Planen der Websitesicherheit (Windows SharePoint Services)
Inhalt dieses Artikels:
Informationen zu Elementen der Websitesicherheit
Informationen zum Zuweisen von Berechtigungen
Informationen zu abgestimmten Berechtigungen sowie zur Vererbung von Berechtigungen
Auswahl der zu verwendenden Websitesicherheitsstufe
Planen der Vererbung von Berechtigungen
Arbeitsblatt
In diesem Artikel geht es um die Planung der Zugriffssteuerung und Autorisierung auf der Ebene der Websitesammlung, der Website und der Unterwebsite. Die Planung der Sicherheit des Servers oder der Serverfarm wird hier nicht beschrieben. Weitere Informationen zur Planung anderer Sicherheitsaspekte, z. B. Authentifizierungsmethoden und Verschlüsselung, finden Sie unter Planen der Website- und Inhaltssicherheit (Windows SharePoint Services).
Die Websitesicherheit wird durch Zuweisen von Berechtigungen zu Benutzern und Gruppen für ein bestimmtes sicherungsfähiges Objekt (z. B. eine Website, eine Liste oder ein Element) gesteuert. Beim Planen der Websitesicherheit müssen Sie folgende Entscheidungen treffen:
Bis zu welchem Grad sollen Berechtigungen für einzelne sicherungsfähige Objekte gesteuert werden? Möchten Sie beispielsweise den Zugriff für die gesamte Website steuern, oder benötigen Sie bestimmte Sicherheitseinstellungen für eine bestimmte Liste, einen bestimmten Ordner oder ein bestimmtes Element?
Wie möchten Sie Ihre Benutzer (mithilfe von Gruppen) kategorisieren und verwalten? Dieser Artikel enthält wichtige Informationen zur Websitesicherheit und unterstützt Sie beim Ermitteln der sicherungsfähigen Objekte, auf die bestimmte Berechtigungen angewendet werden sollen. Weitere Informationen zum Kategorisieren von Benutzern in Gruppen finden Sie unter Auswählen der zu verwendenden Sicherheitsgruppen (Windows SharePoint Services).
Hinweis
Die Art und Weise, wie Gruppen und Berechtigungen interagieren, hat sich im Vergleich zur Vorgängerversion erheblich geändert. In der Vorgängerversion enthielten Gruppen auf Websiteebene sowohl Benutzer als auch Berechtigungen. Das heißt, dass Sie beim Hinzufügen eines Benutzers zu einer Websitegruppe automatisch die Berechtigungen festgelegt haben, die dem Benutzer für eine Website erteilt wurden. In dieser Version wurden die Konzepte von Gruppen und Berechtigungen getrennt: SharePoint-Gruppen auf der Ebene der Websitesammlung enthalten die Benutzer, Berechtigungsstufen enthalten die Berechtigungen und Gruppen verfügen erst über Berechtigungen, nachdem ihnen eine Berechtigungsstufe für ein bestimmtes sicherungsfähiges Objekt (z. B. für eine Website, eine Liste oder Bibliothek, einen Ordner, ein Element oder ein Dokument) zugewiesen wurde.
Informationen zu Elementen der Websitesicherheit
Unabhängig davon, welche Art von Website Sie erstellen, die Sicherheit für die Website umfasst immer die folgenden fünf Elemente:
Individuelle Benutzerberechtigungen Individuelle Berechtigungen, mit denen bestimmte Aktionen ausgeführt werden können. Beispiel: Mithilfe der Berechtigung Elemente anzeigen kann der Benutzer Elemente in einer Liste anzeigen. Farmadministratoren können über die Seite Benutzerberechtigungen für Webanwendungen in der Zentraladministration festlegen, welche Berechtigungen für die Serverfarm verfügbar sind. (Um zu dieser Seite zu gelangen, klicken Sie auf der Seite Anwendungsverwaltung unter Anwendungssicherheit auf Benutzerberechtigungen für Webanwendungen.) Informationen zu verfügbaren Berechtigungen finden Sie unter Benutzerberechtigungen und Berechtigungsstufen.
Berechtigungsstufe Ein Satz vordefinierter Berechtigungen, mit denen Benutzern die Berechtigung zum Ausführen verwandter Aktionen erteilt wird. Folgende Standardberechtigungsstufen sind verfügbar: Beschränkter Zugriff, Lesen, Teilnehmen, Entwerfen und Vollzugriff. Die Berechtigungsstufe Lesen beinhaltet beispielsweise die Berechtigungen Elemente anzeigen, Elemente öffnen, Seiten anzeigen und Versionen anzeigen (und andere), die erforderlich sind, um Dokumente, Elemente und Seiten einer SharePoint-Website zu lesen. Berechtigungen können in mehreren Berechtigungsstufen enthalten sein. Berechtigungsstufen können von jedem Benutzer angepasst werden, der einer Berechtigungsstufe zugeordnet ist, die die Berechtigung Berechtigungen verwalten enthält. Informationen zu den Standardberechtigungsstufen und den darin enthaltenen Berechtigungen finden Sie unter Benutzerberechtigungen und Berechtigungsstufen.
Benutzer Eine Person mit einem Benutzerkonto, das über die für den Server verwendete Authentifizierungsmethode authentifiziert werden kann. Sie können einzelne Benutzer hinzufügen und jedem Benutzer eine Berechtigungsstufe direkt zuweisen. Benutzer müssen keiner Gruppe angehören. Es wird jedoch empfohlen, Berechtigungen Gruppen statt Benutzern zuzuweisen. Da die direkte Verwaltung von Benutzerkonten nicht effizient ist, sollten Sie Berechtigungen nur in Ausnahmefällen einzelnen Benutzern zuweisen. Weitere Informationen zu Benutzerkontotypen finden Sie unter Benutzerberechtigungen und Berechtigungsstufen.
Gruppe Eine Gruppe von Benutzern. Hierbei kann es sich um eine Windows-Sicherheitsgruppe (z. B. Abteilung_A) handeln, die Sie der Website hinzufügen, oder um eine SharePoint-Gruppe, z. B. Websitebesitzer, Websitemitglieder oder Websitebesucher. Jeder SharePoint-Gruppe wird eine Standardberechtigungsstufe zugewiesen, wobei die Berechtigungsstufe für eine Gruppe jederzeit geändert werden kann. Jeder Benutzer, dem eine Berechtigungsstufe mit der Berechtigung Gruppen erstellen (in der Berechtigungsstufe Vollzugriff standardmäßig enthalten) zugewiesen wurde, kann benutzerdefinierte SharePoint-Gruppen erstellen.
Sicherungsfähiges Objekt Benutzern oder Gruppen wird eine Berechtigungsstufe für ein bestimmtes sicherungsfähiges Objekt zugewiesen, z. B. für eine Website, eine Liste, eine Bibliothek, einen Ordner, ein Dokument oder ein Element. Berechtigungen für eine Liste, eine Bibliothek, einen Ordner, ein Dokument oder ein Element werden standardmäßig von der übergeordneten Website, Liste oder Bibliothek vererbt. Ein Benutzer, dem eine Berechtigungsstufe für ein bestimmtes sicherungsfähiges Objekt zugewiesen wurde, das die Berechtigung Berechtigungen verwalten enthält, kann die Berechtigungen für dieses sicherungsfähige Objekt ändern. Standardmäßig werden Berechtigungen zunächst auf der Ebene der Website festgelegt, wobei alle Listen und Bibliotheken die Websiteberechtigungen erben. Mithilfe der Berechtigungen auf Listen-, Ordner- und Elementebene können Sie weiter festlegen, welche Benutzer den Websiteinhalt anzeigen und mit dem Websiteinhalt interagieren können. Sie können jederzeit Berechtigungen wieder von einer übergeordneten Liste, der Website als Ganzes oder der übergeordneten Website vererben.
Informationen zum Zuweisen von Berechtigungen
Sie können einem Benutzer oder einer Gruppe eine Berechtigungsstufe für ein bestimmtes sicherungsfähiges Objekt (Website, Liste oder Element) zuweisen. Einzelne Benutzer oder Gruppen können für unterschiedliche sicherungsfähige Objekte über unterschiedliche Berechtigungsstufen verfügen.
Hinweis
Da die direkte Verwaltung von Benutzerkonten nicht effizient ist, sollten Sie nach Möglichkeit immer Gruppenberechtigungen verwenden. Insbesondere wenn Sie abgestimmte Berechtigungen (siehe nachfolgenden Abschnitt) verwenden, sollten Sie Gruppen verwenden, um zu vermeiden, dass Sie einzelne Benutzerkonten nachverfolgen müssen. Personen können regelmäßig in Teams aufgenommen werden, aus Teams ausscheiden und ihre Verantwortlichkeiten ändern. Sie werden all diese Änderungen nicht nachverfolgen und die Berechtigungen für einzeln gesicherte Objekte nicht ständig aktualisieren wollen.
In der folgenden Abbildung ist dargestellt, wie Benutzern und Gruppen für ein bestimmtes sicherungsfähiges Objekt bestimmte Berechtigungsstufen zugewiesen werden.
.gif "Spezifische Berechtigungsstufen")
Informationen zu abgestimmten Berechtigungen sowie zur Vererbung von Berechtigungen
Mithilfe von abgestimmten Berechtigungen (Berechtigungen auf der Ebene der Liste, der Bibliothek, des Ordners, des Elements oder des Dokuments) können Sie präziser festlegen, welche Aktionen Benutzer auf Ihrer Website durchführen können. Folgende sicherungsfähige Objekte sind für Berechtigungszuweisungen verfügbar:
Website Steuert den Zugriff auf die gesamte Website.
Liste oder Bibliothek Steuert den Zugriff auf eine bestimmte Liste oder Bibliothek.
Ordner Steuert den Zugriff auf die Eigenschaften eines Ordners (z. B. den Namen des Ordners).
Element oder Dokument Steuert den Zugriff auf ein bestimmtes Listenelement oder Dokument.
Vererbung von Berechtigungen und abgestimmte Berechtigungen
Berechtigungen innerhalb einer Website werden standardmäßig von der Website vererbt. Sie können diese Vererbung jedoch für jedes sicherungsfähige Objekt auf einer unteren Ebene in der Hierarchie unterbrechen, indem Sie die Berechtigungen für dieses sicherungsfähige Objekt bearbeiten (eine eigene Berechtigungszuweisung erstellen). Sie können beispielsweise die Berechtigungen für eine Dokumentbibliothek bearbeiten, wodurch die Vererbung von der Website unterbrochen wird. Die Vererbung wird jedoch nur für das sicherungsfähige Objekt unterbrochen, für das Sie Berechtigungen zuweisen, die restlichen Berechtigungen der Website bleiben unverändert. Sie können jederzeit Berechtigungen wieder von der übergeordneten Liste oder Website vererben.
Vererbung von Berechtigungen und Unterwebsites
Websites sind selbst sicherungsfähige Objekte, denen Berechtigungen zugewiesen werden können. Sie können Unterwebsites konfigurieren, um Berechtigungen von einer übergeordneten Website zu vererben oder eigene Berechtigungen für eine bestimmte Website zu erstellen. Das Vererben von Berechtigungen ist die einfachste Art und Weise, eine Gruppe von Websites zu verwalten. Wenn eine Unterwebsite Berechtigungen von der übergeordneten Website erbt, wird dieser Satz Berechtigungen jedoch gemeinsam genutzt. Das bedeutet, dass Besitzer von Unterwebsites, die Berechtigungen von der übergeordneten Website erben, die Berechtigungen der übergeordneten Website bearbeiten können. Wenn Sie die Berechtigungen nur für eine Unterwebsite ändern möchten, müssen Sie die Vererbung von Berechtigungen unterbrechen und dann die Änderungen vornehmen.
Unterwebsites können Berechtigungen von einer übergeordneten Website erben. Sie können die Vererbung von Berechtigungen für eine Unterwebsite beenden, indem Sie eigene Berechtigungen erstellen. Dabei werden Gruppen, Benutzer und Berechtigungsstufen von der übergeordneten Website in die Unterwebsite kopiert und die Vererbung unterbrochen. Wenn Sie von eigenen Berechtigungen zu vererbten Berechtigungen wechseln, werden Benutzer, Gruppen und Berechtigungsstufen vererbt, und Benutzer, Gruppen und Berechtigungsstufen, die Sie in der Unterwebsite speziell definiert haben, gehen verloren. Berechtigungsstufen können ebenfalls vererbt werden (und werden standardmäßig vererbt), sodass die Berechtigungsstufe Lesen dieselbe ist, unabhängig davon, auf welches Objekt Sie angewendet wird. Sie können die Vererbung unterbrechen, indem Sie die Berechtigungsstufe bearbeiten, wenn Sie beispielsweise nicht möchten, dass die Berechtigungsstufe Lesen für eine bestimmte Unterwebsite die Berechtigung Benachrichtigungen erstellen enthält.)
Auswahl der zu verwendenden Websitesicherheitsstufe
Beim Erstellen der Berechtigungsstruktur ist es wichtig, die Balance zwischen einer leichten Verwaltung, einem guten Leistungsverhalten und der Notwendigkeit zu finden, bestimmte Berechtigungen für einzelne Elemente festlegen zu müssen. Wenn Sie zahlreiche abgestimmte Berechtigungen verwenden, werden Sie viel Zeit mit der Verwaltung von Berechtigungen verbringen, und Benutzer werden beim Zugriff auf Websiteinhalte ein schlechteres Leistungsverhalten erleben. Wie bei jedem Server oder bei jeder Website sollten Sie auch beim Gewähren des Zugriffs auf die Website die Regel der geringsten Rechte befolgen: Benutzern sollten nur die Berechtigungsstufen zugewiesen werden, die sie benötigen. Um die Verwaltung möglichst leicht zu gestalten, beginnen Sie mithilfe der Standardgruppen (z. B. Mitglieder, Besucher und Besitzer), und legen Sie Berechtigungen auf der Ebene der Website fest. Weisen Sie die meisten Benutzern den Gruppen Besucher oder Mitglieder zu. Begrenzen Sie die Anzahl der Benutzer in der Gruppe Besitzer auf die Benutzer, die die Struktur der Website oder die Einstellungen und das Aussehen der Website ändern dürfen. Standardmäßig können Benutzer in der Gruppe Mitglieder eigene Beiträge zu einer Website beisteuern, indem sie Elemente oder Dokumente hinzufügen oder entfernen. Sie können jedoch die Struktur der Website oder die Einstellungen und das Aussehen der Website nicht ändern. Wenn Sie die Aktionen, die von Benutzern ausgeführt werden können, genauer festlegen möchten, können Sie weitere SharePoint-Gruppen und -Berechtigungen erstellen.
Wenn bestimmte Listen, Bibliotheken, Ordner, Elemente oder Dokumente vorhanden sind, die vertrauliche Daten enthalten und noch sicherer sein müssen, können Sie einer bestimmten Gruppe oder einem einzelnen Benutzer Berechtigungen zuweisen. Es gibt jedoch keine Möglichkeit, alle für Listen, Bibliotheken, Ordner, Elemente oder Dokumente eigenen Berechtigungen innerhalb einer Website anzuzeigen. Das bedeutet, dass es schwierig ist, schnell festzustellen, wer über Berechtigungen für welche sicherungsfähigen Objekte verfügt, und dass es außerdem schwierig ist, abgestimmte Berechtigungen in Massen zurückzusetzen.
Planen der Vererbung von Berechtigungen
Berechtigungen lassen sich am leichtesten verwalten, wenn eine klare Hierarchie von Berechtigungen und vererbten Berechtigungen besteht. Die Verwaltung wird schwieriger, wenn auf einige Listen innerhalb einer Website abgestimmte Berechtigungen angewendet werden, und wenn einige Websites über Unterwebsites mit eigenen Berechtigungen und über einige Unterwebsites mit vererbten Berechtigungen verfügen. Ordnen Sie Websites und Unterwebsites sowie Listen und Bibliotheken nach Möglichkeit so an, dass die meisten Berechtigungen gemeinsam genutzt werden. Unterteilen Sie vertrauliche Daten in eigene Listen, Bibliotheken oder Unterwebsites.
Es ist beispielsweise recht einfach, eine Website zu verwalten, bei der Berechtigungen wie in der folgenden Tabelle beschrieben vererbt werden.
| Sicherungsfähiges Objekt | Beschreibung | Eigene oder vererbte Berechtigungen |
|---|---|---|
WebsiteA |
Homepage der Gruppe |
Eigen |
WebsiteA/UnterwebsiteA |
Vertrauliche Gruppe |
Eigen |
WebsiteA/UnterwebsiteA/ListeA |
Vertrauliche Daten |
Eigen |
WebsiteA/UnterwebsiteA/BibliothekA |
Vertrauliche Dokumente |
Eigen |
WebsiteA/UnterwebsiteB |
Gruppe nutzt Projektinformationen gemeinsam |
Vererbt |
WebsiteA/UnterwebsiteB/ListeB |
Nicht vertrauliche Daten |
Vererbt |
WebsiteA/UnterwebsiteB/BibliothekB |
Nicht vertrauliche Dokumente |
Vererbt |
Im Vergleich dazu ist es nicht einfach, eine Website zu verwalten, bei der Berechtigungen wie in der folgenden Tabelle beschrieben vererbt werden.
| Sicherungsfähiges Objekt | Beschreibung | Eigene oder vererbte Berechtigungen |
|---|---|---|
WebsiteA |
Homepage der Gruppe |
Eigen |
WebsiteA/UnterwebsiteA |
Vertrauliche Gruppe |
Eigen |
WebsiteA/UnterwebsiteA/ListeA |
Nicht vertrauliche Daten |
Eigene Berechtigungen, jedoch einige Berechtigungen wie WebsiteA |
WebsiteA/UnterwebsiteA/BibliothekA |
Nicht vertrauliche Dokumente, jedoch mit einem oder zwei vertraulichen Dokumenten |
Vererbte Berechtigungen, mit eigenen Berechtigungen auf der Dokumentebene |
WebsiteA/UnterwebsiteB |
Gruppe nutzt Projektinformationen gemeinsam |
Vererbt |
WebsiteA/UnterwebsiteB/ListeB |
Nicht vertrauliche Daten, jedoch mit einem oder zwei vertraulichen Elementen |
Vererbte Berechtigungen, mit eigenen Berechtigungen auf der Elementebene |
WebsiteA/UnterwebsiteB/BibliothekB |
Nicht vertrauliche Dokumente, jedoch mit einem speziellen Ordner mit vertraulichen Dokumenten |
Vererbte Berechtigungen, mit eigenen Berechtigungen auf der Ordner- und Dokumentebene |
Arbeitsblatt
Geben Sie im folgenden Arbeitsblatt die Hierarchie Ihrer Website ein, und listen Sie dann die auf den einzelnen Ebenen der Hierarchie benötigten Berechtigungen sowie alle vererbten Berechtigungen auf:
- Site and content security worksheet (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73136&clcid=0x407) (Arbeitsblatt zur Sicherheit von Websites und Inhalten)