В нашей компании много людей: сотрудники, подрядчики, люди в совместных предприятиях и т. Д. Итак, мы хотим контролировать доступ к нашей внутренней сети. Для этого нам нужно иметь возможность запретить людям в SharePoint предоставлять доступ «прошедшим проверку пользователям». Есть ли способ сделать это?
Один из возможных способов сделать это - запретить доступ для прошедших проверку пользователей в политике веб-приложений, но похоже, что это переопределит все остальное, в основном предотвращая доступ к SharePoint. Я могу ошибаться.
Единственный способ сделать это правильно - через web.config. Мы можем отказать пользователям, прошедшим аутентификацию, но разрешить определенной группе доступ к SharePoint. Встроенная система безопасности веб-приложений SharePoint этого не сделает, потому что отказ прошедших проверку пользователей закрывает доступ для всех. Для ограничения доступа необходимо использовать обычные соглашения ASP.NET в файле web.config.
Это больше метод «сквозь безвестность» - но вы можно удалить ссылку «Добавить всех аутентифицированных пользователей» на странице разрешений. Более сообразительные пользователи по-прежнему смогут вводить nt Authority \ всех аутентифицированных пользователей, но это не позволяет обычному Джо легко добавить группу.
(если я хорошо понимаю) удалите "Прошедшие проверку пользователи" со своего веб-сайта, отключите доступ к информации безопасности для пользователей и управляйте собой
Вы также можете изменить разрешение, которое вы предоставляете конечным пользователям. Часто администраторы предоставляют «полный контроль» владельцам сайтов, не обращая внимания на то, какие разрешения вы действительно предоставляете.
Помимо предоставления пользователям возможности предоставлять доступ другим пользователям, вы также предоставляете им возможность создавать подсайты и другие небольшие уловки, которые делают аварийное восстановление более сложным, чем это должно быть.
Для меня - как только я добавляю своих пользователей в группу владельцев - я изменяю настройки группы и меняю уровень разрешений владельцев с «Полный доступ» на «Дизайн». В любом случае это все, что нужно большинству пользователей. Чтобы иметь возможность внести свой вклад - или внести некоторые дизайнерские предложения на их сайт для совместной работы (например, добавить веб-часть, создать список и т. Д.).
Когда они просят добавить еще один сайт под первым, я создаю для них страницу - и показываю им, как это дает то же самое.
Мы управляем доступом пользователей через группы AD, поэтому добавление пользователей на сайт на самом деле больше связано с тем, чтобы администратор сети добавил пользователя в группу AD. Кажется, у нас работает.