Freigeben über


Planen der Verwaltung mit geringsten Berechtigungen in SharePoint Server

GILT FÜR:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Bei der Verwaltung mit den geringsten Rechten werden Benutzern die minimal erforderlichen Berechtigungen zugewiesen, die sie zur Durchführung autorisierter Aufgaben benötigen. Das Ziel der Verwaltung mit den geringsten Rechten ist, eine sichere Kontrolle einer Umgebung zu konfigurieren und zu verwalten. Das Ergebnis ist, dass jedem Konto, unter dem ein Dienst ausgeführt wird, nur zugriff auf die erforderlichen Ressourcen gewährt wird.

Microsoft empfiehlt die Bereitstellung von SharePoint Server mit der Verwaltung mit den geringsten Rechten. Die Implementierung der Verwaltung mit den geringsten Rechten kann zu erhöhten Betriebskosten führen, da möglicherweise andere Ressourcen erforderlich sind, um dieses Verwaltungsniveau aufrechtzuerhalten. Darüber hinaus wird die Möglichkeit, Sicherheitsprobleme zu beheben, komplexer.

Einführung

Organisationen implementieren die Verwaltung mit den geringsten Rechten, um die Sicherheit über die herkömmlichen Empfehlungen hinaus zu erhöhen. Nur ein kleiner Prozentsatz der Organisationen erfordert dieses erhöhte Sicherheitsniveau aufgrund der Ressourcenkosten für die Verwaltung der geringsten Rechte. Einige Bereitstellungen, die möglicherweise diesen erhöhten Sicherheitsgrad benötigen, sind staatliche Behörden, Sicherheitsunternehmen und Finanzdienstleistungsinstitute. Die Implementierung einer Umgebung mit den geringsten Berechtigungen sollte nicht mit bewährten Methoden verwechselt werden. In einer Umgebung mit den geringsten Rechten implementieren Administratoren bewährte Methoden zusammen mit anderen erhöhten Sicherheitsstufen.

Umgebung mit den geringsten Rechten für Konten und Dienste

Um eine Verwaltung mit den geringsten Rechten zu planen, müssen Sie zahlreiche Konten, Rollen und Dienste berücksichtigen. Einige beziehen sich auf SQL Server und andere auf SharePoint Server. Wenn Administratoren andere Konten und Dienste sperren, werden die täglichen Betriebskosten wahrscheinlich steigen.

Serverrollen in SQL Server

In einer SharePoint Server-Umgebung wurden möglicherweise zahlreichen Konten die folgenden zwei SQL Server-Rollen auf Serverebene gewährt. In einer Umgebung SharePoint Server mit den geringsten Rechten empfehlen wir, diese Rechte nur dem Konto zu gewähren, unter dem der Microsoft SharePoint Foundation-Workflowtimerdienst ausgeführt wird. Normalerweise wird der Workflowtimerdienst unter dem Serverfarmkonto ausgeführt. Für den täglichen Betrieb empfehlen wir, die folgenden beiden SQL Server-Rollen auf Serverebene von allen Konten zu entfernen, die für die SharePoint-Verwaltung verwenden werden:

  • Dbcreator: Mitglieder der festen Serverrolle "dbcreator" können jede Datenbank erstellen, verändern, entfernen und wiederherstellen.

  • Securityadmin: Mitglieder der festen Serverrolle "securityadmin" verwalten Anmeldungen und deren Eigenschaften. Sie können Berechtigungen auf Serverebene GEWÄHREN, VERWEIGERN und ZURÜCKRUFEN. Sie können auch Berechtigungen auf Datenbankebene GEWÄHREN, VERWEIGERN und ZURÜCKRUFEN, wenn Sie Zugriff auf eine Datenbank haben. Darüber hinaus können sie Kennwörter für SQL Server-Anmeldungen zurücksetzen.

Hinweis

Die Fähigkeit, Zugriff auf das Datenbankmodul zu gewähren und Benutzerberechtigungen zu konfigurieren, erlaubt dem Sicherheitsadministrator, die meisten Serverberechtigungen zuzuweisen. Sie sollten die Rolle "securityadmin" genauso behandeln wie die Rolle "sysadmin".

Weitere Informationen zu SQL Server-Rollen auf Serverebene finden Sie unter Rollen auf Serverebene.

Wenn Sie eine oder mehrere dieser SQL Server-Rollen entfernen, werden auf der Zentraladministration-Website möglicherweise Meldungen angezeigt, dass ein "unerwarteter Fehler" aufgetreten ist. Darüber hinaus wird in der ULS-Protokolldatei (Unified Logging Service, vereinheitlichter Protokollierungsdienst) möglicherweise die folgende Meldung angezeigt:

System.Data.SqlClient.SqlException... <Vorgangstypberechtigung> in Datenbankdatenbank <>verweigert. Tabellentabelle <>

Zusätzlich zu einer Fehlermeldung, die möglicherweise angezeigt wird, können Sie möglicherweise eine oder alle der folgenden Aufgaben nicht durchführen:

  • Wiederherstellen einer Sicherung einer Farm, da Sie nicht in eine Datenbank schreiben können

  • Bereitstellen einer Dienstinstanz oder Webanwendung

  • Konfigurieren verwalteter Konten

  • Ändern verwalteter Konten für Webanwendungen

  • Durchführen von Aktionen für Datenbanken, verwaltete Konten oder Dienste, welche die Zentraladministration-Website erfordern

In bestimmten Situationen möchten Datenbankadministratoren (DBAs) möglicherweise unabhängig von SharePoint Server-Administratoren arbeiten und alle Datenbanken erstellen und verwalten. Dies ist typisch für IT-Umgebungen, in denen Sicherheitsanforderungen und Unternehmensrichtlinien eine Trennung von Administratorrollen erfordern. Der Farmadministrator stellt sharePoint Server-Datenbankanforderungen für den DBA bereit, der dann die erforderlichen Datenbanken erstellt und die Anmeldungen einrichtet, die für die Farm erforderlich sind.

Standardmäßig hat der DBA vollständigen Zugriff auf die SQL Server-Instanz, erfordert jedoch zusätzliche Berechtigungen für den Zugriff auf SharePoint Server. DBAs verwenden in der Regel Windows PowerShell 3.0, wenn sie SharePoint-Datenbanken hinzufügen, erstellen, verschieben oder umbenennen. Daher müssen sie Mitglied der folgenden Konten sein:

  • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

  • Feste Datenbankrolle Db_owner auf allen Datenbanken in der SharePoint-Farm.

  • Administratorengruppe auf dem Computer, auf dem sie die PowerShell-Cmdlets ausführen.

Darüber hinaus muss der DBA möglicherweise ein Mitglied der Rolle SharePoint_Shell_Access sein, um auf die SharePoint-Inhaltsdatenbank zuzugreifen. In manchen Fällen sollte der DBA das Setupbenutzerkonto der Rolle db_owner hinzufügen.

Serverrollen in SharePoint Server und Dienste

Im Allgemeinen sollten Sie die Möglichkeit zum Erstellen neuer Datenbanken aus SharePoint Server-Dienstkonten entfernen. Kein SharePoint Server-Dienstkonto sollte auf der SQL Server-Instanz über die Rolle sysadmin verfügen, und kein SharePoint Server-Dienstkonto sollte ein lokaler Administrator auf dem Server sein, auf dem SQL Server ausgeführt wird.

Weitere Informationen zu SharePoint Server-Konten finden Sie unter Kontoberechtigungen und Sicherheitseinstellungen in SharePoint Server 2016.

Informationen zu Kontoinformationen in SharePoint Server 2013 finden Sie unter Kontoberechtigungen und Sicherheitseinstellungen in SharePoint 2013.

Die folgende Liste enthält Informationen zum Sperren anderer SharePoint Server-Rollen und -Dienste:

  • SharePoint_Shell_Access role

    Wenn Sie diese SQL Server-Rolle entfernen, entziehen Sie die Fähigkeit zum Schreiben von Einträgen in die Konfigurations- und Inhaltsdatenbank sowie die Fähigkeit zur Durchführung von Aufgaben mithilfe von Microsoft PowerShell. Weitere Informationen zu dieser Rolle finden Sie unter Add-SPShellAdmin.

  • SharePoint-Timerdienst (SPTimerV4)

    Es wird empfohlen, die Standardberechtigungen für das Konto, unter dem dieser Dienst ausgeführt wird, nicht einzuschränken und dieses Konto niemals zu deaktivieren. Verwenden Sie stattdessen ein sicheres Benutzerkonto, für das das Kennwort nicht allgemein bekannt ist, und lassen Sie den Dienst laufen. Dieser Dienst wird standardmäßig installiert, wenn Sie SharePoint Server installieren, und verwaltet Informationen zum Konfigurationscache. Wenn Sie den Diensttyp auf "deaktiviert" festlegen, tritt möglicherweise das folgende Verhalten auf:

    • Timerjobs werden nicht ausgeführt

    • Integritätsanalyseregeln werden nicht ausgeführt

    • Verwaltung und Farmkonfiguration sind veraltet

  • SharePoint Administration service (SPAdminV4)

    Dieser Dienst führt automatisierte Änderungen durch, die eine lokale Administratorberechtigung auf dem Server erfordern. Wenn der Dienst nicht ausgeführt wird, müssen Sie administrative Änderungen auf Serverebene manuell verarbeiten. Es wird empfohlen, die Standardberechtigungen für das Konto, unter dem dieser Dienst ausgeführt wird, nicht einzuschränken und dieses Konto niemals zu deaktivieren. Verwenden Sie stattdessen ein sicheres Benutzerkonto, für das das Kennwort nicht allgemein bekannt ist, und lassen Sie den Dienst laufen. Wenn Sie den Diensttyp auf "deaktiviert" festlegen, tritt möglicherweise das folgende Verhalten auf:

    • Administrative Timerjobs werden nicht ausgeführt

    • Webkonfigurationsdateien werden nicht aktualisiert

    • Sicherheit und lokale Gruppen werden nicht aktualisiert

    • Registrierungswerte und -schlüssel werden nicht geschrieben

    • Dienste können möglicherweise nicht gestartet oder erneut gestartet werden

    • Die Bereitstellung von Diensten kann möglicherweise nicht abgeschlossen werden

  • SPUserCodeV4 Service

    Dieser Dienst ermöglicht es einem Websitesammlungsadministrator, eine Sandkastenlösung in den Lösungskatalog hochzuladen. Wenn Sie keine Sandkastenlösungen verwenden, können Sie den Dienst deaktivieren.

  • Claims To Windows Token service (C2WTS)

    Dieser Dienst ist standardmäßig deaktiviert. Der C2WTS-Dienst kann für eine Bereitstellung mit Excel Services, PerformancePoint Services oder sharePoint shared services erforderlich sein, die zwischen SharePoint-Sicherheitstoken und Windows-basierten Identitäten übersetzt werden müssen. Beispielsweise verwenden Sie diesen Dienst, wenn Sie die eingeschränkte Kerberos-Delegierung für den Zugriff auf externe Datenquellen konfigurieren. Weitere Informationen zu C2WTS finden Sie unter Planen der Kerberos-Authentifizierung in SharePoint Server.

Bei den folgenden Features treten unter bestimmten Umständen möglicherweise zusätzliche Symptome auf:

  • Backup and restore

    Wenn Sie Datenbankberechtigungen entfernt haben, kann eine Sicherung möglicherweise nicht wiederhergestellt werden.

  • Upgrade

    Der Upgradevorgang wird ordnungsgemäß gestartet, schlägt dann aber fehl, wenn Sie nicht über geeignete Berechtigungen für Datenbanken verfügen. Wenn sich Ihre Organisation bereits in einer Umgebung mit den geringsten Rechten befindet, können Sie das Problem umgehen, indem Sie zum Abschließen des Upgrades zu einer Best-Practices-Umgebung wechseln und dann zu einer Umgebung mit den geringsten Rechten zurückwechseln.

  • Update

    Die Möglichkeit, ein Softwareupdate auf eine Farm anzuwenden, ist für das Schema der Konfigurationsdatenbank erfolgreich, schlägt jedoch für die Inhaltsdatenbank und die Dienste fehl.

Weitere Aspekte, die bei einer Umgebung mit den geringsten Rechten berücksichtigt werden sollten

Zusätzlich zu den vorherigen Überlegungen müssen Sie möglicherweise mehr Vorgänge berücksichtigen. Die folgende Liste ist unvollständig. Verwenden Sie die Elemente selektiv nach eigenem Ermessen:

  • Setup user account: Dieses Konto wird zur Einrichtung sämtlicher Server in einer Farm verwendet. Das Konto muss ein Mitglied der Administratorengruppe auf jedem Server in der SharePoint Server-Farm sein. Weitere Informationen zu diesem Konto finden Sie unter Erstmalige Bereitstellung von Administrator- und Dienstkonten in SharePoint Server.

    Wenn Sie eine neue SharePoint-Farm erstellen und der basierende Build über das Cu vom Oktober 2022 oder einen neuen Einschub in den Buildprozess verfügt, verwenden Sie das Sicherheitsmodell mit den geringsten Rechten. Nach Abschluss der psconfig auf dem ersten Server in der Farm müssen vor dem Ausführen des Farmkonfigurations-Assistenten oder der Bereitstellung anderer Komponenten die folgenden Befehle ausgeführt werden, um den Zugriff auf die SharePoint-Datenbanken sicherzustellen:

    Get-SPDatabase | %{$_.GrantOwnerAccessToDatabaseAccount()}
    
  • Synchronisierungskonto : Für SharePoint Server wird dieses Konto verwendet, um eine Verbindung mit dem Verzeichnisdienst herzustellen. Es wird empfohlen, die Standardberechtigungen für das Konto, unter dem dieser Dienst ausgeführt wird, nicht einzuschränken und dieses Konto niemals zu deaktivieren. Verwenden Sie stattdessen ein sicheres Benutzerkonto, für das das Kennwort nicht allgemein bekannt ist, und lassen Sie den Dienst laufen. Dieses Konto erfordert auch die Berechtigung Verzeichnisänderungen replizieren für AD DS, die es dem Konto ermöglicht, AD DS-Objekte zu lesen und AD DS-Objekte zu ermitteln, die in der Domäne geändert wurden. Die Berechtigung Verzeichnisänderungen replizieren erteilen ermöglicht es einem Konto nicht, AD DS-Objekte zu erstellen, zu ändern oder zu löschen.

  • My Site host application pool account: Dies ist das Konto, unter dem der Meine Website-Anwendungspool ausgeführt wird. Um dieses Konto zu konfigurieren, müssen Sie ein Mitglied der Farmadministratorengruppe sein. Sie können Berechtigungen für dieses Konto einschränken.

  • Built-in user group: Wenn Sie die integrierte Benutzersicherheitsgruppe entfernen oder die Berechtigungen ändern, kann dies unerwartete Folgen haben. Es wird empfohlen, die Berechtigungen nicht auf integrierte Konten oder Gruppen zu beschränken.

  • Group permissions: Die SharePoint-Gruppe WSS_ADMIN_WPG besitzt standardmäßig Lese- und Schreibzugriff auf lokale Ressourcen. Die folgenden WSS_ADMIN_WPG Dateisystemspeicherorte sind %WINDIR%\System32\drivers\etc\Hosts und %WINDIR%\Tasks erforderlich, damit SharePoint Server ordnungsgemäß funktioniert. Wenn andere Dienste oder Anwendungen auf dem Server ausgeführt werden, sollten Sie prüfen, wie diese auf die Ordnerpfade für Aufgaben oder Hosts zugreifen. Weitere Informationen zu Kontoeinstellungen für SharePoint Server finden Sie unter Kontoberechtigungen und Sicherheitseinstellungen in SharePoint Server 2016.

    Kontoinformationen in SharePoint Server 2013 finden Sie unter Kontoberechtigungen und Sicherheitseinstellungen in SharePoint Server 2013.

  • Change permission of a service: Die Änderung einer Berechtigung eines Dienstes kann unerwartete Folgen haben. Wenn z. B. der folgende Registrierungsschlüssel "HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters" den Wert 0 aufweist, würde der Benutzercodehost-Dienst deaktiviert, was dazu führen würde, dass Sandkastenlösungen nicht mehr funktionieren.

Siehe auch

Weitere Ressourcen

Konfiguration mit den geringsten Rechten für Workflow Manager mit SharePoint 2013