Microsoft SharePoint 2010 年:SharePoint 中的強制服務
Microsoft SharePoint 2010 中有您可以識別和啟動的強制服務和選用服務。
Steve Wright and Corey Erkes
改編自"Pro SharePoint 2010 治理"(很,2012年)
在最基本的級別,您可以將分類 SharePoint 服務作為強制性或可選。 強制性服務是指那些必須出席所有時間順序的系統功能。 這些都是出於技術原因所需的服務。 您的組織可能有規管或法規遵從性需要,將需要一些其它可選的服務,以作出強制性。 例如,一個門戶,所在公司的記錄,受到薩班斯-奧克斯利法案規定可能會要求 SharePoint 的記錄管理功能,可供。
可選服務,那些您部署因為他們提供對組織的價值。 一些服務將會依賴別人才能正常工作。 例如,若要使用的自動化的 SharePoint 內容部署機制,您也必須使用發佈功能。
雖然它可能容易使腫塊到一個服務的一組相互關聯的特徵,目標應該是簡化治理的每一項服務。 功能結合不同的聽眾,要求和監視功能到一個服務將使該服務更難以管理。
強制性服務
此清單包括其中 SharePoint 治理團隊需要注意的最重要的強制性服務。 您將需要評估,並在安裝任何 SharePoint 伺服器之前對這些服務方案。
基礎架構服務
基礎架構服務形成系統的其餘部分的基礎。
硬體基礎架構
在規劃一個 SharePoint 環境的硬體時,您和您的 IT 團隊的其餘部分將需要容量規劃與管理團隊一起工作。 容量規劃涉及創建您將如何使用系統和什麼樣的性能級別的設定檔會期望。 您的團隊可以顯示此資訊治理團隊和廣大使用者之間的服務等級協定 (SLA) 中的大部分。
在開發時一個門戶的硬體計畫,請考慮下列各項:
- **使用者負載:**有多少使用者會在同一時間使用系統? 將最大量使用哪些服務?
- **存儲卷:**入口網站,包括所有版本和類型的文檔中,您將存儲多少資料?
- **存儲類型:**將所有內容都存儲在一個單獨的 SQL 伺服器、 NAS 或 SAN 嗎? 您需要訪問使用 SQL 伺服器遠端 BLOB 服務 (RBS) 的任何資料嗎?
- **網路頻寬:**有多少資料將入口網站發送和接收嗎?
- **網路路由:**您需要一種網路負載平衡設備嗎? 新的防火牆設置好?
- **伺服器層:**所有的 SharePoint 門戶需要一個或多個 Web 服務器和一個或多個資料庫伺服器。 是否您的入口網站需要單獨搜索查詢和索引伺服器? 其他應用程式層服務如 Excel Services、 訪問及 PerformancePoint 服務呢? 這些服務可以駐留在前端 Web 服務器上,但這可能會降低性能。
即使最好的容量計劃永遠不會是完美的。 隨著時間的推移,內容往往變得更大。 如果您的入口網站是成功的添加了新的服務和更積極的使用者將增加伺服器上的負載。
當您最初部署伺服器場時,收集一套的性能和使用方式度量。 這些將構成您以後可以用來比較的基線。 隨著系統的負載和存儲大小的增加,這些測量資料將説明治理團隊主動預測時,您需要額外的硬體。 這將防止最終使用者注意系統放緩可能導致它們放棄他們的入口網站使用。
驗證
身份驗證是由該系統標識使用者,當它們連接到入口網站的手段。 這通常涉及提供使用者名和密碼。 在那裡你存儲這些憑據和它們如何驗證的位置可以大大不同。 SharePoint 支援兩種身份驗證模式 — — 經典和索賠為基礎:
- 經典的身份驗證是由大多數 Web 網站和 SharePoint 的以前的版本使用相同的機制。 此系統檢查針對 Windows 身份提供程式,Active Directory (Windows NT LAN 管理器) 或 Kerberos 憑據。 這些資訊包括有關使用者包括其所屬的安全性群組的基本屬性。
- 基於索賠的身份驗證是新 SharePoint 2010 年。 申索是資訊的一套有關主題由受信任的索賠供應商提供。 此資訊是由提供程式發出加密的安全權杖中傳遞的。 對使用者提供索賠作為其身分的證據才能使用該系統。
Active Directory、 Kerberos 和許多其他供應商也可以作為索賠依據的身份檢查器提供者。 當執行-基於表單身份驗證 (凡在使用者登錄憑據存儲在資料庫中,例如),稱為作為索賠提供程式的成員資格和角色提供程式的元件。 另一種常用的技術是使用集中式的身份存儲庫 (如 Windows Live ID 提供使用安全斷言標記語言 (SAML) 的索賠。
身份驗證的考慮因素包括:
- 將該使用者的名稱和密碼會存儲在何處?
- 使用者將如何更改自己的密碼?
- 世衛組織將創建和停用使用者嗎?
- 什麼配置是否需要這些憑據帶入 SharePoint?
- 入口網站將如何建立其索賠供應商的信任關係?
不是不尋常的在一個單一的 SharePoint 農場內使用多個表單的身份驗證。 最常見形式的身份驗證的 intranet 上的內部使用者,對於 Active Directory。 Kerberos 變得更受歡迎,隨著更多的管理員變得熟悉它。 對於外部網或公共 Web 網站上的外部使用者,通常是不切實際,使用活動目錄。 這是使用基於表單的身份驗證或基於互聯網的身份服務 (如 Windows Live 更常見。
使用基於索賠或經典的身份驗證的決定將取決於您需要執行身份驗證的類型。 一般情況下,如果不需要使用傳統的身份驗證,新的 SharePoint 裝置應使用基於索賠的模式。
授權
授權是指確定允許哪些使用者可以執行哪些操作的過程。 身份驗證回答這個問題:"你是誰?"授權感到關切的是,"可以你做什麼嗎?"
在授權內的第一個概念是身份。 使用者的標識包括其使用者名稱和任何他們所屬的安全性群組。 有兩種類型中 SharePoint 的身份 — — 域和 SharePoint 組:
- 域身份是由索賠或用來登錄到該系統的經典提供程式定義的使用者和組的名稱。 一旦使用者已登錄到 SharePoint,以相同的方式使用域使用者和組的名稱。 您不能更改從 SharePoint 內的域組的成員。
- SharePoint 組讓你組域使用者和組來簡化管理的許可權。 您可以編輯通過 Web 介面的 SharePoint 組。 您還可以配置他們讓成員自己添加或從組的擁有者申請會員資格。 SharePoint 組的一個缺點是它們是特定于正在創建它們的網站集。 您不能跨多個集合引用它們。
一個安全物件是可以有分配許可權的 SharePoint 內的任何物件。 這包括專案,如網站、 網站集、 清單、 庫和清單或庫專案。 這些都是向其授予存取權限的物件。
角色定義定義一個許可權或將採取的行動。 一個網站,此包含視圖的一些示例編輯清單項並刪除一個頁面。 SharePoint 還允許您創建權限等級。 權限等級是一組作為一個單元已宣佈的許可權。 指定物件的訪問權限等級的使用者授予他們與該權限等級相關聯的擁有權利。 一些常見的權限等級包括完全控制、 貢獻、 讀取和設計。 您可以創建和編輯在 SharePoint 網站介面中的權限等級。 像 SharePoint 組的權限等級是在單個網站集合內定義的。
最後一個概念來理解是分配。 當你給一項內容 (安全物件) (標識) 一組特定的許可權 (角色定義) 的使用者創建分配。 分配三路之間建立連接的身份、 角色定義和物件以定義可能會試圖訪問該物件的任何使用者的權利。
當使用者試圖訪問的物件時,SharePoint 搜索與該使用者相關聯的身份的任何工作分配。 其中包括使用者的域使用者 ID、 所有的域組和使用者所屬的任何 SharePoint 組。 所產生的分配清單用於確定該使用者具有對該物件的許可權。
這將是最重要的是預先計畫的兩個專案是權限等級和您會想要創建的 SharePoint 組。 下面是一些事情,要記住:
- 您將管理組成員身份在 SharePoint 組或域組中嗎? 僅在每個網站集內定義 SharePoint 組,但您可以輕鬆地管理他們通過 Web 介面。 域組是全球性的但您必須維護他們在 SharePoint 之外。
- 如何將使用者請求並將向每個組授予訪問嗎?
- SharePoint 適合您的需要提供的標準權限等級嗎? 如果沒有,您可以修改或創建新的級別,以適合您的情況。
- 網站擁有者通常分配他們的網站內的許可權。 誰將擁有每個網站和你如何將轉讓擁有權的使用者離開本組織的時候嗎?
- 誰將負責從離開組織的使用者刪除訪問?
要瞭解關於授權的一個最後一個概念是繼承。 SharePoint 網站集內的每個物件有一個父物件,它可以從中繼承其許可權分配。 從其父網站繼承的網站、 清單從包含它們的網站繼承和繼承其父清單的清單項。
預設情況下,一個新的專案將繼承其父物件的許可權。 授權的使用者可以中斷此繼承。 打破繼承將導致從父物件複製到子物件的分配。 這樣做的結果是,兒童仍將父,相同的許可權,但後來孩子的許可權所做的任何更改不會影響父。 從孩子繼承許可權的任何物件將繼續這樣做,但現在他們會直接從孩子,不是從其父來獲取許可權。
電子郵件集成
雖然電子郵件集成不是嚴格的 SharePoint 給函數強制性的重要的是足夠在大多數情況下,被認為是強制性。 在 SharePoint 內的許多功能不會發送電子郵件的能力沒有發揮作用。 這兩個例子是必須能夠通知使用者他們的任務的工作流程和警報,您僅可以通過電子郵件發送。
SharePoint 具有兩個單獨的電子郵件配置:傳入和傳出。 傳出電子郵件提供了警報和通知工作流和某些行政的事件。 傳入電子郵件可以讓使用者參與電子郵件討論清單、 將文檔發送到文件庫或其他類型的資料提交到 SharePoint。
在設計電子郵件集成您的入口網站時,應考慮以下問題:
- 傳出電子郵件需要大多數 intranet 入口網站。 真的需要或適宜是傳入的電子郵件嗎?
- 將本地 SMTP 服務使用的 Web 服務器上,或者將您訪問外部電子郵件伺服器嗎?
- 轉發電子郵件和 SharePoint 場需要什麼樣的安全配置?
- 如何配置電子郵件伺服器和防火牆,以防止在 SharePoint 網站被用作垃圾郵件的電子郵件通信的中繼點?
- 從 SharePoint 的郵箱將如何篩選傳入的垃圾郵件?
SharePoint 使用 SMTP 協定來發送和接收電子郵件的郵件伺服器。 一種常見情況是在一個或多個農場中的 SharePoint 伺服器上配置 Windows SMTP 服務,但您可以使用任何啟用 SMTP 伺服器應用程式。 使用本地 SMTP 服務,時,通常需要將它配置為郵件中繼到另一台伺服器的最終交付。 如果它的配置不小心,這可以創建一個安全性漏洞。 一定要在部署任何新的 SMTP 伺服器,您的網路內前涉及網路工程師。
管理和監視
管理和監視服務説明您配置和監視 SharePoint 伺服器場。
中央行政管理
SharePoint 的主要管理介面是中央管理 (CA) 的 Web 網站。 此 Web 網站包含在 SharePoint 內的幾乎所有管理功能的工具。 此 Web 網站必須在農場內恰好只有一個 SharePoint 伺服器上存在。 使用本網站,可以創建新的網站和網站集、 配置農場服務、 分配資源和配額限制,並執行大量的其他任務,使用一個簡單的 Web 介面。
一些最佳做法和有關 CA 的提示包括:
- 確保 Web 網站通信量的 CA 無法源于互聯網。 使用防火牆設置或網路路由來防止駭客訪問。
- 考慮主辦並不與互聯網通信的應用層伺服器上的 CA Web 網站。
- 限制農場管理員的數量。 只有訓練有素的人員應允許訪問 CA。
- 通過 CA 所做的所有更改的記錄。
- 您可以將 CA Web 網站從一台伺服器移動到另一個使用 SharePoint 產品和技術設定精靈。
- 您可以更改分配給在安裝時使用的 Windows PowerShell 集-SPCentralAdministration Cmdlet 的 CA Web 網站的隨機分配的埠號。
雖然您可以執行大多數管理使用 CA 介面的操作,有些會要求您使用 SharePoint 的命令列工具。 Windows PowerShell 介面允許您編寫複雜的、 物件導向的管理腳本。 這是 SharePoint 2010 年首選的腳本編寫工具。 在以前版本的 SharePoint 所使用的 STSADM 工具在 2010 年,仍可用,但被認為是過時的是包括只是為了支援向後相容性。
記錄和追蹤
SharePoint 使用通用的測井系統整合產品從各種元件的跟蹤資訊。 這些日誌會變得非常大。 你必須分配足夠的空間來存儲它們,或系統不能記錄關鍵資料。 此外,如果使用系統的 C 磁碟機上的預設位置,則日誌可以填滿在系統磁碟機並導致系統故障。
您總是應該到另一個磁碟機專門分配給日誌檔移動這些日誌。 注意伺服器場中的每個伺服器上的日誌檔都存儲在相同的位置。 因此,伺服器場中的每個伺服器上必須存在日誌檔的位置。 這可能需要額外的磁片資源調配。
用法和健康的資料收集
您可以配置 SharePoint 來收集有關系統使用方式的廣泛資訊。 此資訊提供了有關使用者如何使用系統的寶貴回饋。 他們最常訪問的網站? 他們最常使用的功能? SharePoint 可以還會自動評估伺服器場的狀態,並提供主動預防性警報,在檢測到問題時。
有一個主機的附加的可選服務,您可以確定並在 SharePoint、 內啟動但這涵蓋所形成的 SharePoint 服務產品核心的強制性服務。
.jpg)
Steve Wright Sogeti 美國內布拉斯加州奧馬 llc 公司是商業情報管理高級經理 最後 20 多年來,賴特一直在空中交通管制、 金融、 保險和大量的其他類型的系統。 他創作的很多原來的頭銜,涵蓋包括 Windows SharePoint、 SQL Server、 BizTalk 的 Microsoft 產品進行技術審查。
.jpg)
Corey Erkes 是 Sogeti 美國內布拉斯加州奧馬 llc 公司的經理顧問 Erkes 已經與廣泛的公司合作在生命週期中的 SharePoint 實現的不同點。 他也是奧馬哈 SharePoint 使用者組的創始成員之一。