеспечивать безопасность и управлять подключениями к внешним данным. Следующая процедура позволяет сохранить указанные объекты данных как элементы, предназначенные только для просмотра.

Сохранение указанных объектов данных как элементов, предназначенных только для просмотра

1. Откройте в Office Excel 2007 книгу с объектами данных, например, схемами или таблицами.

2. Опубликуйте книгу в библиотеке документов SharePoint, которая в Службы Excel считается надежным расположением.

3. В поле Имя файла диалогового окна Сохранить как введите URL-адрес библиотеки документов SharePoint, где нужно сохранить файл. Установите флажок Открыть эту рабочую книгу в обозревателе после сохранения.

4. Нажмите кнопку Параметры служб Excel.

5. В диалоговом окне Параметры служб Excel выберите из самораскрывающегося меню пунктЭлементы в книге.

6. Выберите элементы, которые предполагается отобразить, и нажмите кнопку ОК.

7. В диалоговом окне Сохранить как нажмите кнопку Сохранить.

Внешние подключения к данным

Компонент Служба вычислений ExcelСлужбы Excel используется для подключения к внешним источникам данным. Служба вычислений Excel обрабатывает данные о подключении к внешним данным, в которых содержится все, что нужно серверу для подключения к источнику данных, включая информацию о проверке подлинности, используемой строке подключения, используемую строку запросов и метод и место сбора учетных данных подключения. Эти подключения можно указать в двух местах: встроить в книгу или в файлы ODC. В обоих местах хранятся одинаковые данные. Файлы ODC — это небольшие файлы, где данные о подключении хранятся в простом текстовом формате и повторно используемом формате.

Клиент Office Excel 2007 можно использовать для разработки и изменения файлов ODC и встроенных в книгу подключений. В клиенте Office Excel 2007 можно запустить мастер создания подключения данных или выбрать настройки на странице свойств Подключения. Кроме того, на основе этих настроек можно экспортировать файл ODC. На странице свойств Подключения отображается информация о подключении, в том числе свойства проверки подлинности Службы Excel.

Работа с таблицей
В таблицу Подключения к внешним данным (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73323&clcid=0x419) (на английском языке) нужно записать имена файлов.odc и расположения соответствующих источников внешних данных.

Файлы ODC

В книгах могут находиться ссылки на файлы ODC и встроенные данные о подключении. Благодаря этому книги могут извлекать файлы ODC, считывать контент и пытаться подключиться к внешнему источнику данных, если встроенная информация о подключении не дает результата. Файлы ODC нужно обслуживать и сохранять таким образом, чтобы данные о подключении всегда были точными.

Кроме того, Служба вычислений Excel можно настроить для эксклюзивного использования файла ODC вместо того, чтобы сначала пытаться подключиться с использованием встроенной информации. Этот администратор позволяет администраторам развертывать небольшие наборы управляемых файлов ODC, которые снабжают многие книги обновленной информацией о подключении.

Авторы книг могут указывать, какие данные о подключении может использовать книга (отдельно для каждого подключения). Для этого нужно открыть клиент Office Excel 2007 и щелкнуть Подключения к книге на вкладке Данные. Добавьте подключение к книге, откройте окно Подключения к книге и просмотрите свойства только что добавленного подключения. На вкладке Определение выберите Всегда использовать файл подключения. Эта настройка позволяет книге извлекать файл подключения из библиотеке данных подключения и использовать данные из этого файла для подключения к внешнему источнику данных. Кроме того, настройку можно выбрать, поставив флажок Всегда использовать файл подключения на последней странице мастера создания подключения к данным.

Управление файлами ODC

В библиотеке подключений к данным хранятся файлы подключений с расширением ODC. Администраторы могут управлять подключениями к данным на сервере, создавая библиотеку и файлы ODC с требованием, чтобы книги всегда использовали файл подключения. Книги, которые берут данные о подключении непосредственно из библиотеки, всегда получают обновленную информацию перед подключением к источнику данных.

Если информация об источнике данных (например, имя сервера) изменится, нужно будет только обновить файл ODC из библиотеки. Все книги, которые пользуются этим файлом ODC, обновятся автоматически при следующем обновлении. Кроме того, доступ к файлам ODC можно ограничить, использовав разрешение, допускающее только просмотр.

Выбранные пользователем функции

Если в сценарии развертывания есть книги, содержащие выбранные пользователем функции для расширения возможностей Служба вычислений Excel, нужно настроить Службы Excel для поддержки этих функций.

Чтобы настроить поддержку, необходимо включить выбранные пользователем функции в надежных расположениях файлов, где содержатся книги, которым необходим доступ к этим функциям. Кроме того, необходимо зарегистрировать сборки выбранных пользователем функций в списке таких функций в Службы Excel. Следующая процедура позволяет включить выбранные пользователем функции.

Включение выбранных пользователем функций

1. В разделе Службы Excel домашней страницы общих служб щелкните Пользовательские функции.

2. На странице "Пользовательские функции служб Excel" щелкните Добавить Сборка пользовательских функций.

3. В поле Сборка введите строгое имя сборки или путь к файлу сборки пользовательской функции, которую нужно зарегистрировать.

4. В разделе Расположение сборки сделайте следующее:

   1. Выберите глобальный кэш сборок (GAC) при развертывании сборки пользовательских функций в GAC каждого сервера приложений Служба вычислений Excel фермы.

   2. Выберите Локальный файл, чтобы сохранить пользовательскую функцию в каталог сервера приложений Служба вычислений Excel (локальный путь), или в общую сетевую папку (путь UNC).

   3. Поставьте флажок в поле Сборка включена и нажмите кнопку ОК.

Включение пользовательских функций книг в надежном расположении файлов

1. В разделе Службы Excel домашней страницы общих служб щелкните Надежные расположения файлов.

2. На странице надежных расположений файлов Excel щелкните URL-адрес надежного расположения, чьи свойства нужно изменить.

3. В разделе Пользовательские функции на странице надежных расположений файлов Excel поставьте флажок Пользовательские функции разрешены и нажмите кнопку ОК.

Таблицы

При планировании безопасности служб Excel используются следующие таблицы:

• Таблица подключений к внешним данным (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73323&clcid=0x419) (на английском языке)

• Таблица библиотек надежных подключений к данным (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73324&clcid=0x419) (на английском языке)

• Таблица надежных поставщиков данных (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73325&clcid=0x419) (на английском языке)

• Таблица надежных расположений файлов (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73327&clcid=0x419) (на английском языке)

Загрузка этой книги

Для упрощения чтения и печати эта тема включена в следующую загружаемую книгу:

• Планирование сайтов и компонентов, часть1

См. полный список доступных книг на веб-сайте Загружаемые книги для Office SharePoint Server 2007.

См. также

Другие ресурсы

Демонстрация: включение служб Excel и подключений к данным на сайте группы SharePoint (на английском языке)