Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die effektive Verwaltung von Berechtigungen in SharePoint ist für die Sicherheit und den richtigen Benutzerzugriff unerlässlich. Wenn die Anzahl der Dokumente auf SharePoint-Websites zunimmt, kann ein schlechter Entwurf und die Implementierung schnell zu Einschränkungen des Berechtigungsbereichs führen, was sich negativ auf die Leistung auswirkt. In diesem Artikel werden Berechtigungsbereiche und Zugriffssteuerungsmechanismen erläutert, die bewährte Methoden für das effiziente Entwerfen und Verwalten von Berechtigungsbereichen in SharePoint bieten. Sehen wir uns zunächst einige wichtige Komponenten im Zusammenhang mit Berechtigungsbereichen an.
Schlüsselkonzepte und Komponenten
- Access Control Liste: Eine Access Control-Liste (ACL) besteht aus einem Satz von Access Control Entries (ACEs).
- Access Control Eintrag – Ein Access Control-Eintrag (ACE) in SharePoint ist eine Kombination aus einem Prinzipal und einer Rechtemaske (Lesen, Lesen/Schreiben).
- Prinzipal: Ein Prinzipal kann ein einzelner Benutzer oder eine Gruppe sein. Wenn eine Gruppe in einem ACE innerhalb einer ACL vorhanden ist, erhalten alle Mitglieder dieser Gruppe die vom ACE angegebene Berechtigungsstufe.
- Berechtigungsbereich: Ein Berechtigungsbereich ist ein eindeutig gesichertes Objekt. Dies bedeutet, dass die ACL anders als ihr übergeordnetes Element festgelegt werden kann. Dateien und Ordner können über dieselben Berechtigungen verfügen, wenn sie alle Teil derselben Verzeichnisstruktur sind. In einer Dokumentbibliothek können bis zu 50.000 eindeutige ACLs vorhanden sein. Für eine optimale Leistung wird jedoch empfohlen, sie unter 5.000 zu halten.
- Berechtigungsvererbung: Standardmäßig enthält eine Websitesammlung mehrere Websites. Jede Website kann über eine oder mehrere Listen und Dokumentbibliotheken verfügen, die alle ihre Berechtigungen von der Websitesammlung erben. Ebenso erben Ordner, Listen und Dokumente Berechtigungen vom übergeordneten Objekt, das sie enthält. Weitere Informationen finden Sie unter Anpassen von Berechtigungen für eine SharePoint-Liste oder -Bibliothek.
- Eindeutige Berechtigungen: Standardmäßig erbt eine Datei oder ein Ordner die Berechtigungen der Bibliothek oder des Ordners, in der sie enthalten sind. Wenn einer Datei "eindeutige Berechtigungen" zugewiesen werden, wird das Erben von Berechtigungen vom übergeordneten Element beendet, und die Berechtigungen können unabhängig voneinander festgelegt werden. Dies bedeutet, dass die Datei oder der Ordner jetzt über einen eigenen Berechtigungsbereich verfügt.
Berechtigungsbereich und Berechtigungsvererbung
In SharePoint werden ACLs verwendet, um Berechtigungen für Objekte (Dateien und Ordner) zu verwalten. Jede ACL besteht aus mehreren ACEs, die die Berechtigungen für einen Prinzipal angeben.
Wenn eine Dokumentbibliothek erstellt wird, verfügt sie über einen einzelnen Berechtigungsbereich, d. h. alle Dateien und Ordner innerhalb der Dokumentbibliothek erben ihre ACL vom Stamm der Dokumentbibliothek und teilen die gleichen Berechtigungen. Die anfängliche Bereichsanzahl ist 1.
Unterbrechen der Vererbung
Durch das Unterbrechen der Vererbung für eine Datei oder einen Ordner wird ein neuer Berechtigungsbereich erstellt, wodurch die Bereichsanzahl um 1 erhöht wird.
Sie können die Vererbung mit zwei Methoden unterbrechen:
- Sie können die Vererbung manuell unterbrechen , indem Sie zu den Einstellungen der Bibliothek wechseln.
- Wenn Sie eine Datei oder einen Ordner freigeben, unterbricht diese Aktion die Berechtigungsvererbung für die Datei oder den Ordner, sodass sich die ACL (und der Inhalt innerhalb des Ordners) von ihrem übergeordneten Element unterscheiden.
In diesem Artikel werden die Auswirkungen einer unterbrechungsbezogenen Vererbung mithilfe der zweiten Methode erläutert, und es werden bewährte Methoden zum Minimieren des Hinzufügens übermäßiger Bereichsanzahlen in einer Bibliothek beschrieben.
Wenn Sie beispielsweise eine Dokumentbibliothek erstellen, dann einen Ordner erstellen, den Ordner freigeben (wodurch die Vererbung unterbrochen wird) und 75.000 Dateien in den Ordner hochladen, beträgt die Bereichsanzahl der Dokumentbibliothek 2. Dies liegt daran, dass alle 75.000 Dateien im Ordner den Berechtigungsbereich des Ordners und damit seine ACL gemeinsam nutzen. Es gibt nur zwei eindeutige ACLs in der Dokumentbibliothek: die ACL im Stamm und die ACL im Ordner. Wenn Sie mehrere Dateien erstellen und jede einzeln für einen Benutzer freigeben, fügen Sie jedes Mal eine Bereichsanzahl hinzu. Um dies zu vermeiden, speichern Sie alle Dateien in demselben Ordner, und geben Sie den Ordner stattdessen frei.
Freigeben von Ordnern mit großer Elementanzahl
Ein Ordner kann seine Vererbung nur unterbrechen, wenn er über 100.000 oder weniger Elemente verfügt. Wenn ein Ordner diesen Grenzwert überschreitet und nicht eindeutig freigegeben wird, kann er später nicht eindeutig freigegeben werden. Teilen Sie daher große Ordner, bevor sie auf 100.000 Elemente treffen. Im Idealfall sollten Sie einen Ordner freigeben, wenn er keine Elemente enthält, wenn Sie wissen, dass er eine eindeutige Freigabe benötigt.
Freigegebene ACLs für Dateien mit geerbten Berechtigungen
Wenn zwei Dateien über die entsprechende ACL verfügen, weil sie beide vom übergeordneten Ordner erben, teilen sie sich eine ACL. Nur der übergeordnete Ordner zählt. Wenn zwei Dateien jedoch über die gleiche ACL verfügen, da sie separat mit denselben Prinzipalen freigegeben wurden, verfügen sie über zwei Berechtigungsbereiche mit identischen Berechtigungen.
Auswirkungen der unterbrochenen Vererbung auf die Bereichsanzahl
Wenn ein Ordner zwei Dateien enthält und Sie beide für einen Benutzer freigeben, kostet dies drei Bereiche: einen für den übergeordneten Ordner und einen für jede datei, die einzeln freigegeben wurde. Es spielt keine Rolle, dass Sie beide Dateien für den Benutzer freigegeben haben und die ACLs der Dateien identisch sind. Sobald Sie die Vererbung einer Datei oder eines Ordners vom übergeordneten Element aufheben, erstellen Sie einen eindeutigen Bereich.
Effiziente Freigabe, um das Überschreiten von Bereichsgrenzwerten zu vermeiden
Wenn Sie über 10.000 Dateien verfügen, die Sie für einen Benutzer freigeben möchten, und Sie jede Datei einzeln freigeben, kostet dies 10.000 Bereiche, was die Leistung beeinträchtigt, da Sie den empfohlenen Grenzwert von 5.000 überschritten haben. Wenn Sie jedoch einen Ordner erstellen, den Ordner für den Benutzer freigeben und dann alle 10.000 Dateien in diesen Ordner verschieben, kostet dies nur einen zusätzlichen Bereich (für den Ordner). Wenn Sie zuvor jede dieser 10.000 Dateien einzeln einzeln freigegeben und in einen gemeinsamen Ordner mit einer identischen ACL verschoben hätten, hätten Sie den Grenzwert immer noch überschritten (das System "sauber" diese Berechtigungen nicht in Ihrem Namen, indem die Berechtigungsvererbung wiederhergestellt wird).
Grundlegendes zum Bereichslimit
Das empfohlene Limit von 5.000 für ACLs bedeutet, dass Sie über bis zu 5.000 eindeutige ACLs verfügen können. Dies bedeutet nicht, dass Sie nur 5.000 Dateien oder Ordner mit ACLs haben können. Wenn zwei Dateien dieselbe ACL von ihrem übergeordneten Ordner erben, teilen sie sich diese ACL. In diesem Fall zählt nur die ACL des übergeordneten Ordners zum Grenzwert. Wenn zwei Dateien jedoch die gleiche ACL haben, aber explizit festgelegt sind, nicht über Vererbung aus ihrem übergeordneten Ordner, zählt die ACL jeder Datei sowie die ACL des übergeordneten Ordners auf den Grenzwert. Die tatsächliche Leistung kann abhängig von Faktoren wie der Größe der ACLs variieren. Wenn die ACLs klein sind (weniger als 10 ACEs pro ACL), können Sie 5.000 Bereiche überschreiten, ohne dass Probleme auftreten. Bei größeren ACLs (bis zu 5.000 ACEs) können jedoch Leistungsprobleme auftreten, bevor sie den Grenzwert erreichen.
Beispielszenarien
Szenario: Freigeben von Dateien
Für die Freigabe von zwei Dateien in einem Ordner mit einem einzelnen Benutzer werden drei Bereiche verwendet: einen für den übergeordneten Ordner und einen für jede der beiden Dateien. Obwohl beide Dateien für denselben Benutzer freigegeben sind und über die gleiche ACL verfügen, führt das Unterbrechen der Vererbung aus dem übergeordneten Ordner zu eindeutigen Bereichen. Wenn Sie also 10.000 Dateien für den Benutzer freigeben und jede einzeln freigeben müssen, sind 10.000 zusätzliche Bereiche erforderlich. Wenn Sie jedoch alle Dateien in einem einzelnen Ordner ablegen, diesen Ordner für den Benutzer freigeben und die Dateien dann in den Ordner verschieben, ist nur ein zusätzlicher Bereich für den Ordner erforderlich. Ein wichtiger Punkt, den Sie berücksichtigen sollten, ist die gemeinsame Dokumenterstellung. Wenn ein Benutzer an einer Datei in Microsoft Word arbeitet und mit einer anderen Person zusammenarbeiten möchte, kann er sie trotzdem einladen, wenn sich die Datei in SharePoint befindet. Dabei wird eine der verbleibenden verfügbaren ACLs verwendet. Dies ist ein zusätzlicher Faktor, der berücksichtigt werden muss.
Szenario: Verschieben von Dateien
Stellen Sie sich eine Situation vor, in der 10.000 Dateien einzeln für eine Einzelne freigegeben wurden. Wenn diese Dateien später in einen einzelnen Ordner verschoben werden, konsolidiert das System die Berechtigungseinträge nicht automatisch, um nur die Berechtigungen des Ordners anzuwenden. Stattdessen bleiben die Berechtigungen unübersichtlich, es sei denn, der Benutzer korrigiert sie manuell. Dies liegt daran, dass die automatische Wiederherstellung der Berechtigungshierarchie aufgrund von Sicherheitsbedenken nicht implementiert wird. In diesem Szenario kann der Empfänger vor dem Verschieben der Dateien jede der 10.000 Dateien anzeigen, die einzeln für sie freigegeben wurden. Nach dem Verschieben der Dateien in einen Ordner kann der Empfänger weiterhin die 10.000 Dateien zusammen mit dem enthaltenden Ordner sehen, wodurch die Zugriffsstruktur geändert wird. Dies bedeutet, dass eine umfangreiche Freigabe von OneDrive ohne manuelle Bereinigung zu Leistungsproblemen oder sogar betriebsbedingten Fehlern führen kann, sobald das Limit von 50.000 Elementen erreicht ist. Eine sorgfältige Verwaltung, bei der Dateien in Ordnern mit übereinstimmenden ACLs organisiert werden, kann jedoch dazu beitragen, diese Probleme zu beheben. Es ist auch wichtig zu beachten, dass das Verfügbarmachen der tatsächlichen Ordnerhierarchie für Benutzer unerwünscht sein kann, insbesondere wenn Metadaten verwendet werden, um alles anstelle herkömmlicher Ordner darzustellen.
Szenario: Erstellen einer Dokumentbibliothek mit minimalen Bereichen
Sie erstellen eine Dokumentbibliothek mit einem einzelnen Berechtigungsbereich, d. h., alle Darin enthaltenen Elemente verwenden zunächst dieselben Zugriffssteuerungseinstellungen. Als Nächstes fügen Sie dieser Dokumentbibliothek einen Ordner hinzu. Wenn Sie diesen Ordner für bestimmte Personen oder Gruppen freigeben möchten, brechen Sie die Vererbung von Berechtigungen aus der Dokumentbibliothek auf. Diese Aktion erstellt einen neuen, eindeutigen Berechtigungsbereich für den Ordner, sodass Sie andere Zugriffssteuerungen als die auf die Dokumentbibliothek angewendeten festlegen können. Nachdem die Berechtigungen des Ordners festgelegt sind, können Sie 75.000 Dateien in diesen Ordner hochladen. Jede dieser Dateien erbt die ACL des Ordners, um sicherzustellen, dass sie alle über die gleichen Berechtigungen wie der Ordner selbst verfügen. Daher verfügt die Dokumentbibliothek jetzt über zwei eindeutige Berechtigungsbereiche: einen für den Stamm der Dokumentbibliothek und einen für den Ordner. Dieses Setup ermöglicht eine präzisere Kontrolle darüber, wer auf die Dateien im Ordner zugreifen kann, während eine einfachere Berechtigungsstruktur für den Rest der Dokumentbibliothek beibehalten wird.
Szenario: Verwalten von Berechtigungen für mehrere Ordner
Zum effizienten Zuordnen von Kategorien zu Ordnern entscheiden Sie sich, 20 Ordner in jeder Dokumentbibliothek zu erstellen. Jeder dieser Ordner ist für einen bestimmten Dokumenttyp wie Verträge oder Rechnungen vorgesehen, was eine bessere organization und einen einfacheren Zugriff ermöglicht. Um sicherzustellen, dass jeder Ordner über eigene eindeutige Berechtigungen verfügt, richten Sie für jeden einzelnen ACL-Einstellungen ein. Dies führt zu insgesamt 21 eindeutigen Berechtigungsbereichen innerhalb der Dokumentbibliothek: einen für den Stamm der Dokumentbibliothek und einen für jeden der 20 Ordner. Auf diese Weise können Sie steuern, wer Zugriff auf jede Kategorie von Dateien hat, was eine sicherere und organisierte Struktur bietet. Um Leistungsprobleme zu vermeiden und die Grenzen des Systems einzuhalten, minimieren Sie die Anzahl einzelner Dateien mit eindeutigen Berechtigungen. Dies bedeutet, dass die Mehrheit der Dateien die Berechtigungen ihrer jeweiligen Ordner erbt, sodass die Gesamtzahl der eindeutigen Berechtigungseinträge gut innerhalb des Grenzwerts von 5.000 liegt.
Tipps zum Verwalten von Berechtigungsbereichen
Befolgen Sie die folgenden Empfehlungen, um Berechtigungsbereiche in SharePoint effektiv zu verwalten:
- Minimieren Sie die Anzahl eindeutiger Berechtigungsbereiche, indem Sie die Vererbung nutzen.
- Freigeben von Ordnern anstelle einzelner Dateien, um die Anzahl eindeutiger Bereiche zu reduzieren.
- Stellen Sie sicher, dass Ordner, die eindeutige Berechtigungen benötigen, freigegeben werden, bevor sie 100.000 Elemente überschreiten.
- Für Entwickler sollten Sie eindeutige Berechtigungsbereiche regelmäßig überprüfen und minimieren, Gruppen verwenden und die Leistung überwachen, um eine optimale SharePoint-Leistung aufrechtzuerhalten.
- Verwenden Sie für Endbenutzer Standardberechtigungsgruppen, überprüfen Sie Zugriffsanforderungen, und führen Sie regelmäßige Überprüfungen durch, um SharePoint-Berechtigungen sauber und effizient zu halten.
- Verwenden Sie SharePoint-Gruppen und Microsoft Entra, um Benutzerverweise und Berechtigungen effizient zu verwalten.