Вопрос: Скрыть документы от администраторов семейства сайтов


Кто-нибудь знает, может ли администратор сайта программно устанавливать разрешения для документов в библиотеке SharePoint, чтобы администраторы семейства сайтов должны были получить право собственности до доступа к файлу? Я один из администраторов семейства сайтов, и пользователь хочет хранить формы InfoPath, содержащие конфиденциальную информацию на нашем сайте, и я ищу способ гарантировать, что к ним не будут доступны даже системные администраторы.


4
2017-10-15 17:29


Источник




Ответы:


Я столкнулся с этим вопросом раньше в отношении контента, отличного от SP, и я считаю, что это скорее вопрос управления отношениями с клиентами, чем технический вопрос. То, что это сводится к тому, что, если пользователи не могут доверять своим администраторам, они все равно ввернуты, и подобные вещи являются наименьшей из их проблем.

Хорошо, я могу понять перспективу пользователя здесь; что-то вроде ставок оплаты, обзоров производительности и / или отчетов по персоналу может быть довольно рискованным, чтобы иметь дело в лучшие времена, и может показаться привлекательным для администратора, чтобы заблокировать себя с точки зрения охвата азартных игр. Но в конце концов, есть много ситуаций, когда это может быть на самом деле для худшего.

Конкретные примеры включают в себя: как вы теперь выполняете резервное копирование и восстановление данных? Кто ухаживает за назначением разрешений новым пользователям? Кто ухаживает за проблемами в библиотеке? Что произойдет через 5 лет, когда данные должны быть перенесены на новый сервер? Что произойдет, если администратор просто изменит пароль пользователя и будет обращаться к данным таким образом? Что нужно, чтобы администратор просто дал себе (или фиктивную учетную запись пользователя) требуемые права доступа? Эти (и более) все вопросы, которые необходимо задать и ответить, прежде чем вы даже начнете думать о том, чтобы спуститься по этому маршруту.

Мне жаль, что это не ответ, но реальность такова, что с любой системой кто-то должен быть администратором, а быть администратором означает иметь как привилегию, так и ответственность, а также означает, что пользователям приходится не только доверять, но и верить в их кости, что они могут доверять админу, и что админу приходится уважать и показывать, что они заслуживают такого уровня доверия.


14
2017-10-15 17:45



На моей работе я прошел через другую, более обширную проверку фона, чтобы стать Администратором семейства сайтов. Затем я подписал дополнительные документы, чтобы не использовать свои полномочия для просмотра контента, который я не видел. - MrChrister


Кстати, для технического ответа я был бы больше заинтересован в предоставлении доступа к регистрации на конфиденциальных данных и организации журналов, которые должны быть доступны соответствующему менеджеру на ежедневной, еженедельной или любой требуемой основе (или даже пусть соответствующий менеджер просматривает журналы напрямую и когда захочет, чтобы исключить возможность подозрения в том, что кто-то другой подделывает их).


4
2017-10-15 18:02





Шифрование - единственный способ защитить данные от кого-то с физическим доступом. Однако, как говорит mh, если вы не можете доверять своим администраторам, у вас гораздо больше проблем.


1
2017-10-15 17:53



Мы все доверяем друг другу здесь, но некоторые люди все еще хотят запереть дверь стойки в ванной. Идите фигуру. - cyfred
И эта защелка эквивалентна удалению доступа для чтения / записи к файлу. Вы можете рассчитывать на то, что это безопасно, но тогда легко пробиться через туалетную дверь. Фактически вы выполняете аналогию, поскольку ее легко обойти, так что это мера токена, так же как и изменение разрешений. - Dentrasi


Единственный ответ, который я могу придумать, - создать новый сайт для сайтов, требующих безопасности. Ваша новая проблема заключается в том, кто будет администратором для этих сайтов, что в лучшем случае - это то, что предоставляется и отбирается по мере необходимости, а в худшем - кем-то, кто не имеет права на эту должность.

Помимо админов семейства сайтов, как вам сохранить администраторов фермы? Затем вы вернетесь к уже полученным ответам о том уровне доверия, который вы должны внести в своих администраторов.


0
2017-10-16 21:13





В основном я согласен с большинством ответов, рассматривая это как довольно странный сценарий. Если администратору не доверяют, то почему документ в этой области. Однако на самом деле это можно сделать с помощью кода. Если вы создаете библиотеку документов с использованием кода, прервите наследование разрешений и установите разрешения вручную, будут применяться только эти ручные разрешения, и даже последующее предоставление полного контроля над сайтом не изменит этого. Единственным исключением из этого будет оригинальный создатель сайта (будь то с использованием веб-страниц или лица, в чей идентификатор кода был запущен), который сохранит полный доступ.


0
2017-11-13 18:30