Bestimmen der zu verwendenden Berechtigungsstufen und Gruppen (Windows SharePoint Services)
Inhalt dieses Artikels:
Überprüfen verfügbarer Standardgruppen
Überprüfen verfügbarer Berechtigungsstufen
Feststellen, ob zusätzliche Berechtigungsstufen oder Gruppen erforderlich sind
Arbeitsblatt
Die wichtigste Entscheidung im Hinblick auf die Sicherheit von Website und Inhalten in Windows SharePoint Services 3.0 ist die Entscheidung, wie Benutzer kategorisiert und welche Berechtigungsstufen ihnen zugewiesen werden sollen.
Es gibt mehrere SharePoint-Standardgruppen, mit deren Hilfe Sie Benutzer basierend auf den Aktionen, die diese durchführen müssen, kategorisieren können. Aber möglicherweise unterscheiden sich Ihre Anforderungen von diesen Vorgaben, oder Sie bilden Benutzergruppen nach anderen Gesichtpunkten. Gleiches gilt für Berechtigungsstufen. Auch hier stehen Ihnen Standardberechtigungsstufen zur Verfügung, die jedoch ebenfalls nicht zwingend mit den Aufgaben übereinstimmen, die Ihre Gruppen durchführen müssen.
In diesem Artikel werden die Standardgruppen und Standardberechtigungsstufen überprüft, und Sie entscheiden, ob Sie diese unverändert verwenden, anpassen oder andere Gruppen und Berechtigungsstufen erstellen.
Überprüfen verfügbarer Standardgruppen
Mit SharePoint-Gruppen werden keine einzelnen Benutzer, sondern Benutzergruppen verwaltet. SharePoint-Gruppen können sich aus vielen einzelnen Benutzern zusammensetzen, eine einzelne Windows-Sicherheitsgruppe enthalten oder eine Kombination aus beidem sein. SharePoint-Gruppen übertragen keine bestimmten Rechte auf die Website. Sie stellen lediglich eine Möglichkeit zum Zusammenfassen einer Gruppe von Benutzern dar. Abhängig von der Größe und Komplexität Ihrer Organisation oder Ihrer Website können Sie Benutzer in mehrere oder nur einige wenige Gruppen gliedern.
Die SharePoint-Standardgruppen, die in Windows SharePoint Services 3.0 für Websites erstellt werden, sind in der folgenden Tabelle aufgeführt.
| Name der Gruppe | Standardberechtigungsstufe |
|---|---|
Besucher von <Websitename> |
Lesen |
Mitglieder von <Websitename> |
Teilnehmen |
Besitzer von <Websitename> |
Vollzugriff |
Darüber hinaus stehen die folgenden besonderen Benutzer und Gruppen für Verwaltungsaufgaben zur Verfügung, für die höhere Berechtigungsstufen erforderlich sind:
Websitesammlungsadministratoren Sie können einen oder mehrere Benutzer als primäre und sekundäre Websitesammlungsadministratoren bestimmen. Diese Benutzer werden in der Datenbank als Kontakt für die Websitesammlung eingetragen und haben Vollzugriff auf alle Websites innerhalb der Websitesammlung, können den gesamten Websiteinhalt überwachen und erhalten sämtliche administrativen Warnungen (z. B. zur Überprüfung, ob die Website noch verwendet wird). Im Allgemeinen werden Websitesammlungsadministratoren beim Erstellen der Website bestimmt. Sie können diese bei Bedarf jedoch mithilfe der Website für die Zentraladministration oder der Seite Websiteeinstellungen ändern.
**Farmadministratoren **Bestimmt, welche Benutzer Server- und Serverfarmeinstellungen verwalten können. Mit der Gruppe Farmadministratoren ist es nicht mehr erforderlich, der Gruppe Administratoren für den Server oder der Gruppe SharePoint-Administratoren, die in Windows SharePoint Services Version 2.0 verwendet wurde, Benutzer hinzuzufügen. Farmadministratoren haben standardmäßig keinen Zugriff auf den Inhalt der Website. Um Inhalte anzeigen zu können, müssen sie den Besitz für die Website übernehmen. Hierzu müssen sie sich selbst als Websitesammlungsadministratoren hinzufügen. Diese Aktion wird in die Überwachungsprotokolle eingetragen. Die Gruppe Farmadministratoren wird nur in der Zentraladministration verwendet und ist für andere Websites nicht verfügbar.
**Administratoren **Mitglieder der Gruppe Administratoren auf dem lokalen Server können alle Farmadministratoraktionen sowie die folgenden Aktionen durchführen:
Installieren von neuen Produkten und Anwendungen.
Bereitstellen von Webparts und neuen Features für den globalen Assemblycache.
Erstellen von neuen Webanwendungen und neuen IIS-Websites.
Starten von Diensten.
Wie bei der Gruppe Farmadministratoren haben Mitglieder der Gruppe Administratoren auf dem lokalen Server standardmäßig keinen Zugriff auf den Websiteinhalt.
Nachdem Sie die erforderlichen Gruppen festgelegt haben, legen Sie die Berechtigungsstufen fest, die Sie den einzelnen Gruppen auf der Website zuweisen.
| Arbeitsblattaktion |
|---|
Tragen Sie im Dokument Arbeitsblatt für benutzerdefinierte Berechtigungsstufen und Gruppen (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73133&clcid=0x407) alle Gruppen ein, die Sie erstellen müssen. |
Überprüfen verfügbarer Berechtigungsstufen
Ob eine bestimmte Website angezeigt, geändert oder verwaltet werden darf, wird durch die Berechtigungsstufe bestimmt, die Sie einem Benutzer oder einer Gruppe zuweisen. Mit dieser Berechtigungsstufe werden alle Berechtigungen für die Website sowie für alle Unterwebsites, Listen, Dokumentbibliotheken, Ordner und Elemente oder Dokumente bestimmt, die die Berechtigungen der Website erben. Ohne die entsprechenden Berechtigungsstufen können die Benutzer ihre Aufgaben möglicherweise nicht durchführen, oder sie können möglicherweise Aufgaben durchführen, für die sie nicht vorgesehen sind.
Die folgenden Berechtigungsstufen sind standardmäßig verfügbar:
**Beschränkter Zugriff **Beinhaltet Berechtigungen, mit denen Benutzer bestimmte Listen, Dokumentbibliotheken, Listenelemente, Ordner oder Dokumente anzeigen können.
**Lesen **Beinhaltet Berechtigungen, mit denen Benutzer Elemente auf den Seiten der Website anzeigen können.
**Teilnehmen **Beinhaltet Berechtigungen, mit denen Benutzer Elemente auf den Seiten der Website oder in Listen und Dokumentbibliotheken hinzufügen oder ändern können.
**Entwerfen **Beinhaltet Berechtigungen, mit denen Benutzer das Layout von Websiteseiten mit dem Browser oder mithilfe von Microsoft Office SharePoint Designer 2007 ändern können.
**Vollzugriff **Beinhaltet alle Berechtigungen.
Weitere Informationen zu Berechtigungen, die in den Standardberechtigungsstufen enthalten sind, finden Sie unter Benutzerberechtigungen und Berechtigungsstufen.
Feststellen, ob zusätzliche Berechtigungsstufen oder Gruppen erforderlich sind
Die Standardgruppen und -berechtigungsstufen stellen einen allgemeinen Rahmen für Berechtigungen bereit und sind damit für eine Vielzahl von Organisationsarten und Rollen innerhalb dieser Organisationen geeignet. Es kann jedoch sein, dass sie Ihre Benutzerstruktur oder die Vielzahl der Aufgaben, die die Benutzer auf den Websites ausführen, nicht genau abbilden. Wenn die Standardgruppen und -berechtigungsstufen für Ihre Organisation nicht geeignet sind, können Sie benutzerdefinierte Gruppen erstellen, die in bestimmten Berechtigungsstufen enthaltenen Berechtigungen ändern oder benutzerdefinierte Berechtigungsstufen erstellen.
Benötigen Sie benutzerdefinierte Gruppen?
Die Entscheidung, benutzerdefinierte Gruppen zu erstellen, ist recht unkompliziert und hat kaum Auswirkungen auf die Sicherheit der Website. Im Prinzip sollten Sie benutzerdefinierte Gruppen erstellen und anstelle der Standardgruppen verwenden, wenn eine der folgenden Aussagen zutrifft:
In Ihrer Organisation gibt es mehr (oder weniger) Benutzerrollen als in den Standardgruppen vorgesehen. Wenn es in Ihrem Unternehmen beispielsweise neben der Gruppe Designer auch eine Gruppe von Personen gibt, die Inhalte auf der Website veröffentlichen, möchten Sie möglicherweise eine Gruppe mit dem Namen Herausgeber erstellen.
In Ihrer Organisation gibt es eingeführte Namen für bestimmte Rollen, die auf den Websites ganz andere Aufgaben durchführen. Wenn Sie beispielsweise eine öffentliche Website für den Vertrieb der Produkte Ihrer Organisation erstellen, möchten Sie möglicherweise eine Gruppe mit dem Namen Kunden erstellen und anstelle der Gruppen Besucher oder Anzeigende Benutzer verwenden.
Sie möchten eine 1:1-Beziehung zwischen Windows-Sicherheitsgruppen und den SharePoint-Gruppen beibehalten. (In Ihrer Organisation gibt es beispielsweise eine Sicherheitsgruppe für Websitemanager, und Sie möchten diesen Namen als Gruppennamen verwenden, um die Gruppe beim Verwalten der Website leicht erkennen zu können.)
Sie möchten lieber andere Gruppennamen verwenden.
Benötigen Sie benutzerdefinierte Berechtigungsstufen?
Die Entscheidung, Berechtigungsstufen anzupassen, ist nicht ganz so einfach wie die Entscheidung, SharePoint-Gruppen anzupassen. Wenn Sie die einer bestimmten Berechtigungsstufe zugewiesenen Berechtigungen anpassen, müssen Sie diese Änderung nachverfolgen, überprüfen, ob sie sich tatsächlich für alle betroffenen Gruppen und Websites eignet, und sicherstellen, dass sich die Änderung nicht negativ auf die Sicherheit oder die Serverkapazität bzw. -leistung auswirkt.
Beispiel im Hinblick auf die Sicherheit: Wenn Sie die Berechtigungsstufe Teilnehmen so anpassen, dass diese die Berechtigung Unterwebsites erstellen enthält, die eigentlich der Berechtigungsstufe Vollzugriff angehört, können Teilnehmer Unterwebsites erstellen und besitzen, potenziell böswillige Benutzer auf ihre Unterwebsites einladen oder nicht genehmigte Inhalte bereitstellen. Beispiel im Hinblick auf die Kapazität: Wenn Sie die Berechtigung Lesen so ändern, dass diese die Berechtigung Benachrichtigungen erstellen enthält, die eigentlich der Berechtigungsstufe Teilnehmen angehört, können alle Mitglieder der Gruppe Besucher Benachrichtigungen erstellen, wodurch die Server möglicherweise überlastet werden.
Wenn eine der folgenden Aussagen zutrifft, sollten Sie die Standardberechtigungsstufen anpassen:
Eine Standardberechtigungsstufe enthält alle Berechtigungen, es fehlt jedoch eine, die Ihre Benutzer für ihre Arbeit benötigen, und Sie möchten diese Berechtigung hinzufügen.
Eine Standardberechtigungsstufe beinhaltet eine Berechtigung, die Ihre Benutzer nicht benötigen.
Hinweis
Sie sollten die Standardberechtigungsstufen nicht ändern, wenn es in Ihrer Organisation bei einer bestimmten Berechtigung Bedenken hinsichtlich der Sicherheit oder andere Bedenken gibt und gewünscht ist, dass die fragliche Berechtigung, die in einer oder mehreren Berechtigungsstufen enthalten ist, für die betreffenden Benutzer nicht mehr verfügbar ist. In diesem Fall sollten Sie diese Berechtigung für alle Webanwendungen in der Serverfarm deaktivieren, statt alle Berechtigungsstufen zu ändern. Um Berechtigungen für eine Webanwendung zu verwalten, klicken Sie in der Zentraladministration auf der Seite Anwendungsverwaltung im Abschnitt Anwendungssicherheit auf Benutzerberechtigungen für Webanwendung.
Wenn Sie an einer bestimmten Berechtigungsstufe mehrere Änderungen vornehmen müssen, ist es besser, eine benutzerdefinierte Berechtigungsstufe zu erstellen, die alle erforderlichen Berechtigungen enthält.
Sie sollten zusätzliche Berechtigungsstufen erstellen, wenn eine der folgenden Aussagen zutrifft:
Sie möchten mehrere Berechtigungen aus einer bestimmten Berechtigungsstufe ausschließen.
Sie möchten eigene Berechtigungen für eine neue Berechtigungsstufe definieren.
Um eine Berechtigungsstufe zu erstellen, können Sie eine vorhandene Berechtigungsstufe kopieren und entsprechend ändern, oder Sie können eine Berechtigungsstufe erstellen und die gewünschten Berechtigungen hinzufügen.
Hinweis
Einige Berechtigungen sind von anderen abhängig. Wenn Sie eine Berechtigung löschen, von der eine andere abhängt, wird die andere Berechtigung ebenfalls gelöscht.
| Arbeitsblattaktion |
|---|
Tragen Sie im Dokument Arbeitsblatt für benutzerdefinierte Berechtigungsstufen und Gruppen (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73133&clcid=0x407) alle Berechtigungsstufen ein, die Sie anpassen oder erstellen möchten. |
Arbeitsblatt
Verwenden Sie das folgende Arbeitsblatt, um zu verwendende Berechtigungsstufen und Gruppen festzulegen:
- Arbeitsblatt für benutzerdefinierte Berechtigungsstufen und Gruppen (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73133&clcid=0x407)
Herunterladen dieses Buchs
Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:
Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Windows SharePoint Services (in englischer Sprache).