Freigeben über

Behandeln von allgemeinen Problemen mit abgestimmten Berechtigungen für SharePoint Server

  • Artikel

GILT FÜR:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Nach Implementierung abgestimmter Berechtigungen können in einer SharePoint-Umgebung Sicherheits- oder Leistungsprobleme auftreten. Lesen Sie die folgenden Informationen, mit denen Probleme behoben werden können, die mit abgestimmten Berechtigungen verknüpft sind.

Die folgenden Probleme können Ihnen helfen, die Auswirkungen von Leistungsproblemen zu reduzieren, die mit dem umfassenden Einsatz von abgestimmten Berechtigungen verknüpft sind. Jedes der folgenden Probleme befasst sich mit den an der Sicherheit, Objekthierarchie oder benutzerdefiniertem Code vorgenommenen Änderungen, die zu mit abgestimmten Berechtigungen verknüpften Leistungsproblemen führen. Jedes Problem beginnt mit der folgenden Beispielumgebung, in der ein einzelnes Web mehrere Dokumentbibliotheken enthält, von denen jede mit vielen eindeutigen Berechtigungen versehenen untergeordneten Objekten verfügt.

Zeigt eine einzelne Website mit mehreren Dokumentbibliotheken, von denen jede eine große Anzahl von untergeordneten Elementen mit eindeutigen Berechtigungen enthält.

Problem 1: Entfernen von abgestimmten Berechtigungen Verwenden der Sicherheitsdurchsetzung nur auf Webebene

Um die Umgebung so umzustrukturieren, dass keine differenzierten Berechtigungen mehr erforderlich sind, kann ein Umgebungsbereinigungsprozess implementiert werden, und dann kann die Anzahl der bereichsbezogenen Elemente angepasst werden, um die Skalierbarkeit der Umgebung langfristig zu verbessern. In den folgenden Empfehlungen sind die am Umgebungsbereinigungsprozess und der Architektursicherheit vorzunehmenden Änderungen beschrieben, mit denen diese Lösung erzielt wird.

Bereinigen der Umgebungssicherheit

Wenn ein Benutzer aus dem Bereich auf Webebene entfernt wird, muss das interne Objektmodell den Benutzer aus jedem Bereich unterhalb der Webebene entfernen. Das Entfernen einzelner Benutzer zum Bereinigen vorhandener Berechtigungen ist ein zeitaufwändiger Prozess. Entfernen Sie stattdessen zuerst jeden eindeutigen Bereich auf Elementebene, damit das Element berechtigungen vom übergeordneten Objekt erbt. Dies dauert weniger Zeit als der Versuch, Benutzer zuerst zu entfernen, da nur auf einen einzelnen Bereich für das Element reagiert werden muss.

Wichtig

Wenn das aktuelle Webobjekt nicht auf der Stammebene der Websitesammlung vorhanden ist und das Webobjekt die Berechtigungen von seinem übergeordneten Webobjekt erbt, werden alle darunter liegenden eindeutigen Bereiche entfernt, gleichzeitig werden alle Mitgliedschaften mit eingeschränktem Zugriff in einem einzelnen SQL Server-Roundtrip überschrieben.

Zeigt eine Berechtigungsbereinigung durch Entfernen eines Benutzers aus dem Webebenenbereich. Anschließend muss das interne OM den Benutzer aus jedem Bereich unterhalb der Webebene entfernen.

Wenn alle Elementebenenbereiche entfernt wurden, können einzelne Bereichmitgliedschaften im Webebenenbereich durch eine oder mehrere Gruppenmitgliedschaften ersetzt werden, damit ein Zugriff möglich ist.

Zeigt, wie einzelne Gruppenmitgliedschaften im Webebenenbereich durch eine oder mehrere Gruppenmitgliedschaften ersetzt werden, damit nach dem Entfernen aller Elementebenenbereiche ein Zugriff möglich ist.

Umstrukturieren der Umgebungssicherheitsarchitektur

Nach Entfernen vorhandener abgestimmter Berechtigungen und Bereiche sollte die Verwaltung eines eigenen Bereichs nur auf Webebene ein langfristiges Architekturziel darstellen. Das folgende Diagramm veranschaulicht, wie die Architektur strukturiert werden kann, damit nur der Webebenenbereich übrig bleibt. Die Hauptanforderung in der Architektur besteht darin, nicht zu viele Elemente auf derselben Hierarchieebene in den Dokumentbibliotheken zu haben, da die Zeit, die zum Verarbeiten von Elementen in den Ansichten benötigt wird, zunimmt.

Lösung:

Die maximale Anzahl der Elemente oder Ordner auf einer beliebigen Hierarchieebene sollte in etwa bei 2.000 Elementen liegen.

Zeigt, wie die Architektur eines Webebenenbereichs gegliedert sein sollte.

Wenn weitere Änderungen an der Architektur erforderlich sind, sollten Sie dokumentbibliotheken in verschiedene Websites oder Websitesammlungen verschieben. Die Anzahl der Dokumentbibliotheken kann auch geändert werden, um geschäftsbezogene Anforderungen und Skalierungsempfehlungen, die auf der Taxonomie oder Zielgruppe der gespeicherten Inhalte basieren, besser zu unterstützen.

Problem 2: Verwenden abgestimmter Berechtigungen durch hierarchische Strukturänderungen

Um die Umgebung so umzugestalten, dass sie weiterhin differenzierte Berechtigungen verwendet, ohne jedoch zu viele Aktualisierungen oder Größenanpassungen eines einzelnen Webbereichs zu verursachen, sollten Sie erwägen, unterschiedlich geschützte Dokumentbibliotheken in verschiedene Webs zu verschieben.

Umstrukturieren der Umgebungshierarchie

Im folgenden Diagramm wurde die physische Architektur geändert, sodass sich jede Dokumentbibliothek in einem Web mit eindeutigen Berechtigungen befindet. Wenn differenzierte Berechtigungen auf Elementebene beibehalten werden müssen, sollte die kumulierte Anzahl von Sicherheitsprinzipalen, denen Zugriff gewährt wird, als bewährte Methode auf ungefähr 2.000 beschränkt werden, obwohl dies kein festes Limit ist. Aus diesem Grund darf die effektive Mitgliedschaft jedes Webobjekts, das alle Mitglieder mit eingeschränktem Zugriff enthält, nicht mehr als 2.000 Benutzer betragen. Dadurch wird verhindert, dass Webebenenbereiche zu groß werden.

Zeigt eine Dokumentbibliothek, die sich in einem Web mit eindeutigen Berechtigungen befindet. Pro Web sollten nicht mehr als 2.000 Benutzer Mitglied sein.

Die Anzahl von eindeutigen untergeordneten Elementen ist kein wesentliches Problem und kann auf große Zahlen skaliert werden. Die Anzahl von Prinzipalen, die den Bereichen weiter oben in der Bereichhierarchie bis zum ersten Webobjekt mit eigenen Berechtigungen als eingeschränkter Zugriff hinzugefügt werden, stellt jedoch eine Einschränkung dar.

Obwohl dies zwar kein ausdrückliches mit eigenen Berechtigungen verknüpftes Problem ist, muss bei der Ordnerstruktur sichergestellt werden, dass keine Hierarchieebene der Dokumentbibliothek je 2.000 Elemente überschreitet. Mit diesem Grenzwert kann eine gute Leistung der von Benutzern angeforderten Ansichten gewährleistet werden.

Problem 3: Verwenden abgestimmter Berechtigungen durch Bereichstrukturänderungen

Um die Umgebung so umzugestalten, dass sie weiterhin differenzierte Berechtigungen verwendet, ohne jedoch zu viele Aktualisierungen oder Größenanpassungen eines einzelnen Webbereichs zu verursachen, sollten Sie einen anderen Prozess zum Sichern von Elementen verwenden. Dies gilt, wenn die Ursache für die große Anzahl eindeutiger Bereiche ein automatisierter Prozess war, z. B. ein Ereignishandler oder Workflow, der die Objektberechtigungen dynamisch geändert hat. In diesem Fall wird empfohlen, eine Codeänderung an dem Prozess vorzunehmen, bei dem die eindeutigen Sicherheitsbereiche erstellt wurden.

Überarbeiten von Code für dynamische Sicherheitsänderungen

Im folgenden Diagramm wurde die Bereichsarchitektur geändert, sodass die Bereichsmitgliedschaft keine ACL-Neuberechnung in der übergeordneten Dokumentbibliothek und im Web verursacht. Wie bereits erwähnt, darf die effektive Mitgliedschaft des Webobjekts, in dem alle Mitglieder mit eingeschränktem Zugriff enthalten sind, nicht mehr als 2.000 betragen, damit der Webebenenbereich nicht zu groß wird. In diesem Fall wird der Bereich nicht zu groß ausfallen, wenn eine neue SharePoint-Gruppe implementiert wird, in der alle Mitglieder mit eingeschränkten Zugriffsberechtigungen enthalten sind. Wenn Benutzer mithilfe der SharePoint Server SPRoleAssignmentCollection.AddToCurrentScopeOnly-Methode einzelnen Bereichen auf Webebene hinzugefügt werden, können sie auch durch zusätzlichen Code der neuen Gruppe hinzugefügt werden, die als eingeschränkte Zugriffsrechte auf Web- und Dokumentbibliotheksebene eingerichtet wurde.

Zeigt eine Bereichsmitgliedschaft, die nicht dazu führt, dass die Zugriffssteuerungsliste für die übergeordnete Dokumentbibliothek und das Web neu berechnet werden muss.

Lösung:

Wenn differenzierte Berechtigungen auf Elementebene beibehalten werden müssen, sollte die kumulative Anzahl von Sicherheitsprinzipalen, denen Zugriff gewährt wird, auf etwa 2.000 beschränkt werden, obwohl dies kein festes Limit ist. Wenn die Anzahl der Sicherheitsprinzipale zunimmt, dauert es länger, die binäre ACL neu zu berechnen. Wenn die Mitgliedschaft eines Bereichs geändert wird, muss die binäre Zugriffssteuerungsliste neu berechnet werden. Beim Hinzufügen von Benutzern in einem eigenen Bereich des untergeordneten Elements werden die übergeordneten Bereiche mit den neuen Mitgliedern mit eingeschränktem Zugriff aktualisiert, auch wenn dies letztendlich zu keinen Änderungen an der Mitgliedschaft des übergeordneten Bereichs führt. In diesem Fall muss die binäre Zugriffssteuerungsliste für die übergeordneten Bereiche auch neu berechnet werden.

Wie in der vorherigen Lösung ist die Anzahl von untergeordneten Elementen mit eindeutigem Bereich kein wesentliches Problem und kann auf große Zahlen skaliert werden. Die Anzahl der Prinzipien, die als eingeschränkter Zugriff auf die Kette von Bereichen auf das erste web mit eindeutiger Berechtigung hinzugefügt werden, ist ein einschränkender Faktor.

Siehe auch

Weitere Ressourcen

Bewährte Methoden für die Verwendung abgestimmter Berechtigungen in SharePoint Server