SharePoint对于信任域user的权限判断的局限和解决方案

最新推荐文章于 2022-06-14 15:32:41 发布
最新推荐文章于 2022-06-14 15:32:41 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: SharePoint 文章标签: SharePoint 单向信任域 Single Trust Domain User Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang4237/article/details/45023923
版权
在域A信任域B但域B不信任域A的环境中,SharePoint部署在域A中,用户在域B。用户通过AD Group在SharePoint上获取权限,但在检查权限时无法正确显示。尽管能正常登录并拥有权限,但API无法正确判断用户权限。解决方案是通过Claim View Web Part查看用户的所有AD Group存储在Claims中,利用SPSite和SPUserToken API结合AD查询获取用户所属所有组的SID,构造claim identity来判断用户权限。
摘要由CSDN通过智能技术生成

遇到过一个这样的客户环境:

客户两个域,SharePoint环境是搭建在域A中的,然后user都是在域B中的,域A信任域B,但是域B不信任域A(单向信任域环境)。然后客户分配权限是都是添加域A的AD Group,这些AD Group包含域B的user。

然后在SharePoint的Check Permission页面中就会出现判断不出域B的user的权限的问题,但是可以正常登录,登录的权限也没用任何问题:

同样SP API判断权限结果也是一样:

            using (SPSite site = new SPSite("https://adfs.wang.com/sites/f100"))
            {
                var user = site.RootWeb.EnsureUser("i:0#.w|governance\\zywang");
                using (var tempSite = new SPSite(site.ID, user.UserToken))
                {
                    bool hasPerm = tempSite.RootWeb.DoesUserHavePermissions(SPBasePermissions.ViewListItems);
最低0.47元/天 解锁文章
a-zhwang
关注
专栏目录
信任关系
谢公子的博客
01-11 5674
信任是为了解决多环境中的跨资源共享问题而诞生的。 信任作为一种机制,允许另一个的用户在通过身份验证后访问本中的资源。同时,信任利用DNS服务器定位两个不同子控制器,如果两个中的控制器都无法找到另一个,那么也就不存在通过信任关系进行跨资源共享了。 信任关系分为单向信任和双向信任单向信任是指在两个之间创建单向信任路径,即在一个方向上是信任流,在另一个方向上是访问流。在受信任信任之间的单向信任中,受信任内的用户或计算机可以访问信任中的资源,但信任内的用户却
配置两个之间的信任,方便下的SharePoint站点访问
weixin_30852367的博客
05-04 333
场景描述: 企业存在很多如下现象,子公司里存在单独的,而在集团公司里是总,在子公司中员工里要访问集团公司下的SharePoint站点,在访问时由于帐户没有在集团里所以就没有办法访问了,这时可以通过信任的机制来解决问题。 服务器1: 机器名:portal OS:Windows Server 2008 R2 x64 :lng.com (window...
AD(Active Directory)基础知识
蚁景网安学院
06-14 2267
本文侧重于从不同角度了解Windows Active Directory环境。如从管理员身份配置安全策略的角度、攻击者绕过安全策略的角度、检测攻击者的角度。导致Active Directory受攻击破坏的因素有很多,比如错误的配置、糟糕的维护程序以及管理员犯的其他很多错误。文章涉及基本和高级的概念、环境配置及攻击,内容可能有点长,但是这有助于模拟不同的攻击,模拟和了解红队的攻击行为。...
SharePoint服务器端对象模型 之 访问用户、用户组和权限(Part 2)
weixin_33972649的博客
02-28 166
(二)权限相关对象 1、用户(SPUserSharePoint中使用SPUser表示用户(和组),使用SPUserCollection表示用户集合。 获取一个用户大致有如下几种方式: (1) 使用SPWeb的CurrentUser属性获取当前用户,即当前上下文中的用户; (2) 使用SPWeb的EnsureUser(string loginName)方法,该方法会根据参数中的登陆名...
Microsoft Office与Microsoft SharePoint的整合应用
04-23
Microsoft Office与Microsoft SharePoint的整合为企业带来了一套完整的业务生产力解决方案。从提高团队协作效率、优化工作流程,到增强信息安全性、实现移动办公等方面,二者相辅相成,共同为企业创造了更大的价值。...
SharePoint平台与功能概述
SharePoint提供了丰富的功能和工具,包括文件存储与管理、文档协作、企业搜索、工作流程管理等,可以帮助企业构建内部门户、团队网站、博客等内容,提供了丰富的API和开发工具,可以定制化企业的信息管理解决方案。...
云安全架构连载之一-Azure整体架构及安全亮点详解
标梵互动
02-04 2396
目的 其实说心里话做了这么多年云安全,对于国外三大云厂商(AWS、Azure、GCP)的实际关注点一直在变化。看来看去觉得未来安全上能有比较大作为的还是Azure,根本原因有很多,包括Azure Active Directory的身份联动、安全产品的丰富度、Office远程办公安全、ToB的安全基因、安全研发SDL体系等。回归本着能改变云安全,为云安全贡献一份力量和能够推动整个云安全发展的角度还是决定重新开启这个公众号,把自己的一些研究成果推送业界,能够帮助业界的云安全水位提升,把国内外云安全做的比较好的和
基于JSP实现的影视创作论坛系统
热门推荐
taotao658的博客
03-29 1万+
源码下载 http://www.byamd.xyz/hui-zong-1/ 摘 要 随着时代的发展,互联网的出现,给传统影视行业带来的最大便利就是,方便了影视从业人员以及爱好者的交流和互动,而为用户提供一个书写影评,阅读影评以及回复影评的平台,以影评为载体来使用户感受影评、解读影评的是互联网在传统影视行业下应运而生的产物。 本文讲述了基于javaee的影视创作论坛的设计与实现,所谓的影视创作论坛指的是通过网站让喜欢影视作品的人进行交流,而作为一个好的影视论坛,应该围绕影视作品展开,包括相关的影视资讯,
SharePoint编程提升权限的方法
babyan的专栏
11-12 2065
本文来自网络(http://www.sharepointblogs.com/tanujashares/archive/2007/08/07/impersonation-in-sharepoint-2007.aspx):在进行SharePoint编程时,有时需要修改List中的某一个Item,但是当前的登录用户没有权限对该List修改,那么在编程时一般可以通过两种方式来进行,下面就是这两种方
“将工作站加入到”策略
weixin_34175509的博客
06-24 352
从Windows Server 2012 ADDS后,默认普通用户不具备将计算机加入权限,只有管理员具备加入权限。使我们的工作变的很不方便。下面来介绍如何设置普通用户也可以像以前一样把计算机加入。(由于环境是英文的,请大家对照相应的中文去找,还请大家谅解。如有问题请给我博客留言,谢谢!)“运行”里输入“gpmc.msc”,打开组策略编辑器,并编辑“DefaultDom...
SharePoint Set-SPUser 命令拒绝访问
weixin_33756418的博客
08-28 116
  · 前言   最近碰到一个问题,由于User Profile Service服务有问题,用户信息无法更新。所以,想到Set-SPUser命令可以更新,于是乎找到这个命令,但是更新的时候发现拒绝访问的错误。找了很久原因,发现需要设置一下权限,不知道是否还会有人遇到类似的问题,记录一下分享给大家。   参考链接可能需要梯子,如果无法访问的同学了解一下。 · Solution:  Add ...
sharepoint 用户问题
amao_1985的专栏
09-10 2110
<br />问题是这样的,我在网站中添加了一个用户,用这个用户是可以访问sharepoin的,后来我再里面把这个用户删除了,不过后来在里又添加了这个用户,也在sharepoint 添加了这个用户,但是这个用户无论如何都不能在访问网站了。经研究发现,sharepoint 2010 用户删除后并没有实际删除,只是在USERINFO中添加了删除标记 ,当你在添加这个用户是,实际上是把删除标记又该回来了,所以这个用户还是不能登录到sharepoint  办法是通过用户组来删除  进入任意用户组  如下http:
window server 2012 系统无法登录 出现“此工作站和主间的信任关系失败”
专注sharepoint,O365,BI大数据设计与开发
08-21 1万+
最近发现开机登录系统的时候,无法使用帐号进行登录,出现“此工作站和主间的信任关系失败”, 英文的报错提示是:The trust relationship between this workstation and the primary domain failed。 解决方法: 1。使用本系统的本地系统管理员administrator登录该系统 2。登录进去后,右击“我的电脑”属性,点击
提升当前用户在MOSS中代码的运行权限
weixin_30319097的博客
09-11 85
在编写WebPart或EventHandler时,当前登录网站的是一个只具有普通权限如查看而没有编辑添加权限的用户(如:yuana),而在这个网站中存在一个利用当前登录网站用户的权限去执行向某列表或文档库中添加新记录的WebPart里的代码,但是这时当前登录的用户yuana并没有相应的对列表或文档库添加新记录的权限,这时就要在WebPart的代码里做文章了,这就是我要提到...
提升权限
weixin_30839881的博客
08-07 371
SPSite siteColl = SPContext.Current.Site; SPWeb site = SPContext.Current.Web; SPUser user = site.Users[@"Moss\lijierong"]; SPUserToken userToken = user.UserToken; SPSecurity.RunWithElevatedP...
Sharepoint学习笔记—error处理-- The user does not exist or is not unique.
sinolover的专栏
03-13 1827
看到网上不少人遇到过这种类似的错误,而产生这种错误的原因也有多种,我产生此错误的背景是在试图通过ECMAscript对象模型把一个User添加到某个指定的Group中时遇到的。 问题1.当我试图把一个User添加到Sharepoint的某个指定的Group,而这个User已经在Site Collection中存在,在此背景下我得到此错误信息。 问题2.如果我试图把...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值