Planen von Sicherheitsrollen (Windows SharePoint Services)

Inhalt dieses Artikels:

• Verwaltung auf Farmebene

• Verwaltung auf Websiteebene

• Arbeitsblatt

Eines der neuen Features in Windows SharePoint Services 3.0 ist ein aus zwei Ebenen bestehendes administratives Modell, das Konfigurations- und Verwaltungsaufgaben zentralisiert und die Unterscheidung zwischen administrativen Rollen sowie die Delegation und Zuweisung der Verwaltung an die zuständigen Personen in der Organisation ermöglicht. Dank der Verbesserungen am administrativen Modell können IT-Organisationen Verwaltungsaufgaben effizienter und effektiver ausführen. Mithilfe des administrativen Modells und der SharePoint-Gruppen können Sie nur die Berechtigungen erteilen, die erforderlich sind, um bestimmte Aufgaben basierend auf bestimmten Rollen in der Organisation auszuführen. Um das aus zwei Ebenen bestehende administrative Modell noch effektiver nutzen zu können, weisen viele Organisationen in jeder Ebene bestimmte administrative Rollen zu. In diesem Artikel werden die administrativen Rollen in den Ebenen erläutert, die Sie zum Verwalten der Lösung verwenden können.

In der folgenden Liste werden die administrativen Ebenen beschrieben.

• Ebene 1: Administratoren auf Farmebene   Administratoren auf dieser Ebene sind die Administratoren der höchsten Ebene, die über die Berechtigungen für alle Server in der Serverfarm verfügen und für diese zuständig sind. Mitglieder können auf der Website für die SharePoint-Zentraladministration alle Verwaltungsaufgaben für den Server oder die Serverfarm ausführen.

• Ebene 2: Websitesammlungsadministratoren   Websitesammlungsadministratoren verfügen über die Berechtigungsstufe Vollzugriff für ihre Websitesammlungen.

Windows SharePoint Services 3.0 bietet große Flexibilität bei der Zuweisung administrativer Rollen. In einem zentralisierten Verwaltungsmodell können Sie ein oder zwei Personen in der Organisation viele Rollen zuweisen. Alternativ können Sie in einem verteilten Verwaltungsmodell bestimmte Rollen an unterschiedliche Personen in der Organisation delegieren.

Verwaltung auf Farmebene

Die Verwaltung auf Farmebene wird normalerweise von den folgenden Rollen ausgeführt:

• Farmadministratoren

• Administratoren auf Serverebene

Farmadministratoren

Farmadministratoren verfügen über die Berechtigungen für alle Server in der Serverfarm und sind für diese zuständig. Die SharePoint-Gruppe der Farmadministratoren tritt an die Stelle der SharePoint-Gruppe der Administratoren, die in Windows SharePoint Services, Version 2.0, verwendet wurde. Mitglieder der Gruppe der Farmadministratoren müssen nicht der Gruppe der Administratoren für jeden Server hinzugefügt werden. Farmadministratoren sind Mitglied der Gruppen WSS_WPG und WSS_RESTRICTED_WPG auf den Computern, auf denen die Zentraladministration gehostet wird, und sie verfügen über die Berechtigungsstufe Vollzugriff für alle Server in der Umgebung. Standardmäßig sind Mitglieder der Gruppe der Administratoren Mitglieder der SharePoint-Gruppe der Farmadministratoren.

Mitglieder der Gruppe der Farmadministratoren verfügen über umfassende Möglichkeiten zum Verwalten der Zentraladministrationswebsite, sind jedoch in der Ausführung einiger Aktionen eingeschränkt (d. h. beim Erstellen von IIS-Websites (Internet Information Services, Internetinformationsdienste)), beim Erstellen oder Löschen von SharePoint-Webanwendungen, beim Aktualisieren von Kontokennwörtern oder Windows-Diensten). Dies ist auf bestimmte Einschränkungen in IIS und Microsoft .NET Framework zurückzuführen. Mitglieder der Gruppe der Farmadministratoren haben standardmäßig keinen administrativen Zugriff auf einzelne Websites oder deren Inhalt. Allerdings können sie die Steuerung einer bestimmten Websitesammlung übernehmen, um den Inhalt anzuzeigen. Wenn z. B. ein Websitesammlungsadministrator die Organisation verlässt und ein neuer Administrator hinzugefügt werden muss, können Farmadministratoren sich selbst als Websitesammlungsadministratoren hinzufügen. Diese Aktion wird in den Überwachungsprotokollen erfasst. Es hat sich bewährt, die Berechtigungen von Farmadministratoren für die Websitesammlung zu entfernen, nachdem die erforderliche Aktivität auf Websiteebene abgeschlossen ist. Die Gruppe der Farmadministratoren wird nur in der Zentraladministration verwendet und ist für Websites nicht verfügbar.

Hinweis

Obwohl alle Benutzer mit der Berechtigungsstufe Vollzugriff für die Zentraladministrationswebsite die SSP-Webanwendung von der Zentraladministrationswebsite löschen können, wird von diesem Vorgehen dringend abgeraten, da der SSP nicht funktionsfähig ist. Wenn die Webanwendung gelöscht wurde, besteht die einzige Möglichkeit darin, den SSP aus einer aktuellen Sicherung wiederherzustellen. Weitere Informationen zum Wiederherstellen aus einer Sicherung finden Sie unter Verwalten von Sicherung und Wiederherstellung mit der Windows SharePoint Services 3.0-Technologie.

Hinweis

Wählen Sie sorgfältig aus, wem Sie die Mitgliedschaften in der Gruppe Administratoren auf dem lokalen Datenbankservercomputer gewähren und wem Sie die Mitgliedschaft in festen Datenbankrollen und festen Serverrollen in Microsoft SQL Server gewähren. Denn diese Gruppe und diese Rollen verfügen über die Berechtigungsstufe Vollzugriff für die Konfigurationsdatenbank von SharePoint-Produkte und -Technologien.

In der folgenden Tabelle werden Aufgaben aufgeführt, die Mitglieder der Gruppe der Farmadministratoren ausführen können.

SharePoint-Gruppe	Rolle standardmäßig vorhanden?	Zulässig	Nicht zulässig
Farmadministratoren	Ja	Ausführen von Verwaltungsaufgaben in der Zentraladministration Übernehmen des Besitzes jeder Inhaltswebsite	Verwalten von einzelnen Websites oder von Websiteinhalt, sofern sie nicht Besitzer der Website sind

Weitere Informationen zur Gruppe der Farmadministratoren finden Sie unter Auswählen von Administratoren und Besitzern für die Verwaltungshierarchie (Windows SharePoint Services).

Administratoren auf Serverebene

Mitglieder der Gruppe der Administratoren auf dem lokalen Servercomputer werden automatisch der Gruppe der Farmadministratoren hinzugefügt und können alle Aktionen eines Farmadministrators ausführen. Die Gruppe der Administratoren ist eine Windows-Gruppe, keine SharePoint-Gruppe, aber die Gruppe der Administratoren auf dem lokalen Computer führt bestimmte Verwaltungsaufgaben in Windows SharePoint Services 3.0 aus. Wie Farmadministratoren haben auch Mitglieder der Gruppe der Administratoren auf dem lokalen Computer standardmäßig keinen administrativen Zugriff auf Websiteinhalt. Sie können bei Bedarf jedoch die Steuerung bestimmter Websitesammlungen übernehmen. Zu diesem Zweck können sie sich selbst in der Zentraladministration auf der Seite Websitesammlungsadministratoren als Websitesammlungsadministratoren hinzufügen.

In der folgenden Tabelle wird die Administratorrolle auf Serverebene beschrieben.

Gruppe	Rolle standardmäßig vorhanden?	Zulässig	Nicht zulässig
Administratoren	Ja. Standardmäßig vorhandene Windows-Gruppe; keine SharePoint-Gruppe.	Installieren von Produkten Erstellen neuer Webanwendungen und neuer IIS-Websites (Internet Information Services, Internetinformationsdienste) Starten von Diensten Bereitstellen von Webparts und neuen Features für den globalen Assemblycache Ausführen aller Aufgaben auf Farmebene in der Zentraladministration (sofern sich die Zentraladministrationswebsite auf dem lokalen Computer befindet) Ausführen des Befehlszeilentools Stsadm Hinweis Um das Befehlszeilentool Stsadm ausführen zu können, müssen Sie Administrator auf Serverebene sein. Je nach tatsächlich ausgeführtem Befehl benötigen Sie auch weitere Berechtigungen. Wenn Sie z. B. den Befehl stsadm.exe –o deleteweb ausführen, muss das Konto über Schreibzugriff auf die Inhaltsdatenbank verfügen, in der sich die Webanwendung befindet.	Verwalten von einzelnen Websites oder von Websiteinhalt Verwalten von Datenbanken

Verwaltung auf Websiteebene

Die Verwaltung auf Websiteebene umfasst die folgenden Rollen:

• Websitesammlungsadministratoren

• Websitebesitzer

Websitesammlungsadministratoren

Websitesammlungsadministratoren verfügen über die Berechtigungsstufe Vollzugriff für alle Websites und Inhalte in einer Websitesammlung. Websitesammlungsadministratoren verwalten von der Websitesammlungsebene aus Einstellungen (z. B. Websitesammlungsfeatures, Überwachungseinstellungen für Websitesammlungen und Websitesammlungsrichtlinien) auf der Seite Websiteeinstellungen für die Website der höchsten Ebene. Wenn Sie eine Websitesammlung erstellen, können Sie den primären und den sekundären Websitesammlungsadministrator angeben. Websitesammlungsadministratoren sind Benutzer mit einem Kennzeichen in der Inhaltsdatenbank, das angibt, dass sie alle Aufgaben in einer Websitesammlung ausführen können, u. a. alle Aufgaben für bestimmte Websites in einer Websitesammlung. Dieses Kennzeichen kann mithilfe der Seite Websitesammlungsadministratoren in der Zentraladministration geändert werden. Dazu verwenden Sie die Seite Websiteeinstellungen auf einer Website der höchsten Ebene oder den siteowner-Vorgang des Befehlszeilentools Stsadm. Normalerweise werden Websitesammlungsadministratoren beim Erstellen der Website festgelegt. Es ist jedoch möglich, diese bei Bedarf in der Zentraladministration oder auf den Seiten mit den Websiteeinstellungen zu ändern.

In der folgenden Tabelle wird die Rolle Websitesammlungsadministrator beschrieben.

SharePoint-Gruppe	Rolle standardmäßig vorhanden?	Zulässig	Nicht zulässig
Websitesammlungsadministrator	Ja	Ausführen aller Verwaltungsaufgaben für Websites in der Websitesammlung	Zugreifen auf die Zentraladministrationswebsite

Websitebesitzer

Websitebenutzer sind Benutzer, denen die Berechtigungsstufe Vollzugriff für die Website explizit erteilt wurde, und zwar entweder direkt oder dadurch, dass sie Mitglied einer SharePoint-Gruppe sind, z. B. der Gruppe der Besitzer, die über die Berechtigungsstufe Vollzugriff für die Website verfügt. Websitebesitzer können nur Aufgaben für die Website, nicht für die gesamte Websitesammlung ausführen.

Hinweis

Der Benutzer, der die Website erstellt, wird automatisch der Gruppe der Besitzer für die Website hinzugefügt.

In der folgenden Tabelle werden Aufgaben beschrieben, die von Websitebesitzern ausgeführt werden können.

SharePoint-Gruppe	Rolle standardmäßig vorhanden?	Zulässig	Nicht zulässig
Besitzer von *Websitename*	Ja	Nur Verwaltung der Website, nicht der ganzen Websitesammlung Ausführen von Verwaltungsaufgaben für Dokumente, Listen und Bibliotheken	Zugreifen auf die Zentraladministrationswebsite Ausführen von Verwaltungsaufgaben für die Websitesammlung, z. B. Elemente aus dem endgültigen Papierkorb wiederherstellen und die Websitehierarchie verwalten

Weitere Informationen zur Verwaltung auf Websiteebene finden Sie unter Auswählen von Administratoren und Besitzern für die Verwaltungshierarchie (Windows SharePoint Services).

Arbeitsblatt

• Arbeitblatt für Administratoren und Besitzer (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73128&clcid=0x407)

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

• Planung und Architektur für Windows SharePoint Services 3.0, Teil 2 (in englischer Sprache)

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Windows SharePoint Services (in englischer Sprache).

Siehe auch

Konzepte

Bestimmen der zu verwendenden Berechtigungsstufen und Gruppen (Windows SharePoint Services)