Sharepoint学习笔记—习题系列--70-576习题解析 -(Q69-Q71)

Question 69
You are designing an extranet site using SharePoint 2010. This site must allow employees to log on to the extranet site from home. They should use their corporate Active Directory credentials by typing their user name and password into text boxes on a logon page on the site. After users log on, they should be redirected to the site home page. You need to meet these requirements with the least amount of configuration. Which type of authentication should you design?
A. Forms-based authentication (FBA)
B. Web Single-Sign On (SSO)
C. NTLM
D. Kerberos

解析：
 你负责设计一个Sharepoint2010外部网站,此网站允许雇员在家里登录, 登录时需要输入他们在公司的AD凭证, 只要登录成功，就直接从登录页面跳转到网站主页。 你需要通过尽可能少的配置来满足此要求。那么你选用哪一种认证方式呢?
  由于是在AD域外登录,所以很明显选项C.D均需排除，因为NTML与Kerberos都需要依赖于域服务器。
  而选项B: SSO 即单点登录,是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。在SharePoint 2007时代我们可以通过SSO来实现单点登录，但到了SharePoint 2010中不再有Single Sign-on这个服务了，取而代之的则是Secure Store Service简称SSS。与以前的SSO一样，SSS也提供了一个数据库实例来保存用于访问某些外部应用程序或外部数据源的用户凭据信息，所不同的是我们不仅可以使用SSS中保存的凭据信息来实现单点登录，同时BDC、Excel Service等服务应用程序现在也可使用SSS中保存的凭据来访问外部数据源。不管如何，单点登录并没有解决雇员在家访问本公司的Sharepoint网站问题，所以本选项被排除。
  只有选项A支持雇员从家里通过表单验证登录进本公司的网站，并在验证合法后自动跳转到网站主页。

因此本题答案应该选 A

参考 
http://msdn.microsoft.com/en-us/library/windows/desktop/aa378747(v=vs.85).aspx
http://msdn.microsoft.com/en-us/library/gg475929(v=vs.100).aspx
http://wenku.baidu.com/view/91fe8865caaedd3383c4d37a.html
http://jbaurle.wordpress.com/2011/04/30/how-to-use-sharepoint-2010-secure-store-as-single-sign-on-service-for-sap-applications-using-erpconnect/

Question 70
Your company has a SharePoint 2010 farm that has one Web application with multiple site collections. Your team needs to meet the following requirements:
.Certain individuals need to have the “Full Control” permission set on every site collection in the Web application.
.Permissions must be set in a central location and should effect all current and future site collections.
Which approach should you recommend?
A. Add users to the local administrators group on the server.
B. Add users to the Site Owners group in each site collection.
C. Create a user policy for the Web application in Central Administration.
D. Create a group policy in the Active Directory domain to which the SharePoint users authenticate.
 
解析：
 你公司有一个包含多个网站集的Sharepoint2010应用程序,此应用程序需要满足如下要求:
 要求1.某个特定的用户具有对Web Application内的每个网站集的”Full Control”权限。
 要求2. 只能在一个集中的地方对权限进行设置并且其设置值可以影响到当前的网站集以及以后新创建的网站集。
  首先，本题要求的操作对象是Sharepoint网站集权限，而选项A针对的是服务器上的管理员组成员操作，服务器的管理员组并不赞同于Sharepoint环境内的成员组，它并不能直接作用于Sharepoint内网站集的权限管理，所以予以排除。
  其次，根据要求2，必须在一个集中的地方对权限进行设置，所以选项B所采取的分别设置每个网站集的做法显然也不符合要求，所以排除。
  选项C,提到了用户策略(User Policy),  在SharePoint 2010管理中心Web应用程序管理页面的“权限策略”配置特定Web应用程序的高级用户权限策略。也就是在“用户策略”中添加用户时授予用户的权限级别。默认只有“完全控制”、“完全读取”、“拒绝写入”、“全部拒绝”这4个权限级别。那么在“权限策略”中就可以自定义另外的用户权限。也就是说用户策略其实是要配合权限策略使用, 我们知道一个 Web 应用程序可包含多个网站集。管理多个网站集的权限可能会非常困难，尤其是在某些用户或组需要的权限并不适用于整个 Web 应用程序的情况下更是如此【如本例情况】。权限策略提供一种集中的方式，用于配置和管理仅适用于 Web 应用程序中的部分用户或组的一组权限。而权限策略提供一种集中的方式，用于配置和管理仅适用于 Web 应用程序中的部分用户或组的一组权限。
  所以,在本例，我们可以在SharePoint 2010管理中心赋予那个特定的用户以Full Control权限给网站集，并且此设置可以影响到当前及以后新创建的网站集。
   至于选项D, 涉及活动目录的组策略设置，我们知道活动目录的组策略是用以支持系统管理员对一台或多台计算机的各种选项进行设置。组策略的使用非常灵活，其中包括了策略设置、安全设置、软件安装、脚本运行、计算机启动和关闭、用户登录和注销等各种方面。或者更进一步通俗地说，组策略和注册表类似，是一项可以修改用户或计算机设置的技术。那组策略和注册表的区别在哪儿呢？注册表只能针对一个用户或一台计算机进行设置，但组策略却可以针对多个用户和多台计算机进行设置。由此可以看出，活动目录的组策略并不直接影响Sharepoint环境内的网站集资源。
因此本题答案应该选 C
参考 
http://technet.microsoft.com/zh-cn/library/ff608071.aspx
http://technet.microsoft.com/en-us/library/cc767417.aspx
http://www.thesharepointblog.com/Lists/Posts/Post.aspx?ID=15
http://space.doit.com.cn/51460/viewspace-7583.html

Question 71
You are planning security for a SharePoint 2010 intranet site. A sub site for the human resources (HR)  department contains a list of salary information. All the HR department employees are in an Active Directory (AD) group named SharePoint HR. The SharePoint HR AD group has been granted Read access to the sub site. You have the following requirements:
.Access to the list should be handled only through the HR department group.
.The group membership of the AD HR group should be used to specify the site permissions.
.The department’s administrative assistant should not have access to view the salary list.
You need to ensure that permissions are configured on the sub site to meet these requirements. Which plan should you recommend?
A. Remove the assistant from the SharePoint HR AD group. Give the assistant individual Read access to the site. Modify the salary list permissions, removing the assistant from the list.
B. Modify the salary list permissions, explicitly denying the assistant Read access to the salary list.
C. Modify the salary list permissions, remove the SharePoint HR group from the list of users and groups who have been granted any sort of access to the list. Grant each employee of the HR department individual Read access to the salary list, with the exception of the assistant.
D. Modify the salary list permissions, explicitly denying the SharePoint HR group Read access to the salary list. Grant each employee of the HR department individual Read access to the salary list, with the exception of the assistant.

解析：
 你为一个Sharepoint内部网站制定安全策略，此内部网站中有一个人力资源部门的部门网站，此部门网站中包含有一个工资信息列表。人力资源部门的所有雇员都属于域内的一个名为SharePoint HR组, 此部门网站授予了此SharePoint HR组读权限，你还需要你制定的安全策略满足如下条件:
  要求1. 只能通过SharePoint HR组访问工资列表
  要求2  AD HR组的组成员被赋予了特定的网站访问权限。
  要求3. 人力部门的管理助手无权查看工资列表
  你需要保证在部门网站上完成相关权限的配置以满足上述要求。
 下面分析各选项:
选项A. Remove the assistant from the SharePoint HR AD group.
从SharePoint HR AD组中移除管理助手，这样管理助手就不再属于SharePoint HR AD组，从而不再拥有与SharePoint HR AD组成员的权限。
Give the assistant individual Read access to the site.
因为管理助手要协助人力资源部门进行某些管理工作，所以必需要给予其适当的权限。
Modify the salary list permissions, removing the assistant from the list.
   设置工资列表的访问权限，也即允许SharePoint HR AD组成员进行访问，但不允许管理助手进行访问。
   从分析来看，本选项符合本题要求。

选项B. Modify the salary list permissions, explicitly denying the assistant Read access to the salary list.
   本选项所作的操作明显不完全,如果不从SharePoint HR AD组移除管理助手，则仍达不到屏蔽其访问权限的目的。因为SharePoint HR AD组所有成员仍旧拥有对工资列表的访问权限。

选项C. Modify the salary list permissions, remove the SharePoint HR group from the list of users and groups who have been granted any sort of access to the list.
     修改工资列表访问权限，移除SharePoint HR 组对其的访问许可设置，并且还暗示可能有其它组或成员可以对工资列表进行访问
Grant each employee of the HR department individual Read access to the salary list, with the exception of the assistant.
分别设置SharePoint HR组成员对工资列表的访问权限，唯独排除管理助手的访问许可。
  从上面分析看出,本选项明显违反了题干的要求,即:只能通过SharePoint HR组访问工资列表。

选项D. Modify the salary list permissions, explicitly denying the SharePoint HR group Read access to the salary list. Grant each employee of the HR department individual Read access to the salary list, with the exception of the assistant.
     本选项也与选项C类似，排除了SharePoint HR 组对工资列表的访问许可，违背了题干的要求。
因此本题答案应该选 A

参考 
http://office.microsoft.com/zh-cn/sharepoint-server-help/HA010253649.aspx
http://office.microsoft.com/zh-cn/sharepoint-server-help/HA010103222.aspx