Zuweisen oder Entfernen von Administratoren von Dienstanwendungen in SharePoint Server

BETRIFFT:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Ein Administrator einer SharePoint Server-Dienstanwendung muss Mitglied der Gruppe "Farmadministratoren" sein, um dieser Dienstanwendung zusätzliche Administratoren zuweisen oder entfernen zu können. Dienstanwendungsadministratoren erhalten sicherheitsbeschnittenen Zugriff auf die Website der SharePoint-Zentraladministration und können Einstellungen im Zusammenhang mit der Dienstanwendung verwalten, müssen jedoch Mitglied der Gruppe "Farmadministratoren" sein, um andere Dienstanwendungsadministratoren hinzufügen und entfernen zu können.

Hinweis

Mitglieder der Gruppe "Farmadministratoren" besitzen standardmäßig Berechtigungen zum Verwalten aller Dienstanwendungen.

Sie können Dienstanwendungsadministratoren mithilfe der die Website für die SharePoint-Zentraladministration oder mithilfe von Microsoft PowerShell zuweisen oder entfernen.

So weisen Sie Administratoren mithilfe der Zentraladministration einer Dienstanwendung zu oder entfernen sie daraus

  1. Stellen Sie sicher, dass das Benutzerkonto, mit dem dieses Verfahren ausgeführt wird, Mitglied der Gruppe Farmadministratoren ist.

  2. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  3. Wählen Sie auf der Seite "Dienstanwendungen verwalten" die Zeile aus, welche die Dienstanwendung enthält, der Sie Administratoren hinzufügen möchten oder aus der Sie Administratoren entfernen möchten. Das Menüband wird aktiviert.

  4. Klicken Sie auf dem Menüband auf Administratoren .

  5. So fügen Sie einen Administrator hinzu:

    • Geben Sie im ersten Textfeld auf der Seite die Benutzerkonten oder -gruppen ein, die hinzugefügt werden sollen. Sie können auf das Symbol Personen klicken, um einen Namen zu überprüfen. Sie können auf das Symbol Adressbuch klicken, um nach hinzuzufügenden Benutzern zu suchen. Sie können im Textfeld mehrere Administratoren hinzufügen.
    • Klicken Sie nach dem Hinzufügen der Administratoren auf OK.
  6. So entfernen Sie einen Administrator:

    • Wählen Sie im zweiten Textfeld auf der Seite den Administrator aus, den Sie entfernen möchten. Beachten Sie, dass der Benutzer mit diesem Schritt nicht aus dem System entfernt wird; er werden lediglich die Administratorberechtigungen des Benutzers für die ausgewählte Dienstanwendung widerrufen.
    • Klicken Sie auf Entfernen.
    • Wenn Sie mit dem Entfernen von Administratoren fertig sind, klicken Sie auf OK.

So weisen Sie Administratoren zu einer Dienstanwendung mithilfe von PowerShell oder entfernen diese

  1. Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind:

    • Sie müssen Mitglied der festen Serverrolle securityadmin auf der SQL Server-Instanz sein.

    • Sie müssen Mitglied der festen Datenbankrolle db_owner in allen Datenbanken sein, die aktualisiert werden sollen.

    • Sie müssen Mitglied der Gruppe Administratoren auf dem Server sein, auf dem das PowerShell-Cmdlet ausgeführt wird.

    Hinweis

    Wenn diese Voraussetzungen nicht erfüllt sind, setzen Sie sich mit dem Setup-Administrator oder SQL Server-Administrator in Verbindung, damit Ihnen diese Berechtigungen erteilt werden.

    Zusätzliche Informationen über PowerShell-Berechtigungen finden Sie unter Berechtigungen und unter Add-SPShellAdmin

  2. Starten Sie die SharePoint-Verwaltungsshell.

  3. Um einen Forderungsprinzipal zu erstellen, geben Sie an der Eingabeaufforderung von PowerShell den folgenden Befehl ein:

    $principal = New-SPClaimsPrincipal "<contoso\jane>" -IdentityType WindowsSamAccountName
    
    

    Dabei ist "contoso\jane " der Benutzername, für den Sie Administratorberechtigungen zuweisen möchten. Der Benutzername sollte in Form von jane@contoso.com " contoso\jane" eingegeben werden. Der neue Forderungsprinzipal wird in der Variable $principal gespeichert.

  4. Um die Dienstanwendung abzurufen, geben Sie den folgenden Befehl ein:

    $spapp = Get-SPServiceApplication -Name "<ServiceApplicationDisplayName>"
    

    Dabei ist ServiceApplicationDisplayName der Anzeigename der Dienstanwendung. Die Identifikation der Dienstanwendung wird in der Variable $spapp gespeichert.

    Wichtig

    Der Anzeigename muss in Anführungszeichen gesetzt werden und mit dem Anzeigenamen der Dienstanwendung genau übereinstimmen. Dabei muss die Groß-/Kleinschreibung beachtet werden. Wenn Sie mehr als eine Dienstanwendung mit einem identischen Anzeigenamen besitzen (was nicht empfohlen wird), können Sie das Cmdlet Get-SPServiceApplication verwenden, um alle Dienstanwendungen anzuzeigen. Sie können die Dienstanwendung dann anhand ihrer GUID identifizieren. Weitere Informationen finden Sie unter Get-SPServiceApplication.

  5. Geben Sie den folgenden Befehl ein, um das Administratorsicherheitsobjekt für die Dienstanwendung abzurufen:

    $security = Get-SPServiceApplicationSecurity $spapp -Admin
    

    Das abgerufene Administratorsicherheitsobjekt wird in der $security-Variablen gespeichert.

    Vorsicht

    Es ist wichtig, das -Admin -Argument anzuhängen, wenn Sie diesen Befehl verwenden.

  6. Verwenden Sie zum Zuweisen oder Widerrufen von Administratorberechtigungen für den Benutzer, der durch den neuen Anspruchsprinzipal $principal (erstellt in Schritt 6 dieses Verfahrens) dem Sicherheitsobjekt des Dienstanwendungsadministrators $security (abgerufen in Schritt 8 dieses Verfahrens) den entsprechenden Befehl wie im folgenden Beispiel gezeigt:

    • Geben Sie zum Zuweisen von Administratorrechten den folgenden Befehl ein:
    Grant-SPObjectSecurity $security $principal "Full Control"
    
    
    • Geben Sie zum Widerrufen von Administratorrechten den folgenden Befehl ein:
    Revoke-SPObjectSecurity $security $principal
    
  7. Geben Sie zum Zuweisen des aktualisierten $security-Sicherheitsobjekts zur Dienstanwendung den folgenden Befehl ein:

    Set-SPServiceApplicationSecurity $spapp $security -Admin
    

    Vorsicht

    Es ist wichtig, das -Admin -Argument anzuhängen, wenn Sie diesen Befehl verwenden.

  8. Geben Sie den folgenden Befehl ein, um zu bestätigen, dass das Sicherheitsobjekt der Dienstanwendung korrekt aktualisiert wurde:

    (Get-SPServiceApplicationSecurity $spapp -Admin).AccessRules
    
    

Beispiele

Im folgenden Beispiel wird der Dienstkontobenutzer "contoso\jane" dem Administratorsicherheitsobjekt für die Dienstanwendung "Contoso Visio Graphics" hinzugefügt.

$principal = New-SPClaimsPrincipal "contoso\jane" -IdentityType WindowsSamAccountName
$spapp = Get-SPServiceApplication -Name "Contoso Visio Graphics"
$security = Get-SPServiceApplicationSecurity $spapp -Admin
Grant-SPObjectSecurity $security $principal "Full Control"
Set-SPServiceApplicationSecurity $spapp $security -Admin
(Get-SPServiceApplicationSecurity $spapp -Admin).AccessRules

Im folgenden Beispiel wird der Dienstkontobenutzer "contoso\jane" aus dem Administratorsicherheitsobjekt für die Dienstanwendung mit dem Namen "Contoso Visio Graphics" entfernt.

$principal = New-SPClaimsPrincipal "contoso\jane" -IdentityType WindowsSamAccountName
$spapp = Get-SPServiceApplication -Name "Contoso Visio Graphics"
$security = Get-SPServiceApplicationSecurity $spapp -Admin
Revoke-SPObjectSecurity $security $principal "Full Control"
Set-SPServiceApplicationSecurity $spapp $security -Admin
(Get-SPServiceApplicationSecurity $spapp -Admin).AccessRules

Weitere Informationen finden Sie in den folgenden Microsoft PowerShell-Artikeln:

Hinweis

[!HINWEIS] Es wird empfohlen, Windows PowerShell zum Ausführen von administrativen Befehlszeilenaufgaben zu verwenden. Das Befehlszeilentool Stsadm ist veraltet, aber weiterhin vorhanden, um die Kompatibilität mit früheren Produktversionen zu gewährleisten.