امنیّت در شیرپوینت 2016
یکی از مهمترین مبحثها در شیرپوینت است که اگر خوب با آن کار نکرده باشید، باعث ایجاد مشکل برای شما میشود و دسترسی¬های بی¬مورد را برای کاربران ایجاد کند؛ در این بخش به قسمتهای مختلف امنیّت در سایت و قسمت مدیریّتی شیرپوینت میپردازیم.
برای شروع کار، یک مثال کاربردی از دسترسی به سایت را با هم بررسی میکنیم، اگر سایتی را برای کاربری به اشتراک نگذارید و آن کاربر بخواهد، سایت مورد نظر را باز کند با اخطار شکل زیر مواجه خواهد شد؛ برای اینکه کاربر دسترسی به سایت را داشته باشد باید از نظر امنیّت، کاربر را در لیستهای مجاز قرار دهید، در این قسمت میتوانید گزینهای را فعّال کنید تا زمانیکه کاربر به سایت دسترسی نداشت به مدیر شیرپوینت درخواست دسترسی ارسال کند و مدیر بعد از بررسی، این موضوع را تأیید کند؛ برای انجام این کار بر روی منوی مورد نظر کلیک و گزینهی Site Settings را انتخاب کنید.
در این صفحه، قسمتUsers and Permissions را مشاهده میکنید که مربوط به دسترسیهای سایت است که باید بر روی آن خیلی تمرکز کنید؛ در ادامه بر روی Site permissions کلیک کنید.
در این صفحه بر رویAccess Request Settings کلیک کنید.
در این صفحه، تیک گزینهی Allow access request را انتخاب و یک آدرس ایمیل برای ارسال درخواست وارد کنید و بر روی OK کلیک کنید.
اگر کاربر مورد نظر، دوباره سایت را اجرا کند، صفحه ی زیر را مشاهده خواهد کرد که میتواند یک درخواست برای مدیر سایت ارسال کند؛ درخواست مورد نظر را وارد و بر روی Send request کلیک کنید.
برای اینکه درخواستهای کاربران را مشاهده کنید باید وارد Site Settings شوید و بر روی Access requests and invitations کلیک کنید، اگر توجّه کرده باشید این گزینه به تازگی اضافه شده است.
یک درخواست دسترسی را مشاهده میکنید که توسّط کاربر test برای سایت SharePoint 2016 ارسال شده است که با کلیک بر روی Approve، این درخواست تأیید خواهد شد.
بعد از تأیید، یک ایمیل برای کاربر مورد نظر ارسال خواهد شد که با کلیک بر رویGo to the Site میتواند وارد سایت شیرپوینتی شود.
در ادامه به بررسی گروههای امنیّتی که در سایت قرار دارند، میپردازیم و آنها را بررسی میکنیم؛ از منوی زیر واردSite settings شوید.
در این صفحه بر روی Site Permissions کلیک کنید.
در این صفحه بر روی Permissions Levels کلیک کنید.
این صفحه مربوط به سطوح دسترسی است که هر کدام عملکرد خاصّ خودشان را دارند؛ در زیر تمام این گزینهها را بررسی میکنیم:
1- Full Control: این سطح دسترسی بالاترین سطح است و گروههایی که دارای این سطح هستند، میتوانند به تمام اجزای سایت دسترسی داشته باشند.
2- Design: اگر گروهی این دسترسی را داشته باشد، توانایی خواندن، ایجاد، آپدیت، حذف، تأیید و شخصی سازی اطّلاعات را دارا خواهد بود.
3- :Edit توانایی اضافه، آپدیت و حذف کردن لیست را دارد و میتواند اطّلاعات لیست را ویرایش، اضافه و یا حذف کند و فایلها را در قسمت کتابخانه اضافه کند.
4- Contribute: توانایی این را دارد که لیست و کتابخانهها را اضافه، ویرایش و حذف کند.
5- Read: توانایی دیدن صفحات، لیستها و دانلود فایلهای کتابخانهها را دارا است.
6- Limited Access: اگر به گروهی داده شود، در صورت اجازه میتواند لیستهای خاص و فایلهای کتابخانه و... را مشاهده کند.
7- View Only: توانایی دیدن صفحات سایت، مقادیر لیست و کتابخانهها را دارا است؛ فایلها در کتابخانهها، قابل رؤیت است، امّا توانایی دانلود را ندارد.
8- Approve: توانایی ویرایش صفحات و تأیید صفحه به همراه لیست و کتابخانه را دارا است.
9- Manage Hierarchy: توانایی ایجاد صفحه به همراه ویرایش لیست و کتابخانه را دارد.
10- Restricted Read: توانایی دیدن صفحات و مدارک را دارا است، امّا نمیتواند نسخه های قبلی و دسترسی های دیگران را ببیند.
11- Restricted Interfaces for Translation: توانایی باز کردن لیستها و پوشه ها را دارد.
تا به اینجا، این سطوح دسترسی را با هم بررسی و فقط عملکرد آن را مشخّص کردیم؛ در ادامه در مورد نحوه ی کارکرد آنها بحث خواهیم کرد.
اگر بخواهید، یک سطح دسترسی شخصی ایجاد کنید باید در این صفحه بر رویAdd a Permission Level کلیک کنید.
در صفحه ی زیر و در قسمت Name، نام سطح خود را وارد کنید؛ در قسمت پایین، سه قسمت مختلف وجود دارد؛ در قسمت شمارهی یک که مربوط به دسترسی های لیست است به گروه و کاربر مورد نظر اجازه میدهید تا به بخشهای مختلف لیست دسترسی داشته باشد، این دسترسیها در سطح های مختلف وجود دارد که باید به دقّت انتخاب شود، مثلاً برای اینکه گروه و کاربر مورد نظر دسترسی اضافه کردن و ویرایش لیست را داشته باشد، تیک گزینههای Add Items و Edit Items را انتخاب کنید، در قسمت شمارهی دو که مربوط به دسترسی سایت است، این توانایی را میدهید که به اجزای مختلف سایت دسترسی داشته باشد، مثلاً برای نمایش صفحه ی سایت، تنها کافی است تیک گزینهی View Page را انتخاب کنید؛ در قسمت شمارهی سه که مربوط به دسترسی شخصی هر کاربر است، میتوانید به کاربر توانایی بدهید تا صفحه و اطّلاعات خود را ویرایش کند، توجّه داشته باشید با انتخاب گزینهای، مثل Edit Item، گزینههایی که باید با آن انتخاب شوند به صورت خودکار انتخاب خواهند شد.
دوباره به قسمتSite permissions مراجعه کنید؛ در این قسمت، گروههای پیشفرضی تعریف شده است که اگر به ستون Permissions Levels توجّه کنید، درخواهید یافت که همان سطح دسترسیهایی است که در قسمت قبل با هم بررسی کردیم، پس زمانیکه یک گروه ایجاد میشود باید دارای یک سطح دسترسی باشد؛ برای شروع کار، یک گروه با هم ایجاد میکنیم و کاربران خود را عضو آن گروه میکنیم.
برای ایجاد گروه از تب PERMISSIONS بر روی گزینهی Create Group کلیک کنید.
در این صفحه و در قسمت Name، نام گروه خود را وارد کنید و در قسمت About Me، توضیحات مربوط به گروه را وارد کنید؛ در قسمت Owner باید یک مدیر گروه تعریف کنید، این مدیر گروه میتواند نام یک گروه باشد یا یک کاربر خاص. مالک گروه، اجازه ی هرکاری، مانند: افزودن یا حذف اعضا و یا حذف گروه را خواهد داشت؛ در Group Settings و در قسمت اوّل، این پرسش مطرح میشود که چه کسی می تواند اعضای این گروه را ببیند و در قسمت دوم نیز چه کسی میتواند اعضای گروه را تغییر دهد؛ در اینجا، گزینهای را تغییر ندهید و صفحه را به سمت پایین، Scroll کنید.
در پایین صفحه، سطوح دسترسی که قبلاً بررسی کردیم را مشاهده میکنید؛ برای اینکه این گروه، مجوّز فقط خواندن داشته باشد، تیک گزینهی Read را انتخاب کنید و بر روی Create کلیک کنید.
بعد از ایجاد گروه به مانند شکل، مدیر به صورت خودکار عضو این گروه خواهد شد؛ برای اینکه کاربران دیگر را عضو این گروه کنید، از قسمت New بر روی گزینهی Add Users کلیک کنید.
در این صفحه، نام کاربری را که قرار است عضو این گروه شود را وارد کنید و در قسمت Options، اگر بخواهید بعد از عضویّت در گروه، یک ایمیل نیز برای کاربر مورد نظر ارسال شود، تیک گزینهی Send an email invitation را انتخاب و بر روی Share کلیک کنید.
با انجام کار بالا، سایت SharePoint 2016 برای کاربر Test با سطح دسترسی Read به اشتراک گذاشته شد.
نکته: اگر با شیرپوینتهای 2010 و 2013 کار کرده باشید، برای اینکه در یک مرورگر به صورت سریع با یک نام کاربری دیگر وارد سایت شیرپوینت شوید با کلیک بر روی نام در قسمت بالایی سایت و انتخابChange Different User با نام کاربری دیگر وارد سایت میشدیم، امّا در شیرپوینت 2016 این امکان به صورت پیش فرض وجود ندارد و برای اینکه سریع، کاربر خود را در مرورگر تغییر دهید باید به صورت زیر عمل کنید.
مرورگر خود را در جستجو پیدا کنید و بعد از آن، کلید Shift را از روی صفحه ی کلید نگه دارید و بر روی مرورگر، کلیک راست کنید و روی گزینهی Run as different کلیک کنید.
همانطور که مشاهده میکنید با کاربر Test وارد سایت شیرپوینت شدیم، اگر به گزینههای سایت توجّه کنید، دسترسیها محدود شده است؛ بر روی List-1 کلیک کنید.
همانطور که در لیست List-1 مشاهده میکنید، کاربر تنها میتواند اطّلاعات را ببیند و هیچ ویرایش یا گزینهی جدیدی را نمیتواند درون لیست ایجاد کند، حتّی در تب ITEMS و LIST بیشتر گزینهها غیرفعّال شده است.
روش دیگر برای دادن دسترسی این است که بر روی آیکون Grant Permissions کلیک کنید.
در این قسمت میتوانید نام گروه را از لیست، انتخاب و کاربر را عضو این گروه کنید.
برای اینکه متوجّه شوید که یک کاربر دارای چه دسترسیهایی است باید در تب PERMISSIONS بر روی Check Permissions کلیک کنید و در صفحه ی باز شده، نام کاربری را وارد و بر روی Check Now کلیک کنید، همانطور که در شکل زیر مشاهده میکنید، دسترسی کاربر مشخّص شده است، این کار میتواند بسیار به شما کمک کند.
گزینهای با نامSite Collection Administrators وجود دارد که باید بر روی آن کلیک کنید؛ در این قسمت اگر کاربری وارد شود، توانایی مدیریّت کامل مجموعهای از سایتها را خواهد داشت که این دو کاربر نیز به صورت اتوماتیک به لیست اضافه شده است.
برای اینکه کاربر مورد نظر خود را از لیست گروه حذف کنید باید از طریق منوی Actions، گزینهی Remove Users from Group را انتخاب کنید.
تا به اینجا، امنیّت سایت را بررسی کردیم؛ در قسمت مدیریّتی شیرپوینت نیز امنیّت وجود دارد که در این قسمت آن را بررسی میکنیم؛ برای شروع کار وارد آدرس http://sp2016:1010/ شوید، این همان آدرس صفحه ی مدیریّتی شیرپوینت است که قبلاً بررسی کردیم.
در صفحه ی مدیریّتی، قسمتی با نام Security وجود دارد که مربوط به تنظیمات امنیّتی شیرپوینت است؛ بر روی Manage the farm administrators group کلیک کنید.
در این صفحه، سه کاربر را مشاهده میکنید که به صورت خودکار، در زمان نصب به شیرپوینت اضافه شدند که کاربر BUILTIN\Administrators همان، کاربر Administrators خود سرور شیرپوینت است که به عنوان کاربر Local محسوب خواهد شد، دو کاربر دیگر نیز که مربوط به Farm و SQL هستند در زمان نصب شیرپوینت به این لیست اضافه شدهاند، توجّه داشته باشید، کاربرانی که در این لیست تعریف شدند، توانایی مدیریّت کامل قسمت مدیریّتی را دارا خواهند بود، برای مثال کاربر Test که یک کاربر معمولی است را با کلیک بر روی New به لیست اضافه میکنیم.
همانطور که مشاهده میکنید کاربر Test، توانست قسمت مدیریّتی شیرپوینت را باز کند، توجّه داشته باشید که کاربرانی که در این لیست تعریف میشوند، نمیتوانند به سایتها وWeb Applications دیگر دسترسی داشته باشند.
نکته: این نوع دسترسی کامل نیست، برای اینکه یک کاربر بر روی قسمت مدیریّتی دسترسی کامل داشته باشد باید در گروه Local Administrators اضافه شود.
برای انجام این کار باید وارد سرور شیرپوینت شوید و سرویسLocal Users and Groups را اجرا کنید و در صفحه ی باز شده وارد Groups شوید و بر روی کاربر Administrators کلیک راست کنید و گزینهی Administrators را انتخاب کنید.
در شکل زیر بر روی Add کلیک کنید و کاربر test را به لیست اضافه کنید، اگر توجّه داشته باشید، دو کاربر spfarm و spsql از قبل در لیست قرار داده شده اند.
نکته: اگر کاربری را تنها در گروه Local Administrators قرار دهید، توانایی مدیریّت کامل شیرپوینت را خواهد داشت؛ در شکل زیر کاربر test را از لیست حذف کنید.
همانطور که مشاهده میکنید با کاربر test وارد قسمت مدیریّتی شدیم، امّا کاربر test در قسمتFarm Administrators تعریف نشده است.
گزینهی دیگری که در قسمت Security وجود دارد، گزینهی Configure managed accounts است؛ بر روی آن کلیک کنید.
در این صفحه، نام کاربری وارد خواهد شد که برای ایجاد سایت یا اجرای سرویس باید از آنها استفاده کنید، اگر به شکل زیر توجّه کنید، دو کاربری که در هنگام نصب، ایجاد و استفاده کردیم در این لیست وارد شدهاند که کاربر spfarm، برای مدیریّت Farm و کاربر spservice، برای اجرا شدن سرویس به کار برده میشود، اگر در خلال کار نیاز به این قسمت بود، حتماً آن را بررسی خواهیم کرد، توجّه داشته باشید کاربری که در این قسمت تعریف شود به مدیریّت و سایتهای شیرپوینت دسترسی نخواهد داشت.
تغییر رمز کاربر سیستم در شیرپوینت
در این قسمت میخواهیم نحوه ی تغییر رمز کاربران سیستمی (Spservice, Spfarm, Spsql) را در شیرپوینت بیاموزیم، به این دلیل در اوایل نصب شیرپوینت سه کاربر را برای نصب معرّفی کردیم تا هیچ فردی، کاری با آن کاربران نداشته باشد، چون تغییر رمز کاربران و حذف آنها میتواند به سرور شیرپوینت آسیب وارد کند که حل کردن این مشکل در بعضی از مواقع غیر ممکن خواهد بود، برای اینکه متوجّه شوید چه مشکلی برای سرور پیش میآید به این قسمت توجّه کنید.
وارد سرور Active Directory شوید و سرویسActive Directory Users and Computers را اجرا کنید، در این سرویس به مانند شکل زیر بر روی کاربر spservice کلیک راست کنید و گزینهی Reset Password را انتخاب و یک رمز جدید برای سرور تعریف کنید.
بعد از تغییر رمز وارد سرور SharePoint شوید و CMD را اجرا کنید و دستور IISRESET را وارد کنید و Enter را فشار دهید تا آخرین تغییرات توسّط سرور شیرپوینت دریافت شود.
بعد از تغییر رمز، اگر سایت را اجرا کنید با خطای Server Unavailable مواجه خواهید شد که برای حلّ آن باید به مانند صفحه ی بعد عمل کنید.
وارد سرور شیرپوینت SP2016 شوید و سرویس IIS را اجرا کنید، بعد از اجرا شدن سرویس وارد قسمت Applications Pools شوید، در این قسمت دو Pool متوقّف شده است که اگر به ستون Identity توجّه کنید، متوجّه خواهید شد که نام کاربری آنها، Spservice است و به این دلیل، این دو از کار افتادهاند.
برای اینکه این دو Pool را دوباره Start کنید باید بر روی آن کلیک راست کنید و بر روی گزینهی Advanced Settings کلیک کنید.
توجّه داشته باشید که اگر در همین حالت بر روی Start کلیک کنید، این دو Pool فعّال خواهند شد، امّا بعد از چند ثانیه دوباره غیرفعّال خواهند شد که برای حلّ این مشکل باید رمز جدید کاربر Spservice را در ادامه وارد کنید.
در این صفحه به قسمت Identity مراجعه کنید، همانطور که مشاهده میکنید کاربر Spservice به همراه نام دومین تعریف شده است، امّا کارایی ندارد که برای حلّ مشکل آن باید دوباره کاربر به همراه رمز جدید آن، Add شود؛ بر روی آیکون مورد نظر کلیک کنید تا شکل بعد ظاهر شود.
در این صفحه بر روی شمارهی یک کلیک کنید و در صفحه ی بازشده، نام کاربری را به همراه نام دومین وارد کنید و رمز جدید آن را نیز وارد و بر روی OK کلیک کنید، دقیقاً همین کار را برای Pool بعدی انجام دهید.
بعد از انجام این کار، هر دو Pool را Start کنید، با این کار دوباره سایت مورد نظر به همراه سرویسهایی که با این کاربر (Spservice) کار میکردند، فعّال خواهد شد.
اکانت دیگر با نام Spfarm، از پیش برای Farm شیرپوینت ایجاد کردیم که در حال کار است، این اکانت یکی از مهمترین اکانتها در راه اندازی شیرپوینت است که اگر تغییری در آن ایجاد شود، کلّ سرور شیرپوینت از کار خواهد افتاد، همانطور که در شکل زیر مشاهده میکنید، آدرس مدیریّتی شیرپوینت از کار افتاده است.
همانطور که در قسمت IIS مشاهده میکنید، دو Pool دیگر که با کاربر Spfarm اجرا شده بودند از کار افتادهاند که برای حلّ آن باید مانند قبل، رمز جدید را وارد و این دو Pool را اجرا کنید.
شیرپوینت را قورت دهید ویرایش دوم - بررسی کلی سرورها (درس اول)
شیرپوینت را قورت دهید ویرایش دوم - راه اندازی سرور دیتابیس (درس دوم)
شیرپوینت را قورت دهید ویرایش دوم - راه اندازی سرور شیرپوینت (درس سوم)
شیرپوینت را قورت دهید ویرایش دوم - کار با سایت ها و لیست ها در شیرپوینت (درس چهارم)
شیرپوینت را قورت دهید ویرایش دوم - فیلتر کردن و گروه بندی در لیستها (درس پنجم)
شیرپوینت را قورت دهید ویرایش دوم - ایجاد نما (View) در شیرپوینت (درس ششم)
شیرپوینت را قورت دهید ویرایش دوم - کار با Task (وظایف) در شیرپوینت (درس هفتم)
شیرپوینت را قورت دهید ویرایش دوم - ایجاد Template از لیست شیرپوینت (درس هشتم)
شیرپوینت را قورت دهید ویرایش دوم - کار با ستون Lookup در شیرپوینت(درس نهم)
شیرپوینت را قورت دهید ویرایش دوم -کار با InfoPath در شیرپوینت (درس دهم)
شیرپوینت را قورت دهید ویرایش دوم - ایجاد شرط در InfoPath (درس یازدهم)
شیرپوینت را قورت دهید ویرایش دوم - دریافت اطّلاعات لیست دیگر در فرم Infopath (درس دوازدهم)
شیرپوینت را قورت دهید ویرایش دوم -کار با نرمافزار SharePoint Designer (درس سیزدهم)
شیرپوینت را قورت دهید ویرایش دوم - فعّالسازی ایمیل در شیرپوینت (درس چهاردهم)
شیرپوینت را قورت دهید ویرایش دوم - امنیّت در شیرپوینت 2016 (درس پانزدهم)
شیرپوینت را قورت دهید ویرایش دوم - طرّاحی در شیرپوینت 2016 (درس شانزدهم)
شیرپوینت را قورت دهید ویرایش دوم - کار با کدهای HTML و CSS در صفحات (درس هفدهم)
شیرپوینت را قورت دهید ویرایش دوم - ایجاد Masterpage در شیرپوینت 2016 (درس هجدهم)