MOSS 2007 és least privilege

A least privilege azon elvek közé tartozik, melyek követése nem egyszerű, különösen eleinte okoz némi fáradtságot, de hosszú távon biztosan megéri. Aki esetleg nem ismerné, annak röviden: ne légy admin, csak baj lehet belőle! Tökéletesen lehet levelezni, netezni, fejleszteni, debuggolni, doksit írni, olvasni, telefont szinkronizálni, CD-t írni - szinte mindent, mezei felhasználóként. Igaz, telepítéshez, üzemeltetéshez, driver debuggolásához néha elengedhetetlen, na de ki az, aki mást sem csinál, csak drivert ír és telepítget a gépén?

Úgy emlékszem a Windows 2000 idején hallottam először erről és akkor még elég sok alkalmazást kellett Run As-zel indítani ahhoz, hogy jól működjön. Mára ez megváltozott, könnyen lehet boldogulni normál jogosultságú felhasználóként. Ez mutatja, hogy változik a világ, az igényes fejlesztők igyekeznek úgy megírni az alkalmazásaikat, hogy minimális jogosultságokkal tudjanak működni. Mondom, az igényesek.

Mi a helyzet az üzemeltetőkkel?

Az igényes rendszergazdák már régóta követik ezt az elvet, elég nekik részletes doksit adni és boldogan beállítanak mindent korrektül. (Megint, az igényesek.) Ami a SharePointot illeti, bizony nem vagyunk alaposan ellátva információval arról, hogy az egyes felhasználói fiókoknak milyen jogosultságok szükségesek, ráadásul jó sok van belőlük. Hetek óta olvasgatok a neten ezekről és számos egymásnak ellentmondó információt találtam. Arra nem vállalkoztam, hogy kiderítsem mi igaz, arra viszont igen, hogy mindet összeszedjem egyetlen táblázatba és kiegészítsem a saját tapasztalataimmal. A végeredmény letölthető innen:

Office SharePoint Server Security Account Requirements

Egy jótanács a SharePoint fejlesztőknek: ne domain admint állítsunk be minden felhasználói fióknak, amire a SharePoint telepítő rákérdez. Igen, először szokatlan, sőt szokatlanul nagy fáradságnak is tűnik, de így legalább biztosan nem telepítés után fog kiderülni, ha a kódunk jogosultsági problémák miatt nem működik.

 

(P.S. Mióta magam sem rendszergazdai jogokkal dolgozom és látom, hogy működik, próbálok másokat is meggyőzni ennek az elvnek a követéséről. Biztosan bennem van a hiba, de eddig még egyetlen fejlesztőt sem sikerült. Mindenki atyaúristen akar lenni a gépén folyamatosan a nap minden percében. Mondja már meg valaki mi ez, valami kompenzáció, mint a feleslegesen nagy és feltűnően drága autók?)
htm MOSS_Security_Account_Requirements_(Gyorgy_Balassy).htm (48 kB)


Balássy György (MS RD, ASP.NET MVP, MCTS)

Balássy György (MS RD, ASP.NET MVP, MCTS) Villamosmérnök, a BME Automatizálási és Alkalmazott Informatikai Tanszékén webportálok fejlesztését oktatja. 2000 óta foglalkozik a Microsoft .NET platformjával, melynek meghonosításában jelentős szerepet vállalt előadóként, konzulensként és A .NET Framework és programozása című könyv társszerzőjeként. Az MSDN Kompetencia Központon belül a Portál Technológiák Csoport vezetője, szakterülete web alapú rendszerek fejlesztése és üzemeltetése. 2004-ben Magyarországon elsőként kapta meg a Most Valuable Professional címet, majd 2005 óta a Microsoft magyarországi regionális igazgatója. Publikációi a Technet Magazinban, az MSDN Kompetencia Központ honlapján és szakmai blogjában olvashatóak.
2008.03.12. 16:58:02 | Permalink | Hozzászólások: 0 | Tárgyszavak: ,


  • Származtatott tartalomtípus oszlopok nélkül

    Balássy György (MS RD, ASP.NET MVP, MCTS) Amikor saját SharePointos tartalomtípust készítünk, az kötelezően származik egy szülő tartalomtípusból és örökli annak oszlopait. Hogyan lehet mégis olyan tartalomtípust létrehozni, amelynek egyetlen oszlopa sincs? Tovább »

  • SQL Server programozása PL/SQL-ben

    Balássy György (MS RD, ASP.NET MVP, MCTS) Miután mindenki számára nyilvánvalóvá vált, hogy az Oracle Server egyáltalán nem “unbreakable”, egyre több cég keresett meg minket azzal a feladattal, hogy az alkalmazás mögött futó Oracle Servert cseréljük le Microsoft SQL Serverre, természetesen a forráskód módosítása nélkül. A két rendszer és a két nyelv között azonban számos különbség van, amit csak azzal tudtunk kiküszöbölni, hogy SQL Servernek közvetlenül megtanítottuk a PL/SQL-t. Tovább »


Írja meg Ön is véleményét!


Hozzászólásokat csak regisztrált, bejelentkezett felhasználóktól tudunk elfogadni!

Hozzászólások