none
リストの権限で指定していないユーザーがアクセスできてしまう RRS feed

  • 質問

  • WSS3.0 SP1で、社内の共有サイトを運用しています。
    また、当該サイトの認証は、Active Directory を使用しています。


    リストに対して親サイトの権限を継承するのではなく独自の権限を設定しているのですが、いつから発生したかは不明なのですが、権限に含まれていないユーザーが閲覧権限でアクセスできるようになってしまいました。

    サブサイトについては、権限が有効になっています。
    また、リストへの一時対応として、対象ユーザーの設定によってアイテムは見えなくしていますが、“リストが存在する” ということを認識出来てしまいます。

    何か、解決方法やヒントなどいただけないでしょうか。
    2009年6月1日 8:29

回答

  • どうも。
    私はMOSS環境しか利用たことが無いので、的外れでしたら申し訳ない。


    これまで、同様の障害は聞いたことがありませんので、製品的なバグではないとは思います。

    何らかの理由でシステムが壊れてしまっているケースも考えられますが、
    特定のリストでのみ発生していることから、その可能性は低そうです。

    アクセス権限に SharePoint グループ や セキュリティーグループを使われていませんか?

    一番ありがちなのが、SharePoint グループに予期しないユーザが含まれている場合です。
    例えば NT AUTHORITY\authenticated users が含まれると、
    実質的に全ユーザに権限がついてしまいます。

    もしグループが含まれて居れば、その中身を棚卸しされることをお勧めします。


    また一時対応についてですが、私の記憶が正しければ、「対象ユーザー」機能は、

    1.Webパーツの表示/非表示
    2.コンテンツのクエリWebパーツ上でのアイテムの表示/非表示

    でのみ有効で、リスト上のアイテムそのものに対しては無効だった筈です。
    対象ユーザを設定されていても、そのアイテムは権限のあるユーザ全員に公開されていると思います。


    少しでもお役に立てれば幸いです。


    saruhiko
    • 回答としてマーク i-junichi 2009年6月5日 9:45
    2009年6月1日 10:17
  • お疲れ様です。

    あまりお役に立てず、申し訳ないです・・・。

    で、ふと思いついたのですが、「匿名アクセス」が有効になっていたりしないでしょうか?

    MOSSだと、サーバの管理画面で:
    サーバーの全体管理 > アプリケーション構成の管理 > 認証プロバイダ > 認証の編集 
    で設定します。

    参考:
    ○SharePoint Server 2007で匿名アクセスを許可する方法
    http://sharepoint.orivers.jp/blogs/orivers/archive/2007/01/13/2007_2D00_1_2D00_13_2D00_11_2D00_56.aspx
    ○匿名アクセスを有効にする
    http://office.microsoft.com/ja-jp/help/HA101130181041.aspx#EnableListLibrary

    正直、まったく自信はありません(汗)
    あくまで可能性として・・・。


    saruhiko
    • 回答としてマーク i-junichi 2009年6月5日 9:45
    2009年6月5日 8:05

すべての返信

  • どうも。
    私はMOSS環境しか利用たことが無いので、的外れでしたら申し訳ない。


    これまで、同様の障害は聞いたことがありませんので、製品的なバグではないとは思います。

    何らかの理由でシステムが壊れてしまっているケースも考えられますが、
    特定のリストでのみ発生していることから、その可能性は低そうです。

    アクセス権限に SharePoint グループ や セキュリティーグループを使われていませんか?

    一番ありがちなのが、SharePoint グループに予期しないユーザが含まれている場合です。
    例えば NT AUTHORITY\authenticated users が含まれると、
    実質的に全ユーザに権限がついてしまいます。

    もしグループが含まれて居れば、その中身を棚卸しされることをお勧めします。


    また一時対応についてですが、私の記憶が正しければ、「対象ユーザー」機能は、

    1.Webパーツの表示/非表示
    2.コンテンツのクエリWebパーツ上でのアイテムの表示/非表示

    でのみ有効で、リスト上のアイテムそのものに対しては無効だった筈です。
    対象ユーザを設定されていても、そのアイテムは権限のあるユーザ全員に公開されていると思います。


    少しでもお役に立てれば幸いです。


    saruhiko
    • 回答としてマーク i-junichi 2009年6月5日 9:45
    2009年6月1日 10:17
  • saruhikoさま、ご返答ありがとうございます。

    その後、色々とやって見たのですが、解決にいたっておりません。
    現在、コレクションごとテスト環境に移行中です。

    NT AUTHORITY\authenticated users は、特に何も弄っていないのですが、WSS の“グループ”に含まれております。
    それ以外に、セキュリティグループがいくつか登録されておりましたので、テスト環境にて削除してみようと思っています。

    > 例えば NT AUTHORITY\authenticated users が含まれると、
    > 実質的に全ユーザに権限がついてしまいます。
    >
    > もしグループが含まれて居れば、その中身を棚卸しされることをお勧めします。

    NT AUTHORITY\authenticated users に関しての設定変更って、MOSSで言うところの“共有サービス管理” → “ユーザーの権限の設定” のところの設定でしょうか?
    この辺のことに関しては、あまり理解しておりませんf(^^;


    ひとつだけわかったことは、問題のリストがあるサブサイトの権限について、独自の設定をしていたのですが、これを親サイトから継承し、当該サブサイトおよびリストに対して独自の権限を設定、それ以降よりおかしくなったものと思われます。
    このことについては、テスト用のサブサイトを作成し、再現を確認しました。

    やはり、saruhikoさんがおっしゃる通り、セキュリティグループが問題なのでしょうか。。。


    対象ユーザーの件ですが、おっしゃる通り、検索すると表示されます(苦笑)
    とりあえずは、対象のリストに対しての検索をする可能性は少ないということもあり、リストを開いても対象ユーザー以外には見えないようにしている状況です。

    今、テスト環境へのコレクションのリストアができたので、色々やってみたあと報告いたします。
    2009年6月2日 2:15
  • その後、テスト環境にてアクセス許可を(システムアカウントを除き)すべて削除してみたのですが、結果変わらず・・・
    さらに、トップサイトについても、作成したリストにたいしても同じ状況が起きてしまっています。

    ということは、トップサイトのアクセス許可の状態が、すでにおかしくなっているのかもしれません。
    やはり、セキュリティグループをSharePoint グループに含めていたことが原因でしょうか・・・


    とりあえず、解決の糸口が見えないので、一時対処として、該当のサブサイトをexport、新しいサブサイトを親権限を継承せずに作成、作成したサイトにユーザーのセキュリティ設定を維持せずに import することで対処することになりました。
    これで、対象のサブサイトについては、治るようです。
    ・・・ワークフロー、カスタムリストフォーム等、SPDでの修正が大変そうです(ToT)


    なんとかトップページのアクセス権限を修復(?)出来ないものでしょうか。
    2009年6月5日 5:25
  • お疲れ様です。

    あまりお役に立てず、申し訳ないです・・・。

    で、ふと思いついたのですが、「匿名アクセス」が有効になっていたりしないでしょうか?

    MOSSだと、サーバの管理画面で:
    サーバーの全体管理 > アプリケーション構成の管理 > 認証プロバイダ > 認証の編集 
    で設定します。

    参考:
    ○SharePoint Server 2007で匿名アクセスを許可する方法
    http://sharepoint.orivers.jp/blogs/orivers/archive/2007/01/13/2007_2D00_1_2D00_13_2D00_11_2D00_56.aspx
    ○匿名アクセスを有効にする
    http://office.microsoft.com/ja-jp/help/HA101130181041.aspx#EnableListLibrary

    正直、まったく自信はありません(汗)
    あくまで可能性として・・・。


    saruhiko
    • 回答としてマーク i-junichi 2009年6月5日 9:45
    2009年6月5日 8:05
  • お疲れ様です、saruhiko様。

    お役に立てないなんて、とんでもないです。
    自分の知識としては、大きなものを得たと思っています。

    何が原因かは特定できませんが、Sharepoint グループ の何かが影響している可能性が高いのかと思っています。
    まったく根拠ありませんがf(^^;

    匿名は許可したことありませんが、念のため確認してみましたところ、有効化にはしていませんでした。

    明日、休日出勤してサブサイトの再構築を実施するので、その時にテスト環境のグループを一度、全削除しようと思っています。
    もしかしたら、これで何らかの糸口が見えるかもしれません。(そう祈っています・・・)

    その結果は、またご報告させていただきます。
    2009年6月5日 9:51