Роли, наследования, несанкционированное получение прав и изменения паролей в SharePoint

Роли, определения ролей и назначения ролей

Роль состоит из двух частей: из определения и назначения.

Определение роли или уровень разрешений, — это список прав, связанных с ролью. Право является уникальным образом управляемое действие в рамках веб-сайта SharePoint. Например, для пользователей с ролью Read можно просматривать страницы веб-сайта и просмотр элементов в списках. Разрешения пользователей никогда не осуществляется непосредственно с помощью прав. Все разрешения пользователей и групп можно управлять с помощью ролей. Определение роли — это набор прав, привязанные к конкретному объекту. Определения ролей (например, Full Control, Read, Contribute, Designили Limited Access), находятся на веб-сайт и имеют одинаковые значения везде в пределах веб-сайта, но их значения может быть различным всех сайтов в пределах одного семейства сайтов. Определения ролей можно также наследуется от родительского веб-сайта, так же, как можно унаследованные разрешения.

Назначение роли — это связь между определением роли, пользователями и группами и областью (например, один пользователь может быть читателем в списке 1, а другой — читателем в списке 2). Связь, выраженная через назначение роли, является ключом к созданию управления безопасностью SharePoint на основе ролей. Управление всеми разрешениями осуществляется с помощью ролей; вы никогда не назначаете права напрямую пользователю. Вы назначаете только значимые коллекции прав (определения ролей), которые четко определены и согласованы. Управление уникальными разрешениями происходит путем добавления и удаления пользователей и групп в определениях ролей с помощью назначений.

Администратор веб-сайта можно настроить определения ролей и создать дополнительные настраиваемые роли с помощью страницы управления ролями, в котором перечислены определения ролей, доступные на сайте.

Наследование определений ролей

SharePoint поддерживает наследование определений ролей так же, как поддерживает наследование разрешений, а для наследования определений ролей требуется также нарушение наследования разрешений.

Каждый объект SharePoint может иметь собственный набор разрешений или наследует их от родительского контейнера. SharePoint не поддерживает частичное наследование, когда объект наследует все разрешения своего родительского объекта, а также имеет некоторые собственные разрешения. Разрешения могут быть уникальными или унаследованными. SharePoint не поддерживает направленное наследование. Например, объект может наследовать только от родительского контейнера, а не от какого-либо другого объекта или контейнера.

Когда веб-сайт наследует определения ролей, ролей доступны только для чтения, как разрешения только для чтения в наследуемые веб-сайта. Пользователь может перейти к родительского сайта, в котором содержатся уникальные определения ролей через ссылку. Значение по умолчанию для всех новых веб-сайтов, даже сайты с уникальными разрешениями — наследование определений ролей из родительского веб-сайта. Когда уникальные разрешения, определения ролей можно вернуть для определения унаследованного ролей или изменены как определения локальной роли.

Наследование определений ролей на веб-сайте влияет на наследование разрешений следующих правил:

• Разрешения наследуются только в том случае, если также происходит наследование определений ролей.

• Уникальные определения ролей создаются только в том случае, если одновременно создаются уникальные разрешения.

• Замена на наследованные определения ролей происходит только в том случае, если одновременно также заменяются все уникальные разрешения на веб-странице. Существующие разрешения зависят от определений ролей.

• Замена на наследуемые разрешения производится только в том случае, если одновременно происходит замена на наследуемые определения ролей. Разрешения веб-сайта всегда связаны с определениями ролей для этого веб-сайта.

Управление токенами пользователей

SharePoint извлекает сведения маркера пользователя из базы данных SharePoint. Если не выбрана сайта или маркер пользователя, созданный ранее более 24 часов, SharePoint создает новый маркер пользователя, пытается обновить список групп, к которым принадлежит пользователь.

Если учетная запись является учетной записью NT, SharePoint использует интерфейс AuthZ для запроса службы каталогов Active Directory для свойства TokenGroups. Это может отсутствовать, если SharePoint запущены в экстрасети режиме и не имеет разрешения на запрос Active Directory для данного свойства.

Если учетная запись пользователя членства, SharePoint отправляет запрос ASP.NET RoleManager для всех ролей, к которым принадлежит пользователь. Это может завершиться ошибкой, если не соответствующие config-файла для текущего исполняемого файла.

Если SharePoint не может получить членство пользователя в группах из Active Directory или <roleManager>, созданный маркер содержит только уникальный идентификатор безопасности пользователя (SID). Исключение не создается, но записи в журнал ULS сервера. Новый маркер также записывается в базу данных SharePoint, чтобы не повторно создается в течение 24 часов.

После SharePoint получает маркер новым из базы данных SharePoint или, создав новый маркер, SharePoint задает метки времени для текущего времени и возвращается пользователю для вызывающего абонента. Это гарантирует, что маркер является новым 24 часа.

После возвращения объекта SPUserToken вызывающему объекту, вызывающий объект обязан не использовать маркер после истечения срока его действия. Можно написать программу модуля поддержки для отслеживания срока действия токена, записав времени, когда получения маркера и сравнение копирования с текущего времени в SPWebService.TokenTimeout .

Если истекшие маркер используется для создания веб-сайта SharePoint, — это исключение. Значение маркера времени ожидания по умолчанию: 24 часа. Доступ к нему можно получить через SPWebService.TokenTimeout .

несанкционированное получение прав;

Несанкционированное получение прав, компонент, который был добавлен в Службы Windows SharePoint Services 3.0 позволяет вам для программного выполнения действий в коде с помощью повышенного уровня прав. Метод SPSecurity.RunWithElevatedPrivileges позволяет предоставить делегату, который выполняет подмножество кода в контексте учетной записи с более высокими привилегиями, чем у текущего пользователя.

Ниже приведен стандартного использования RunWithElevatedPrivileges.

SPSecurity.RunWithElevatedPrivileges(delegate()
{
    // Do things by assuming the permission of the "system account".
});

Часто для выполнения действий в SharePoint необходимо получить новый объект SPSite для внесения изменений. Например:

SPSecurity.RunWithElevatedPrivileges(delegate()
{
    using (SPSite site = new SPSite(web.Site.ID))
    {
       // Do things by assuming the permission of the "system account".
    }
});

Несмотря на то, что несанкционированное получение прав предоставляет мощные метод для управления безопасностью, его следует использовать с осторожностью. Не следует предоставлять прямой, неконтролируемые механизмы для людей с низкими привилегиями для обхода разрешения, предоставленные им.

Важно: Если метод, передаваемый в RunWithElevatedPrivileges , включает какие-либо операции записи, вызов RunWithElevatedPrivileges должен предшествовать вызову SPUtility.ValidateFormDigest() или SPWeb.ValidateFormDigest() .

Автоматической смены пароля

Функции изменения автоматической смены пароля позволяет обновлять и развертывание пароли без выполнения пароля вручную обновление задач в нескольких учетных записей, служб и веб-приложений. Это упрощает управление паролями в SharePoint. Чтобы определить, является ли пароль истекает срок действия и сброс пароля с помощью строки в случайном порядке длинные, криптографически строгого можно использовать функции изменения автоматической смены пароля.

Управляемая учетная запись

Использование управляемых учетных записей для реализации функции изменения автоматической смены пароля. Управляемые учетные записи повысить уровень безопасности и обеспечения изоляции приложений. Управляемые учетные записи можно выполнить следующие действия.

• Настройка функции изменения автоматической смены пароля для развертывания пароли для всех служб в ферме.

• Настройка веб-приложения SharePoint и службы, которые выполняются на серверах приложений в ферме SharePoint, для использования разными учетными записями домена.

• Сопоставление управляемых учетных записей для различных служб и веб-приложений в ферме.

• Создание нескольких учетных записей в доменных службах Active Directory (AD DS) и регистрация каждого из этих учетных записей в SharePoint.

Вы также можете зарегистрировать управляемые учетные записи и включить SharePoint для управления паролями учетных записей. Пользователи должны получать уведомления о изменения запланированных пароль и другие связанные службы, но учетные записи, используемые фермой SharePoint, веб-приложений и автоматически сбросить и развернуты в пределах фермы при необходимости, различных служб на основе по расписаниям сброса пароля индивидуальную настройку.

Ниже приведены операции, которые можно использовать для выполнения класса SPManagedAccount :

• Смена пароля

• Задать расписание смены паролей

• Распространения смены пароля

• Определить, когда последнего изменения пароля

• Принудительное применение Минимальная длина пароля

Дополнительные сведения об API управляемой учетной записи можно найти по следующим ссылкам:

• SPManagedAccount

• SPManagedAccount.EventProcessingOptions

• SPManagedAccount.EventType

См. также

• Проверка подлинности, авторизация и безопасность в SharePoint

• Авторизация, пользователи, группы и объектная модель в SharePoint

• Удостоверение, основанное на основе утверждений в SharePoint

• Удостоверение, основанное на утверждениях и концепций в SharePoint

• Настройки, администрирования и ресурсы в SharePoint