شیرپوینت را قورت دهید ویرایش دوم - امنیّت در شیرپوینت 2016 (درس پانزدهم)

^{_{امنیّت در شیرپوینت 2016}}

یکی از مهمترین مبحث‌ها در شیرپوینت است که اگر خوب با آن کار نکرده باشید، باعث ایجاد مشکل برای شما می‌شود و دسترسی¬های بی¬مورد را برای کاربران ایجاد کند؛ در این بخش به قسمت‌های مختلف امنیّت در سایت و قسمت مدیریّتی شیرپوینت می‌پردازیم.

برای شروع کار، یک مثال کاربردی از دسترسی به سایت را با هم بررسی می‌کنیم، اگر سایتی را برای کاربری به اشتراک نگذارید و آن کاربر بخواهد، سایت مورد نظر را باز کند با اخطار شکل زیر مواجه خواهد شد؛ برای اینکه کاربر دسترسی به سایت را داشته باشد باید از نظر امنیّت، کاربر را در لیست‌های مجاز قرار دهید، در این قسمت می‌توانید گزینه‌ای را فعّال کنید تا زمانی‌که کاربر به سایت دسترسی نداشت به مدیر شیرپوینت درخواست دسترسی ارسال کند و مدیر بعد از بررسی، این موضوع را تأیید کند؛ برای انجام این کار بر روی منوی مورد نظر کلیک و گزینه‌ی Site Settings را انتخاب کنید.

در این صفحه، قسمتUsers and Permissions را مشاهده می‌کنید که مربوط به دسترسی‌های سایت است که باید بر روی آن خیلی تمرکز کنید؛ در ادامه بر روی Site permissions کلیک کنید.

در این صفحه بر رویAccess Request Settings کلیک کنید.

در این صفحه، تیک گزینه‌ی Allow access request را انتخاب و یک آدرس ایمیل برای ارسال درخواست وارد کنید و بر روی OK کلیک کنید.

اگر کاربر مورد نظر، دوباره سایت را اجرا کند، صفحه ی زیر را مشاهده خواهد کرد که می‌تواند یک درخواست برای مدیر سایت ارسال کند؛ درخواست مورد نظر را وارد و بر روی Send request کلیک کنید.

برای اینکه درخواست‌های کاربران را مشاهده کنید باید وارد Site Settings شوید و بر روی Access requests and invitations کلیک کنید، اگر توجّه کرده باشید این گزینه به تازگی اضافه شده است.

یک درخواست دسترسی را مشاهده می‌کنید که توسّط کاربر test برای سایت SharePoint 2016 ارسال شده است که با کلیک بر روی Approve، این درخواست تأیید خواهد شد.

بعد از تأیید، یک ایمیل برای کاربر مورد نظر ارسال خواهد شد که با کلیک بر رویGo to the Site می‌تواند وارد سایت شیرپوینتی شود.

در ادامه به بررسی گروه‌های امنیّتی که در سایت قرار دارند، می‌پردازیم و آنها را بررسی می‌کنیم؛ از منوی زیر واردSite settings شوید.

در این صفحه بر روی Site Permissions کلیک کنید.

در این صفحه بر روی Permissions Levels کلیک کنید.

این صفحه مربوط به سطوح دسترسی است که هر کدام عملکرد خاصّ خودشان را دارند؛ در زیر تمام این گزینه‌ها را بررسی می‌کنیم:

1- Full Control: این سطح دسترسی بالاترین سطح است و گروه‌هایی که دارای این سطح هستند، می‌توانند به تمام اجزای سایت دسترسی داشته باشند.

2- Design: اگر گروهی این دسترسی را داشته باشد، توانایی خواندن، ایجاد، آپدیت، حذف، تأیید و شخصی سازی اطّلاعات را دارا خواهد بود.

3- :Edit توانایی اضافه، آپدیت و حذف کردن لیست را دارد و می‌تواند اطّلاعات لیست را ویرایش، اضافه و یا حذف کند و فایل‌ها را در قسمت کتابخانه اضافه کند.

4- Contribute: توانایی این را دارد که لیست و کتابخانه‌ها را اضافه، ویرایش و حذف کند.

5- Read: توانایی دیدن صفحات، لیست‌ها و دانلود فایل‌های کتابخانه‌ها را دارا است.

6- Limited Access: اگر به گروهی داده شود، در صورت اجازه می‌تواند لیست‌های خاص و فایل‌های کتابخانه و... را مشاهده کند.

7- View Only: توانایی دیدن صفحات سایت، مقادیر لیست و کتابخانه‌ها را دارا است؛ فایل‌ها در کتابخانه‌ها، قابل رؤیت است، امّا توانایی دانلود را ندارد.

8- Approve: توانایی ویرایش صفحات و تأیید صفحه به همراه لیست و کتابخانه را دارا است.

9- Manage Hierarchy: توانایی ایجاد صفحه به همراه ویرایش لیست و کتابخانه را دارد.

10- Restricted Read: توانایی دیدن صفحات و مدارک را دارا است، امّا نمی‌تواند نسخه های قبلی و دسترسی های دیگران را ببیند.

11- Restricted Interfaces for Translation: توانایی باز کردن لیست‌ها و پوشه ها را دارد.

تا به اینجا، این سطوح دسترسی را با هم بررسی و فقط عملکرد آن را مشخّص کردیم؛ در ادامه در مورد نحوه ی کارکرد آنها بحث خواهیم کرد.

اگر بخواهید، یک سطح دسترسی شخصی ایجاد کنید باید در این صفحه بر رویAdd a Permission Level کلیک کنید.

در صفحه ی زیر و در قسمت Name، نام سطح خود را وارد کنید؛ در قسمت پایین، سه قسمت مختلف وجود دارد؛ در قسمت شماره‌ی یک که مربوط به دسترسی های لیست است به گروه و کاربر مورد نظر اجازه می‌دهید تا به بخش‌های مختلف لیست دسترسی داشته باشد، این دسترسی‌ها در سطح های مختلف وجود دارد که باید به دقّت انتخاب شود، مثلاً برای اینکه گروه و کاربر مورد نظر دسترسی اضافه کردن و ویرایش لیست را داشته باشد، تیک گزینه‌های Add Items و Edit Items را انتخاب ‌کنید، در قسمت شماره‌ی دو که مربوط به دسترسی سایت است، این توانایی را می‌دهید که به اجزای مختلف سایت دسترسی داشته باشد، مثلاً برای نمایش صفحه ی سایت، تنها کافی است تیک گزینه‌ی View Page را انتخاب کنید؛ در قسمت شماره‌ی سه که مربوط به دسترسی شخصی هر کاربر است، می‌توانید به کاربر توانایی بدهید تا صفحه و اطّلاعات خود را ویرایش کند، توجّه داشته باشید با انتخاب گزینه‌ای، مثل Edit Item، گزینه‌هایی که باید با آن انتخاب شوند به صورت خودکار انتخاب خواهند شد.

دوباره به قسمتSite permissions مراجعه کنید؛ در این قسمت، گروه‌های پیش‌فرضی تعریف شده است که اگر به ستون Permissions Levels توجّه کنید، درخواهید یافت که همان سطح دسترسی‌هایی است که در قسمت قبل با هم بررسی کردیم، پس زمانی‌که یک گروه ایجاد می‌شود باید دارای یک سطح دسترسی باشد؛ برای شروع کار، یک گروه با هم ایجاد می‌کنیم و کاربران خود را عضو آن گروه می‌کنیم.

برای ایجاد گروه از تب PERMISSIONS بر روی گزینه‌ی Create Group کلیک کنید.

در این صفحه و در قسمت Name، نام گروه خود را وارد کنید و در قسمت About Me، توضیحات مربوط به گروه را وارد کنید؛ در قسمت Owner باید یک مدیر گروه تعریف کنید، این مدیر گروه می‌تواند نام یک گروه باشد یا یک کاربر خاص. مالک گروه، اجازه ی هرکاری، مانند: افزودن یا حذف اعضا و یا حذف گروه را خواهد داشت؛ در Group Settings و در قسمت اوّل، این پرسش مطرح می‌شود که چه کسی می تواند اعضای این گروه را ببیند و در قسمت دوم نیز چه کسی می‌تواند اعضای گروه را تغییر دهد؛ در اینجا، گزینه‌ای را تغییر ندهید و صفحه را به سمت پایین، Scroll کنید.

در پایین صفحه، سطوح دسترسی که قبلاً بررسی کردیم را مشاهده می‌کنید؛ برای اینکه این گروه، مجوّز فقط خواندن داشته باشد، تیک گزینه‌ی Read را انتخاب ‌کنید و بر روی Create کلیک ‌کنید.

بعد از ایجاد گروه به مانند شکل، مدیر به صورت خودکار عضو این گروه خواهد شد؛ برای اینکه کاربران دیگر را عضو این گروه کنید، از قسمت New بر روی گزینه‌ی Add Users کلیک کنید.

در این صفحه، نام کاربری را که قرار است عضو این گروه شود را وارد کنید و در قسمت Options، اگر بخواهید بعد از عضویّت در گروه، یک ایمیل نیز برای کاربر مورد نظر ارسال شود، تیک گزینه‌ی Send an email invitation را انتخاب و بر روی Share کلیک کنید.

با انجام کار بالا، سایت SharePoint 2016 برای کاربر Test با سطح دسترسی Read به اشتراک گذاشته شد.

نکته: اگر با شیرپوینت‌های 2010 و 2013 کار کرده باشید، برای اینکه در یک مرورگر به صورت سریع با یک نام کاربری دیگر وارد سایت شیرپوینت شوید با کلیک بر روی نام در قسمت بالایی سایت و انتخابChange Different User با نام کاربری دیگر وارد سایت می‌شدیم، امّا در شیرپوینت 2016 این امکان به صورت پیش فرض وجود ندارد و برای اینکه سریع، کاربر خود را در مرورگر تغییر دهید باید به صورت زیر عمل کنید.

مرورگر خود را در جستجو پیدا کنید و بعد از آن، کلید Shift را از روی صفحه ی کلید نگه دارید و بر روی مرورگر، کلیک راست کنید و روی گزینه‌ی Run as different کلیک کنید.

همان‌طور که مشاهده می‌کنید با کاربر Test وارد سایت شیرپوینت شدیم، اگر به گزینه‎‌های سایت توجّه کنید، دسترسی‌ها محدود شده است؛ بر روی List-1 کلیک کنید.

همان‌طور که در لیست List-1 مشاهده می‌کنید، کاربر تنها می‌تواند اطّلاعات را ببیند و هیچ ویرایش یا گزینه‌ی جدیدی را نمی‌تواند درون لیست ایجاد کند، حتّی در تب ITEMS و LIST بیشتر گزینه‌ها غیرفعّال شده است.

روش دیگر برای دادن دسترسی این است که بر روی آیکون Grant Permissions کلیک کنید.

در این قسمت می‌توانید نام گروه را از لیست، انتخاب و کاربر را عضو این گروه کنید.

برای اینکه متوجّه شوید که یک کاربر دارای چه دسترسی‌هایی است باید در تب PERMISSIONS بر روی Check Permissions کلیک کنید و در صفحه ی باز شده، نام کاربری را وارد و بر روی Check Now کلیک کنید، همان‌طور که در شکل زیر مشاهده می‌کنید، دسترسی کاربر مشخّص شده است، این کار می‌تواند بسیار به شما کمک کند.

گزینه‌ای با نامSite Collection Administrators وجود دارد که باید بر روی آن کلیک کنید؛ در این قسمت اگر کاربری وارد شود، توانایی مدیریّت کامل مجموعه‌ای از سایت‌ها را خواهد داشت که این دو کاربر نیز به صورت اتوماتیک به لیست اضافه شده است.

برای اینکه کاربر مورد نظر خود را از لیست گروه حذف کنید باید از طریق منوی Actions، گزینه‌ی Remove Users from Group را انتخاب کنید.

تا به اینجا، امنیّت سایت را بررسی کردیم؛ در قسمت مدیریّتی شیرپوینت نیز امنیّت وجود دارد که در این قسمت آن را بررسی می‌کنیم؛ برای شروع کار وارد آدرس http://sp2016:1010/ شوید، این همان آدرس صفحه ی مدیریّتی شیرپوینت است که قبلاً بررسی کردیم.

در صفحه ی مدیریّتی، قسمتی با نام Security وجود دارد که مربوط به تنظیمات امنیّتی شیرپوینت است؛ بر روی Manage the farm administrators group کلیک کنید.

در این صفحه، سه کاربر را مشاهده می‌کنید که به صورت خودکار، در زمان نصب به شیرپوینت اضافه شدند که کاربر BUILTIN\Administrators همان، کاربر Administrators خود سرور شیرپوینت است که به عنوان کاربر Local محسوب خواهد شد، دو کاربر دیگر نیز که مربوط به Farm و SQL هستند در زمان نصب شیرپوینت به این لیست اضافه شده‌اند، توجّه داشته باشید، کاربرانی که در این لیست تعریف شدند، توانایی مدیریّت کامل قسمت مدیریّتی را دارا خواهند بود، برای مثال کاربر Test که یک کاربر معمولی است را با کلیک بر روی New به لیست اضافه می‌کنیم.

همان‌طور که مشاهده می‌کنید کاربر Test، توانست قسمت مدیریّتی شیرپوینت را باز کند، توجّه داشته باشید که کاربرانی که در این لیست تعریف می‌شوند، نمی‌توانند به سایت‌ها وWeb Applications دیگر دسترسی داشته باشند.

نکته: این نوع دسترسی کامل نیست، برای اینکه یک کاربر بر روی قسمت مدیریّتی دسترسی کامل داشته باشد باید در گروه Local Administrators اضافه شود.

برای انجام این کار باید وارد سرور شیرپوینت شوید و سرویسLocal Users and Groups را اجرا کنید و در صفحه ی باز شده وارد Groups شوید و بر روی کاربر Administrators کلیک راست کنید و گزینه‌ی Administrators را انتخاب کنید.

در شکل زیر بر روی Add کلیک کنید و کاربر test را به لیست اضافه کنید، اگر توجّه داشته باشید، دو کاربر spfarm و spsql از قبل در لیست قرار داده شده اند.

نکته: اگر کاربری را تنها در گروه Local Administrators قرار دهید، توانایی مدیریّت کامل شیرپوینت را خواهد داشت؛ در شکل زیر کاربر test را از لیست حذف ‌کنید.

همان‌طور که مشاهده می‌کنید با کاربر test وارد قسمت مدیریّتی شدیم، امّا کاربر test در قسمتFarm Administrators تعریف نشده است.

گزینه‌ی دیگری که در قسمت Security وجود دارد، گزینه‌ی Configure managed accounts است؛ بر روی آن کلیک کنید.

در این صفحه، نام کاربری وارد خواهد شد که برای ایجاد سایت یا اجرای سرویس باید از آنها استفاده کنید، اگر به شکل زیر توجّه کنید، دو کاربری که در هنگام نصب، ایجاد و استفاده کردیم در این لیست وارد شده‌اند که کاربر spfarm، برای مدیریّت Farm و کاربر spservice، برای اجرا شدن سرویس به کار برده می‌شود، اگر در خلال کار نیاز به این قسمت بود، حتماً آن را بررسی خواهیم کرد، توجّه داشته باشید کاربری که در این قسمت تعریف شود به مدیریّت و سایت‌‌های شیرپوینت دسترسی نخواهد داشت.

^{_{تغییر رمز کاربر سیستم در شیرپوینت}}

در این قسمت می‌خواهیم نحوه ی تغییر رمز کاربران سیستمی (Spservice, Spfarm, Spsql) را در شیرپوینت بیاموزیم، به این دلیل در اوایل نصب شیرپوینت سه کاربر را برای نصب معرّفی کردیم تا هیچ فردی، کاری با آن کاربران نداشته باشد، چون تغییر رمز کاربران و حذف آنها می‌تواند به سرور شیرپوینت آسیب وارد کند که حل کردن این مشکل در بعضی از مواقع غیر ممکن خواهد بود، برای اینکه متوجّه شوید چه مشکلی برای سرور پیش می‌آید به این قسمت توجّه کنید.

وارد سرور Active Directory شوید و سرویسActive Directory Users and Computers را اجرا کنید، در این سرویس به مانند شکل زیر بر روی کاربر spservice کلیک راست کنید و گزینه‌ی Reset Password را انتخاب و یک رمز جدید برای سرور تعریف کنید.

بعد از تغییر رمز وارد سرور SharePoint شوید و CMD را اجرا کنید و دستور IISRESET را وارد کنید و Enter را فشار دهید تا آخرین تغییرات توسّط سرور شیرپوینت دریافت شود.

بعد از تغییر رمز، اگر سایت را اجرا کنید با خطای Server Unavailable مواجه خواهید شد که برای حلّ آن باید به مانند صفحه ی بعد عمل کنید.

وارد سرور شیرپوینت SP2016 شوید و سرویس IIS را اجرا کنید، بعد از اجرا شدن سرویس وارد قسمت Applications Pools شوید، در این قسمت دو Pool متوقّف شده است که اگر به ستون Identity توجّه کنید، متوجّه خواهید شد که نام کاربری آنها، Spservice است و به این دلیل، این دو از کار افتاده‌اند.

برای اینکه این دو Pool را دوباره Start کنید باید بر روی آن کلیک راست کنید و بر روی گزینه‌ی Advanced Settings کلیک کنید.

توجّه داشته باشید که اگر در همین حالت بر روی Start کلیک کنید، این دو Pool فعّال خواهند شد، امّا بعد از چند ثانیه دوباره غیرفعّال خواهند شد که برای حلّ این مشکل باید رمز جدید کاربر Spservice را در ادامه وارد کنید.

در این صفحه به قسمت Identity مراجعه کنید، همان‌طور که مشاهده می‌کنید کاربر Spservice به همراه نام دومین تعریف شده است، امّا کارایی ندارد که برای حلّ مشکل آن باید دوباره کاربر به همراه رمز جدید آن، Add شود؛ بر روی آیکون مورد نظر کلیک کنید تا شکل بعد ظاهر شود.

در این صفحه بر روی شماره‌ی یک کلیک کنید و در صفحه ی بازشده، نام کاربری را به همراه نام دومین وارد کنید و رمز جدید آن را نیز وارد و بر روی OK کلیک کنید، دقیقاً همین کار را برای Pool بعدی انجام دهید.

بعد از انجام این کار، هر دو Pool را Start کنید، با این کار دوباره سایت مورد نظر به همراه سرویس‌هایی که با این کاربر (Spservice) کار می‌کردند، فعّال خواهد شد.

اکانت دیگر با نام Spfarm، از پیش برای Farm شیرپوینت ایجاد کردیم که در حال کار است، این اکانت یکی از مهمترین اکانت‌ها در راه اندازی شیرپوینت است که اگر تغییری در آن ایجاد شود، کلّ سرور شیرپوینت از کار خواهد افتاد، همان‌طور که در شکل زیر مشاهده می‌کنید، آدرس مدیریّتی شیرپوینت از کار افتاده است.

همان‌طور که در قسمت IIS مشاهده می‌کنید، دو Pool دیگر که با کاربر Spfarm اجرا شده بودند از کار افتاده‌اند که برای حلّ آن باید مانند قبل، رمز جدید را وارد و این دو Pool را اجرا کنید.